El sistema de nombres de dominio (DNS) es fundamental para el funcionamiento de Internet. El protocolo fue creado hace más de 30 años para reemplazar el proceso de actualización manual de listas de servidores (direcciones IP) en Internet/Arpanet. DNS se ha vuelto cada vez más vulnerable a una serie de ataques maliciosos en redes y suscriptores. A lo largo de los años, la industria ha respondido a estas crecientes preocupaciones con varias mejoras de seguridad, el estándar propuesto más recientemente es DNS a través de HTTPS (DoH).
¿Qué es el sistema de nombres de dominio y cómo funciona?
Piense en DNS como una libreta de direcciones que traduce la dirección IP de cada destino en un nombre de dominio que se puede recordar fácilmente. Una consulta DNS es cómo se inicia cada sesión web. Si se produce un error en la consulta, los usuarios no pueden acceder a los sitios a los que intentan acceder. Todo el mundo tiene una participación en el buen funcionamiento del DNS.
Para los proveedores de servicios, la seguridad, velocidad y confiabilidad de su servicio depende de la ejecución adecuada de las consultas DNS. Para las empresas, las operaciones de misión crítica y el comercio en línea dependen de la capacidad de los clientes y empleados para encontrar y acceder a lo que buscan. Los surfistas web de todos los días solo quieren llegar a donde les lleva su navegación en línea, de forma rápida y segura.
El sistema de nombres de dominio no fue diseñado para la seguridad
DNS fue ratificado como un protocolo de Internet estándar en 1983, cuando había poca preocupación sobre la seguridad y los ataques DNS, es decir, mucho antes de la aparición de los tipos de ciberdelincuentes maliciosos que vemos hoy en día. El protocolo no tiene seguridad o cifrado integrado y se transmite en texto claro que se puede interceptar y suplantar fácilmente para iniciar ataques DNS. Como la interrupción de las consultas DNS presenta un único punto de error para los servicios de red y las aplicaciones, DNS se ha convertido en un vector de ataque común para los ciberdelincuentes.
Una consulta DNS típica se inicia cuando un usuario, que busca acceder a un sitio web determinado, envía una consulta DNS a través de su dispositivo al servidor DNS recursivo de un ISP local. A continuación, el ISP consulta un servidor DNS autorizado para localizar la dirección IP del sitio web solicitado. Todo este proceso se transmite, como se ha señalado, con poca o ninguna seguridad. Y, por lo tanto, la industria ha reconocido la necesidad de una mejor manera de asegurar el proceso de resolución dns.
DNS a través de HTTPS: una nueva forma de mejorar las soluciones de seguridad DNS y la privacidad del usuario
Escriba DNS a través de HTTPS (DoH), un estándar recientemente redactado que cambia el funcionamiento del proceso de resolución de DNS. DoH solo aborda la conexión inicial entre un dispositivo y el solucionador DNS local (es decir, la llamada «última milla»). Proporciona una opción para cifrar la transmisión de consultas DNS, haciéndolos indistinguibles de HTTPS.
Sin embargo, el resto de la cadena de consultas entre el servidor DNS de resolución y los servidores autorizados no se aborda. Más bien, DoH se centra de forma estrecha en el secuestro de DNS y las actividades maliciosas derivadas de manipular, redirigir o perjudicar las consultas que dejan la resolución DNS vulnerable a varios tipos de ataques DNS.
Cómo mitigar estas vulnerabilidades de ataque es actualmente un tema muy debatido. Sin embargo, debido a las crecientes preocupaciones sobre la privacidad y la seguridad DNS en la fuerza laboral actual, cada vez más remota, impactada en COVID-19, creemos que DoH seguirá un patrón similar al de HTTPS y verá una adopción acelerada por parte de la industria. HTTPS fue creado en 1994 y formalmente especificado en 2000. Después de las filtraciones de Edward Snowden de inteligencia altamente clasificada en 2013, el uso de HTTPS agudró hasta donde ahora está con más de 80 por ciento de las páginas web que utilizan el protocolo.
En juego: ¿Quién puede resolver las consultas DNS?
Inicialmente propuesto por el Internet Engineering Task Force (IETF) a finales de 2018, DNS a través de HTTPS (DoH) pronto dio lugar a una guerra de césped. Tradicionalmente, DNS se ha resuelto a nivel de sistema operativo, pero las implementaciones iniciales de DoH de Mozilla y Google han sido a nivel de aplicación. Eso cambia cómo se resuelve DNS y, por lo tanto, quién puede resolverlo.
Para los ISP, DoH los pone en riesgo de ser cortados fuera del proceso de resolución por proveedores de DNS de terceros, donde sus suscriptores pueden ser potencialmente afectados. Muchos servicios de valor añadido (por ejemplo, controles parentales y antimalware) que los suscriptores pagan dependen de poder ver consultas DNS. Además, los proveedores de servicios temen perder el control de la calidad del servicio, ya que el uso de un solucionador de DNS diferente puede resultar de usar un solucionador de DNS diferente. Las respuestas a las solicitudes de aplicación de la ley también pueden verse afectadas.
En cuanto a los suscriptores, sólo quieren que sus comunicaciones estén protegidas y protegidas de los ataques DNS, y DoH parece abordar sus preocupaciones de larga data sobre el malware, intrusiones, robo de datos y privacidad.
Solución DNS sobre HTTPS de A10
El dns sobre el estándar HTTPS todavía está en forma de borrador. Es al principio del proceso, pero las discusiones están en curso y la industria está respondiendo rápidamente. En A10 Networks, creemos que la mayoría de los operadores eventualmente ofrecerán DoH como una opción. En consecuencia, A10 ha desarrollado una solución de seguridad DNS utilizando nuestro® Firewall Convergente (CFW) de grado de operador que permite a los ISP hacerlo sin interrumpir su infraestructura o inversiones DNS existentes.
Nuestra solución de seguridad DNS fue seleccionada recientemente por un operador de nivel uno en las Américas que busca asegurarse de que podría seguir satéramos las necesidades de sus suscriptores a medida que el estándar DNS evoluciona y protege contra los ataques DNS.
La solución ayuda al transportista a garantizar la continuidad de sus servicios de valor añadido existentes y a mantener el control de la calidad del servicio. Además, la solución DNS sobre HTTPS de A10 ayuda a reducir los costos y minimiza el impacto en las infraestructuras DNS existentes. Implementada frente a los servidores DNS, la solución de A10 protege las inversiones DNS al tiempo que garantiza un alto rendimiento y baja latencia. Lea el caso práctico para ver cómo el cliente de A10 implementó un protocolo DNS cifrado para proteger la privacidad y la seguridad de sus suscriptores.
Echa un vistazo al seminario web de DoH
Vea el seminario web bajo demanda,«DoH – Strengthen DNS Infrastructure Security and Improve Subscriber Privacy», ahora. Cubriremos el rol del sistema de nombres de dominio, los tipos de ataque DNS comunes y los desarrollos de la industria relacionados con DoH. Se explorarán los pros y los contras para los ISP y los suscriptores y se revisará la solución de seguridad DNS de A10, incluida una demostración con la solución A10 DoH en el Thunder Convergent Firewall (CFW).
Fuente: Blog A10 Networks