La NSA advierte a las empresas sobre solucionadores de DNS de terceros


La NSA advierte a las empresas sobre solucionadores de DNS de terceros

imágenes falsas

DNS sobre HTTPS es un nuevo protocolo que protege el tráfico de búsqueda de dominios contra escuchas y manipulaciones por parte de partes malintencionadas. En lugar de que un dispositivo de usuario final se comunique con un servidor DNS a través de un canal de texto sin cifrar, como lo ha estado haciendo DNS durante más de tres décadas, DoH, como se conoce al DNS a través de HTTPS, cifra las solicitudes y respuestas utilizando los mismos sitios web de cifrado para enviar y Recepción de tráfico HTTPS.

Usar DoH o un protocolo similar llamado DoT, abreviatura de DNS sobre TLS, será muy sencillo en 2021, ya que el tráfico de DNS puede ser tan sensible como cualquier otro dato enviado a través de Internet. Sin embargo, el jueves, la Agencia de Seguridad Nacional dijo que las compañías Fortune 500, las principales agencias gubernamentales y otros usuarios corporativos están mejor si no las usan en algunos casos. Por qué: el mismo cifrado que frustró a terceros malintencionados puede obstaculizar los esfuerzos de los ingenieros por proteger sus redes.

«DoH ofrece el beneficio de las transacciones de DNS cifradas, pero también puede crear problemas para las empresas, incluida una falsa sensación de seguridad, eludir la supervisión y la protección de DNS, las preocupaciones sobre la configuración y la información de la red interna y la explotación del tráfico de DNS ascendente», NSA los funcionarios escribieron en las recomendaciones publicadas. «En algunos casos, las aplicaciones de cliente individuales pueden habilitar DoH usando resolutores externos, lo que causa automáticamente algunos de estos problemas».

Actualización de DNS

Más sobre las posibles trampas de DoH más adelante. Primero, un repaso rápido sobre cómo funciona el DNS, abreviatura de Domain Name System.

Cuando los usuarios envían correos electrónicos, navegan por un sitio web o hacen casi cualquier otra cosa en Internet, sus dispositivos necesitan una forma de traducir un nombre de dominio a los servidores de direcciones IP numéricas que otros servidores utilizan para encontrar otros servidores. Para hacer esto, los dispositivos envían una solicitud de búsqueda de dominio a un resolutor de DNS, que es un servidor o grupo de servidores que generalmente es propiedad del ISP o de la organización empresarial a la que está conectado el usuario.

Si el sistema de resolución de DNS ya conoce la dirección IP del dominio solicitado, la envía inmediatamente al usuario final. De lo contrario, el resolutor reenvía la solicitud a un servidor DNS externo y espera una respuesta. Tan pronto como la resolución de DNS tiene la respuesta, envía la dirección IP correspondiente al dispositivo cliente.

La siguiente imagen muestra una configuración típica en muchas redes corporativas:

NSA

Sorprendentemente, este proceso no está encriptado por defecto. Esto significa que cualquier persona que tenga la oportunidad de monitorear la conexión entre los usuarios finales de una empresa y el solucionador de DNS, como un interno malintencionado o un pirata informático que ya tiene un hogar en la red, mantendrá un registro completo de todas las ubicaciones que pueden Dirección IP con la que se conectan estas personas. Aún más preocupante, esta parte maliciosa también puede enviar usuarios a sitios web maliciosos reemplazando la dirección IP correcta de un dominio por una maliciosa.

Una espada de doble filo

DoH y DoT se crearon para abordar todo esto. Así como el cifrado de seguridad de la capa de transporte autentica el tráfico web y lo oculta de miradas indiscretas, DoH y DoT hacen lo mismo con el tráfico DNS. Actualmente, DoH y DoT son protecciones complementarias que requieren trabajo adicional por parte de los usuarios finales de los administradores que las operan.

La forma más fácil para que los usuarios obtengan esta protección es configurar su sistema operativo (por ejemplo, Windows 10 o macOS) y su navegador (por ejemplo, Firefox o Chrome).) u otra aplicación que admita DoH o DoT.

Las recomendaciones de la NSA del jueves advierten que este tipo de configuraciones pueden poner en riesgo a las empresas, especialmente si la protección incluye DoH. La razón: el DoH asistido por dispositivos evita las defensas de la red, como la verificación de DNS, que monitorea las búsquedas de dominio y las respuestas de direcciones IP en busca de signos de actividad maliciosa. En lugar de que el tráfico pase por el resolutor de DNS reforzado de la empresa, DoH, que está configurado en el dispositivo del usuario final, agrupa los paquetes en un sobre cifrado y los envía a un resolutor de DoH externo.

Los funcionarios de la NSA escribieron:

Muchas organizaciones utilizan resolutores de DNS corporativos o ciertos proveedores de DNS externos como elemento clave en su arquitectura general de seguridad de red. Estos servicios de protección de DNS pueden filtrar dominios y direcciones IP en función de dominios maliciosos conocidos, categorías de contenido restringido, información de reputación, protección contra errores tipográficos, análisis avanzado, validación de DNSSEC (extensiones de seguridad de DNS) u otras razones. Si se usa DoH con resolutores externos de DoH y se omite el servicio DNS corporativo, los dispositivos corporativos pueden perder estas importantes protecciones. Esto también evita el almacenamiento en caché de DNS a nivel local y las mejoras de rendimiento asociadas.

El malware también puede usar DoH para realizar búsquedas de DNS que eluden los resolutores de DNS corporativos y las herramientas de monitoreo de red, a menudo con fines de comando y control o exfiltración.

También existen otros riesgos. Por ejemplo, cuando un dispositivo de usuario final con DoH habilitado intenta conectarse a un dominio dentro de la red corporativa, primero envía una consulta de DNS al solucionador de DoH externo. Incluso si la solicitud finalmente se pasa al sistema de resolución de DNS corporativo, aún puede revelar información de la red interna. Además, el reenvío de búsquedas de dominio interno a un resolutor externo puede causar problemas de rendimiento de la red.

La siguiente imagen muestra cómo DoH, utilizando un solucionador externo, puede eludir por completo el sistema de resolución de DNS de la empresa y las muchas salvaguardas que puede ofrecer.

NSA

Traiga su propio DoH

La respuesta, de acuerdo con las recomendaciones del jueves, es para las empresas que desean que DoH confíe en sus propios solucionadores habilitados para DoH, que además de descifrar la solicitud y devolver una respuesta, también brindan inspección, registro y otra protección.

Las recomendaciones continúan diciendo que las organizaciones deben configurar dispositivos de seguridad de red para bloquear todos los servidores DoH externos conocidos. Bloquear el tráfico DoT saliente es más fácil porque siempre va al puerto 853, que las empresas mayoristas pueden bloquear. Esta opción no está disponible para contener tráfico DoH saliente, ya que utiliza el puerto 443 que no se puede bloquear.

La siguiente imagen muestra la configuración corporativa recomendada.

NSA

De acuerdo con las recomendaciones del jueves, el DoH de los solucionadores externos está bien para las personas que se conectan desde su hogar u oficina pequeña. Yo iría un paso más allá y diría que después de todas las revelaciones de la última década, será una locura que la gente comience a usar ADN sin cifrar en 2021.

Para las empresas, las cosas tienen más matices.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *