¿Qué es
DNS significa Sistema de Nombres de Dominio. Es un sistema jerárquico y descentralizado de nombres utilizado para traducir nombres de dominio legibles por humanos en direcciones IP que las máquinas pueden entender. En términos más sencillos, el DNS es como una guía telefónica que asigna nombres de dominio (como www.google.com) a direcciones IP (como 216.58.194.174) que las computadoras pueden utilizar para comunicarse entre sí.
Cuando ingresas el nombre de dominio de un sitio web en el navegador web, la computadora envía una solicitud a un servidor DNS para traducir el nombre de dominio en una dirección IP. El servidor DNS responde con la dirección IP asociada con ese nombre de dominio, lo que permite a la computadora establecer una conexión con el servidor que aloja el sitio web.
Problemas de Seguridad con DNS
El DNS es un componente crítico de la infraestructura de Internet, responsable de traducir nombres de dominio legibles por humanos en direcciones IP que las máquinas pueden utilizar para comunicarse entre sí. Sin embargo, como cualquier otro protocolo de red, el DNS no es inmune a problemas de seguridad. Aquí hay algunos problemas de seguridad comunes asociados con el DNS:
- Suplantación de DNS o Envenenamiento de Caché: Este ataque implica que un atacante inyecta datos DNS falsos en la caché de un servidor DNS, redirigiendo el tráfico legítimo a un servidor malicioso.
- Secuestro de DNS: Este ataque implica que un atacante toma el control de los registros DNS de un dominio, redirigiendo el tráfico a un sitio web malicioso y robando información sensible, como credenciales de inicio de sesión y datos financieros.
- Phishing de DNS: Este es un ataque de ingeniería social que implica que un atacante crea un sitio web falso que se parece a un sitio legítimo, engañando a los usuarios para que proporcionen información sensible, como contraseñas, información de tarjetas de crédito y otros datos personales.
DNS sobre HTTPS (DoH), ¿qué es?
Es un protocolo seguro que facilita la resolución de DNS cifrada a través de una conexión segura de Protocolo de Transferencia de Hipertexto (HTTPS). A diferencia de los métodos tradicionales de resolución de DNS que utilizan conexiones no cifradas de Protocolo de Control de Transmisión (TCP) o Protocolo de Datagramas de Usuario (UDP), el DoH ofrece un mayor nivel de seguridad y privacidad. El protocolo ha sido ampliamente adoptado por navegadores web populares y sistemas operativos. Con su crecimiento rápido en el uso en los Estados Unidos, muchos navegadores lo han habilitado como configuración predeterminada. Los resolutores de Dominio de Sistema de Nombres Públicos (DNS) también han añadido soporte para el protocolo.
DNS sobre TLS (DoT), ¿qué es?
El DNS sobre Seguridad de la Capa de Transporte (TLS), conocido como DoT, permite que las consultas de DNS se transmitan a través de una conexión segura y cifrada utilizando el protocolo TLS.
En DoT, la consulta de DNS nativa se cifra utilizando PKI y se transmite como una carga de TLS, lo que proporciona una cifrado de extremo a extremo entre el cliente y el resolutor de DNS. Esto protege la consulta de DNS de ser interceptada o manipulada por terceros, lo que puede mejorar la privacidad y la seguridad. DoT utiliza el puerto TCP 853 para la comunicación y se puede configurar a nivel de cliente o a nivel de red. También puede ayudar a sortear ciertos tipos de restricciones y censura de red, ya que permite que las consultas de DNS se envíen a través de puertos TLS estándar, que son menos propensos a ser bloqueados por filtros de red.
Ahora que ya sabemos qué es; DNS, DoH y DoT es importante señalar en qué difieren uno del otro.
¿Cómo difiere DoH de DoT?
Hay varias diferencias entre DoT y DNS sobre HTTPS (DoH). DoH utiliza los formatos de consulta y respuesta en HTTP, mientras que DoT cifra los datos de DNS en TLS, sin formato/conversión a HTTP. DoT también tiene un puerto dedicado, el puerto TCP 853, mientras que DoH utiliza el puerto TCP estándar de HTTPS 443.
¿Cómo difiere DoH de DNS?
DoH es un protocolo que permite que las consultas de DNS se transmitan a través del protocolo HTTPS, mientras que el DNS tradicional es un protocolo que envía consultas de DNS a través del protocolo DNS estándar utilizando UDP (o menos comúnmente TCP, que se utiliza si se recibe un mensaje truncado en UDP) como protocolo de capa 4 en el puerto 53 (puerto estándar).
¿Cómo difiere DoH de DNSSEC?
DNSSEC y DoH son dos mecanismos de seguridad diferentes que protegen la infraestructura de DNS de diferentes maneras. Aquí hay algunas de las principales diferencias:
- Cifrado: DoH cifra las consultas y respuestas de DNS a través de una conexión HTTPS, mientras que DNSSEC firma digitalmente los registros de DNS para autenticación y protección de integridad pero no los cifra.
- Protocolo de transporte: DoH utiliza HTTP/2 sobre TLS como protocolo de transporte para las consultas de DNS, mientras que DNSSEC utiliza el protocolo DNS tradicional sobre UDP o TCP.
- Objetivos de seguridad: DoH tiene como objetivo principal proteger la privacidad y la confidencialidad de las consultas y respuestas de DNS, mientras que DNSSEC tiene como objetivo proporcionar autenticación y protección de integridad para los registros de DNS para prevenir ataques basados en DNS como el envenenamiento de caché y la suplantación de DNS
Ahora conozcamos sus funcionamientos.
¿Cómo funciona DoH?
- El cliente envía una consulta de DNS al servidor DoH como una solicitud HTTPS, utilizando los métodos HTTP POST o GET. POST codifica la carga binaria de la consulta de DNS en el cuerpo del POST, mientras que GET codificará los parámetros de la consulta de DNS como argumentos de consulta de URL. La consulta generalmente se envía como un objeto JSON, que contiene la información necesaria para resolver el nombre de dominio.
- El servidor DoH recibe la solicitud HTTPS, extrae la consulta de DNS de la solicitud y la envía a un resolutor de DNS para resolver la consulta.
- El resolutor de DNS envía la respuesta de vuelta al servidor DoH, que a su vez envía la respuesta de vuelta al cliente como una respuesta HTTPS. La respuesta generalmente se envía como un objeto JSON, que contiene la dirección IP resuelta u otra información relevante.
- El cliente recibe la respuesta HTTPS, extrae la resolución de DNS de la respuesta y utiliza la dirección IP resuelta para conectarse al servidor de destino.
¿Cómo funciona DoT?
El cliente inicia un apretón de manos de TLS con el servidor DoT en el puerto 853.
- Una vez que se completa el apretón de manos de TLS, el cliente envía una consulta de DNS al servidor DoT como un mensaje cifrado por TLS.
- El servidor DoT recibe la consulta de DNS cifrada, la descifra y la envía a un resolutor de DNS para resolver la consulta.
- El resolutor de DNS envía la respuesta de vuelta al servidor DoT, que a su vez envía la respuesta de vuelta al cliente como un mensaje cifrado por TLS.
- El cliente recibe la respuesta de DNS cifrada, la descifra y utiliza la dirección IP resuelta para conectarse al servidor de destino.
DNS sobre HTTPS (DoH) permite que las consultas de DNS se transmitan a través del protocolo HTTPS, ofreciendo una capa de privacidad y seguridad. DNS sobre TLS (DoT) permite la transmisión segura y cifrada de consultas de DNS mediante el protocolo TLS. Ambos protocolos mejoran la seguridad y privacidad de las resoluciones de DNS.
Para implementar soluciones coste-efectivas para DoH y DoT, es fundamental considerar requisitos como escalabilidad, rendimiento, seguridad, cumplimiento y coste-efectividad. Estos requisitos aseguran que las implementaciones puedan manejar cargas de tráfico crecientes, ofrezcan resoluciones de DNS rápidas y seguras, cumplan con regulaciones de privacidad y cifrado, y sean económicamente eficientes.
En conjunto, DoH y DoT representan avances importantes en la seguridad y privacidad de las comunicaciones de DNS, y su implementación exitosa requiere la consideración cuidadosa de estos requisitos.
Información Obtenida de Radware