[01/05/2023] La tunelización del sistema de nombres de dominio (DNS, por sus siglas en inglés) es una amenaza generalizada que permite a los hackers obtener datos dentro y fuera de la red interna de una empresa sin pasar por la mayoría de los firewalls. El sistema de nombres de dominio traduce las direcciones numéricas del protocolo de Internet que los navegadores pueden usar para cargar páginas web; los actores de amenazas usan túneles para explotar este proceso y robar datos ocultándolos dentro del tráfico DNS.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
La mayoría de los ataques de DNS se centran en la suplantación de identidad o el desvío, en los que un atacante proporciona información falsa a los servidores de DNS, o convence a otros sistemas para que consulten un servidor de DNS hostil, en lugar de uno legítimo. Pero la tunelización DNS básicamente contrabandea tráfico hostil a través de los puertos DNS, lo que hace que estos ataques sean difíciles de detectar y mitigar.
"Los ataques que explotan las debilidades en el DNS pueden desviar a otros sistemas para que se conecten o confíen erróneamente en sistemas hostiles, todo sin explotar las vulnerabilidades convencionales como parches faltantes o configuraciones incorrectas”, afirma Jacob Ansari, líder de práctica de PCI en Mazars, la firma global de auditoría, impuestos y asesoría.
La mayoría de los ataques DNS surgen porque el protocolo DNS original, que data de los primeros días de Internet, no tenía funciones de seguridad, como autenticidad o integridad. Eso puede darles a los ciberdelincuentes un conducto para abusar de los servicios de red necesarios, como DNS, para filtrar datos en lugar de robarlos directamente de una red, afirma Tim Shimeall, miembro senior del personal técnico del grupo de conciencia situacional de la red CERT en el Carnegie Mellon Software Engineering Institute.
"Este abuso es difícil de detectar, ya que se mezcla con los usos esperados y requeridos de estos servicios: el enfoque de esconderse entre la multitud”, afirma Shimeall. "Al aplicar herramientas de monitoreo de red y familiarizarse con los usos esperados y requeridos, el desafío de detectar el abuso se vuelve más factible”.
Aquí hay cuatro estrategias para identificar y reducir el riesgo de tunelización de DNS.
Combinar soluciones técnicas y humanas
Las organizaciones deben buscar soluciones tanto humanas como técnicas para lidiar con los túneles DNS, afirma Terrence O'Connor, profesor asistente de ingeniería y ciencias informáticas y presidente del programa de ciberseguridad en el Florida Institute of Technology. Desde el punto de vista del personal, las organizaciones pueden establecer grupos de búsqueda de amenazas internos y proactivos.
Dichos grupos pueden mejorar la detección de amenazas y los tiempos de respuesta, analizando los registros de tráfico de la red para identificar anomalías o desarrollar firmas basadas en herramientas y ataques históricos. Además, el grupo puede informarles a los defensores de la red sobre las tecnologías de ataque emergentes y cómo aprovechan el DNS, de manera única, para fines maliciosos.
Desde un punto de vista técnico, las empresas pueden habilitar mecanismos de seguridad que superen la tunelización de DNS. Por ejemplo, las organizaciones pueden emplear DNS Security Extensions (DNSSEC), un mecanismo de seguridad que requiere la validación criptográfica de los mensajes DNS, afirma O'Connor. "Si bien ningún enfoque es perfecto, la combinación de soluciones, tanto humanas como técnicas, puede derrotar en gran medida a la mayoría de los enfoques de ataque de tunelización de DNS”.
El mejor enfoque es una solución de defensa en profundidad, la cual combine aspectos técnicos con la mejora de las habilidades de un equipo de seguridad. De esta manera, se podrá realizar un análisis manual si las herramientas generan alguna alerta, afirma David Maynor, director del grupo de inteligencia de amenazas de Cybrary.
"Para identificar los túneles de DNS, las organizaciones deben implementar herramientas que proporcionen una inspección profunda de los paquetes, y que puedan ver y analizar los paquetes de DNS”, afirma Maynor. "Luego se pueden aplicar reglas para detectar campos que violen el estándar de solicitud de comentarios”.
Otro método es el análisis de red basado en anomalías con el que se analiza el flujo de la red en busca de un comportamiento anormal, añade Maynor. Por ejemplo, una estación de trabajo que de repente envía tráfico DNS, fuera de la red, a servidores DNS aparentemente aleatorios sería una gran señal de alerta. Los equipos de seguridad pueden responder a las alertas generadas por las herramientas con respecto a estos problemas.
Supervisar las actividades de Internet
El servicio DNS es una opción y un objetivo perfecto para los atacantes debido a la sensibilidad de este servicio, por lo que es importante que las organizaciones supervisen y alerten rigurosamente sus servicios DNS sobre actividades inusuales, afirma Izzat Alsmadi, profesor asociado en el de Department of Computing and Cyber Security en Texas A&M University-San Antonio.
Una forma de hacerlo es monitorear activamente las actividades de Internet y bloquear las direcciones IP que se sepa que crean tales problemas, afirma Alsmadi. "Este es un enfoque de lista negra general, pero generalmente es difícil acomodar a todos los posibles atacantes, por lo tanto, es importante incluir reglas que alerten sobre consultas de DNS extrañas o inusuales”.
Reforzar los clientes locales y asegurarse de que los usuarios sepan evitar las campañas de phishing también es importante, ya que la mayoría de los ataques de DNS comienzan explotando un cliente o una computadora local de confianza, afirma Alsmadi.
Dan Petkevich, fundador y director ejecutivo de Fair Square Medicare, afirma que su empresa aprovecha la tecnología para ayudar a los adultos mayores a encontrar el seguro que mejor se adapte a sus necesidades de atención médica. Debido al alto nivel de datos personales involucrados en el negocio, Fair Square Medicare es sensible a los riesgos de la tunelización de DNS. Él afirma que uno de los métodos más prácticos para evitar la tunelización de DNS es monitorear continuamente el tipo de tráfico que frecuenta el sistema de una empresa.
"Esto le permite detectar cualquier actividad sospechosa desde su inicio y bloquear su acceso a la red antes de que se produzca el daño”, afirma Petkevich. "Cuando busco en la web, normalmente uso sitios con protocolos HTTPS sobre HTTP porque son más seguros contra estos ataques. Como dueño de un negocio, es crucial que su desarrollador web incluya el protocolo HTTPS en su sitio. En estos días, incluso Google es consciente del alto riesgo de la tunelización de DNS, por lo que tiende a advertir a los navegantes si un sitio no está bien equipado para proteger sus datos”.
Asegúrese de que los terceros corrijan las configuraciones incorrectas en sus servidores DNS
Algunos ataques de DNS involucran ataques de denegación de servicio (DoS, por sus siglas en inglés) o ataques de denegación de servicio distribuido (DDoS, por sus siglas en inglés), donde un atacante envía una gran cantidad de consultas de DNS hostiles que pueden abrumar la infraestructura de DNS y causar lo que equivale a cortes de Internet en las organizaciones víctimas, afirma Ansari.
Algunos de estos ataques utilizan servidores DNS de terceros para responder a los servidores DNS de las organizaciones víctimas. "La solución para estos ataques es lograr que las otras partes corrijan las configuraciones incorrectas en sus servidores DNS. Como tal, esto puede ser difícil de resolver si esas partes no cooperan o son sobornadas por el atacante”, afirma Ansari. "Si los terceros no se adhieren a las buenas prácticas de seguridad de DNS, inclúyalo en las negociaciones para la renovación del contrato y los esfuerzos de gestión de riesgos de terceros”.
Formación de los empleados
Debido a los diferentes usos legítimos del DNS, es difícil saber si los campos de datos en las solicitudes y respuestas son válidos, según Maynor. "Los atacantes aprovechan la complejidad y la naturaleza confiable y requerida del DNS al crear su propio tráfico de DNS, aparentemente real, con datos en los campos”, añade Maynor. "Esto le da a un atacante, dentro de una red, la capacidad de filtrar datos de una manera que parece legítima para el usuario ocasional”.
En consecuencia, para mantener los sistemas protegidos contra los túneles de DNS, las empresas deben llevar a cabo programas regulares de capacitación de empleados sobre ataques de phishing, malware y túneles de DNS, afirma Ihab Shraim, director de tecnología de CSC Digital Brand Services. Los empleados que reconocen y evitan los ataques de ingeniería social pueden evitar los intentos de tunelización de DNS.
Las organizaciones también deben capacitar a los equipos de ciberseguridad para que reconozcan los patrones de tráfico de DNS que no son típicos. La implementación de técnicas de aprendizaje automático en el tráfico de DNS puede ayudar a los equipos de seguridad a detectar anomalías en los patrones.
Basado en el artículo de Linda Rosencrance (CSO) y editado por CIO Perú