¿Qué es la suplantación de DNS??
DNS (Servidor de nombres de dominio) La suplantación de identidad o envenenamiento de la caché de DNS es un tipo de ciberataque utilizado por un atacante para dirigir el tráfico de la víctima a un sitio web malicioso. (en lugar de una dirección IP legal). Los atacantes utilizan el envenenamiento de la caché de DNS para redirigir el tráfico de Internet y robar información confidencial.
Por ejemplo, un hacker quiere engañar a los usuarios para que introduzcan información personal en un sitio inseguro. Cómo lo hace? Envenenando la caché DNS. El pirata informático falsifica o reemplaza los datos DNS de un sitio específico y redirige a la víctima al servidor del atacante en lugar del servidor legítimo.. De este modo, el hacker logra su objetivo porque tiene muchas oportunidades: puede cometer un ataque de phishing, robar datos o incluso inyectar malware en el sistema de la víctima.
¿Cómo funciona la suplantación de DNS??
Antes de hablar sobre el envenenamiento de la caché de DNS, Primero recordemos qué son DNS y el almacenamiento en caché de DNS.. DNS es un directorio mundial de Direcciones IP y nombres de dominio. DNS empareja direcciones fáciles de usar, como facebook.com, en direcciones IP, como 157.240.22.35, que utilizan los ordenadores en la red. El almacenamiento en caché de DNS es un sistema para almacenar direcciones en servidores DNS en todo el mundo.. Para acelerar el procesamiento de sus solicitudes de DNS, Los desarrolladores han creado un sistema DNS distribuido.. Cada servidor mantiene una lista de registros DNS disponibles llamada caché. Si el DNS El servidor más cercano a usted no tiene la dirección IP requerida., consulta los servidores DNS superiores hasta que no se encuentra la dirección del sitio web al que intenta acceder. Luego, su servidor DNS guarda este nuevo registro en su caché para obtener una respuesta más rápida la próxima vez..
Desgraciadamente, El DNS tiene varios fallos de seguridad que los atacantes pueden aprovechar e insertar registros de direcciones de dominio de Internet falsificados en el sistema.. Típicamente, Los delincuentes envían respuestas falsas al servidor DNS.. Luego, el servidor responde al usuario que realizó la solicitud., y al mismo tiempo, los servidores legítimos almacenarán en caché el registro falso. Una vez que el servidor de caché DNS almacena el par falso, todas las solicitudes posteriores del registro comprometido obtendrán la dirección del servidor controlada por el atacante.
Las técnicas de suplantación de DNS pueden incluir:
- Hombre en el medio (MITM) – El ciberdelincuente intercepta el tráfico y lo pasa por su sistema, Recopila información a medida que avanza o la redirige a otra parte..
- Compromiso del servidor DNS – secuestrar directamente el servidor DNS y configurarlo para que devuelva una dirección IP maliciosa.
Los ciberdelincuentes pueden comprometer fácilmente Respuestas DNS sin ser detectado debido a vulnerabilidades de seguridad en aplicaciones web específicas y la falta de autenticación adecuada de los registros DNS. Echemos un vistazo más de cerca:
Falta de verificación y validación
DNS tiene una primera estructura de confianza que no requiere validación de IP para verificar antes de enviar una respuesta.. Porque los solucionadores de DNS no validan los datos en el caché, una entrada no válida permanece hasta que se elimina manualmente o el TTL caduca.
Vulnerabilidad del solucionador de DNS recursivo
Cuando la consulta recursiva está activa, el servidor DNS recibe la solicitud y hace todo el trabajo de encontrar la dirección correcta y enviar la respuesta al usuario. Si no tiene un registro en su caché, consultará a otros DNS servidores hasta que obtiene la dirección y la devuelve al usuario. Habilitar consultas recursivas presenta una vulnerabilidad de seguridad que los atacantes pueden aprovechar para envenenar el sistema. DNS cache.
Mientras el servidor busca la dirección, el atacante puede interceptar el tráfico y proporcionar una respuesta falsa. El servidor DNS recursivo enviará la respuesta al usuario y simultáneamente almacenará la dirección IP falsificada en su caché..
Sin cifrado
Típicamente, el protocolo DNS no está cifrado, facilitando a los atacantes la interceptación de su tráfico. Además, Los servidores no tienen que verificar las direcciones IP a las que dirigen el tráfico.. Por lo tanto, no pueden determinar si es genuino o falso..
Cómo prevenir la suplantación de DNS?
El monitoreo en tiempo real de los datos DNS puede ayudar a identificar patrones inusuales, acciones del usuario, o comportamientos en el tráfico, como visitar sitios maliciosos. Y aunque es difícil detectar el envenenamiento de la caché de DNS, Hay varias medidas de seguridad que las empresas y los proveedores de servicios pueden tomar para evitarlo.. Algunas medidas para prevenir el envenenamiento de la caché de DNS incluyen el uso de DNSSEC, deshabilitar consultas recursivas, y más.
El límite de las relaciones de confianza
Una de las vulnerabilidades de las transacciones DNS es la alta relación de confianza entre diferentes servidores DNS.. Por lo tanto, Los servidores no autentican los registros que reciben., permitir a los atacantes enviar respuestas falsas desde sus servidores ilegítimos.
Para evitar que los atacantes aprovechen esta falla, Los grupos de seguridad deberían limitar el nivel de confianza que sus servidores DNS tienen con otros.. Configurar servidores DNS para que no dependan de relaciones de confianza con otros servidores DNS dificulta que los piratas informáticos utilicen un servidor DNS para comprometer registros en servidores legítimos.. Hay muchas herramientas disponibles para comprobar si hay amenazas a la seguridad del DNS..
Utilice el protocolo DNSSEC
Porque las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) utiliza criptografía de clave pública para firmar registros DNS, agrega validación y permite que los sistemas determinen si una dirección es válida o no. Esto evita la falsificación al verificar y autenticar solicitudes y respuestas..
En funcionamiento normal, el DNSSEC El protocolo asocia una firma criptográfica única con otra información DNS., como CNOMBRE y registros A. Luego, el solucionador de DNS utiliza esta firma para autenticar la respuesta de DNS antes de enviarla al usuario..
Las firmas de seguridad garantizan que un servidor de origen legítimo valide las respuestas a las solicitudes que reciben los usuarios.. A pesar de DNSSEC puede prevenir el envenenamiento de la caché de DNS, Tiene inconvenientes como una implementación compleja., aprovisionamiento de datos, y vulnerabilidades de enumeración de zonas en versiones anteriores.
Utilice el software de versiones más recientes de DNS y BIND
Comenzando con la versión 9.5.0 UNIR (Dominio de nombre de Internet de Berkeley) incluye funciones de seguridad mejoradas, como identificadores de transacciones criptográficamente seguros y aleatorización de puertos, lo que minimiza la posibilidad de envenenamiento de la caché de DNS. También es importante que el personal de TI lo mantenga actualizado y se asegure de que sea la versión más reciente y segura.. A continuación se ofrecen algunos consejos más útiles para ayudar a prevenir el envenenamiento de la caché de DNS..
- Configurar el DNS El servidor a responder está exclusivamente relacionado con el dominio solicitado..
- Asegúrese de que el servidor de caché solo almacene datos relacionados con el dominio solicitado.
- Obligado a usar HTTPS para todo el tráfico.
- Deshabilitar el DNS consultas recursivas.
El envenenamiento de la caché de DNS hace que los usuarios del dominio sean redirigidos a direcciones maliciosas. Además, algunos servidores controlados por atacantes pueden engañar a usuarios desprevenidos para que descarguen malware o proporcionen contraseñas, Información de tarjeta de crédito, y otra información confidencial. Para prevenir esto, es esencial utilizar métodos de seguridad confiables.
