En estos últimos años hemos vivido el incesante crecimiento de ataques a todo tipo de empresas, pero sobre todo a grandes y conocidas, que a priori parecían inquebrantables. Según el Consejo de Seguridad Internacional (NISC) el 72% de estas organizaciones han un ataque ha sido directamente al sistema DNS. Lo que está convirtiendo a este tipo de ataques en una amenaza cada vez mayor. Veamos qué es un ataque al DNS y cómo evitarlo.
¿Qué es un ataque DNS?
El DNS (Domain Name System) ejerce como traductor de la información que indicamos en el buscador para acceder a una página web. Por ejemplo, cuando ponemos www.tecsens.com lo traduce a la IP que corresponde para conectarse. Por lo que el ataque DNS consiste en atacar los servidores de resolución de nombres. Esto produciría errores y mal funcionamiento en los sistemas, incluso la caída completa de los mismos, en la mayoría de las ocasiones se usa para robar información personal de la empresa o credenciales.
Tipos de ataques DNS
DNS Poisoning:
Este es uno de los ataques más frecuentes, su principal objetivo es apresar a los usuarios a través de sitios web falsos y maliciosos para obtener sus datos personales. Este tipo de ataque es uno de los puentes más eficaces para atacar ya que redirige al usuario a un DNS envenenado sin que el usuario sea consciente ya que a priori es bastante parecido al «original´´.
¿Cómo prevenir y mitigar un ataque DNS Poisoning?
- Configuración de los servidores DNS para que revisen otros servidores DNS antes de redireccionarse hacia ellos. Esto permite que los hackers tengan menos posibilidades de alterar la configuración y registro DNS de los servidores.
- Restricción de las preguntas frecuentes, almacenamiento de datos únicamente asociados al dominio solicitado y restringir las preguntas a información que provenga únicamente del dominio solicitado.
- Uso de herramientas de protección DNS que tienen como función autenticicación de los datos.
Botnets:
Este tipo de ataque tiene como objetivo dejar inoperativo un servidor DNS. Cada bot se programa para enviar diversas solicitudes de acceso a un recurso web reconocido por el servidor DNS al que se ataca lo que provoca su saturación y posterior inactividad. Básicamente se ejecutan DDoS.
¿Cómo prevenir y mitigar un ataque DNS Botnets?
- Verificación de vulnerabilidades de los dispositivos en red, revisión de los ajustes de seguridad.
- Contar con soluciones de seguridad IDS/IPS para identificar este tipo de ataques.
Flood:
Este tipo de ataque tiene como objetivo la sobrecarga del servidor DNS para que no pueda seguir procesando las solicitudes que recibe. Suelen ser controlables ya que provienen de una única dirección IP, aunque se puede complicar si se convierte en un DDoS.
Caché Poisoning:
Este ataque tiene como objetivo toda la información almacenada en el servidor DNS y su recolección (datos bancarios, claves etc). La forma de engañar al usuario es de las más efectivas ya que son víctimas de phishing, los usuarios en todo momento piensan que están accediendo a una web legítima, por ejemplo, la de su banco.
¿Cómo prevenir y mitigar un ataque Caché Poisoning?
- Restricción de solicitudes frecuentes y limitar las respuestas de las solicitudes DNS a la información real asociada al dominio.
- Almacenamiento de registros DNS asociados a los nombres de dominio.
DrDoS (Denegación de Servicio Distribuido por Reflexión):
En este tipo de ataque el servidor DNS recibe tantas solicitudes maliciosas como legítimas, cuando llega a su máximo de capacidad el servidor comienza a descartar paquetes incluyendo las solicitudes legítimas lo que consigue que deje de responder. En esta variante de DDoS los servidores pueden pertenecer a redes diferentes ya que actúan como reflectores por lo que se convierte en un ataque a gran escala tomando el control de todos los dispositivos conectados.
¿Cómo prevenir y mitigar un ataque DrDoS?
Este tipo de ataques es muy difícil de mitigar, pero existen medidas de prevención que a largo plazo pueden proteger de estos.
- Localización de los servidores DNS en diferentes data center (que cuenten con varias rutas alternativas de acceso además de la principal y no cuenten con agujeros de seguridad) y que formen parte de diferentes redes o subredes de la organización.
Estos ataques DNS entre otros existentes provocan grandes daños a las empresas víctimas de estos, suponiendo pérdidas incalculables. Como mencionábamos al principio durante estos últimos años muchas empresas conocidas los han sufrido por lo que nadie esta exento de sufrirlos.