La NSA hace recomendaciones sobre las empresas que adoptan DNS cifrados

febrero 04, 2021 , 0 Comments

nsa-open-source

Sin DNS, Internet no podría funcionar de forma sencilla, ya que DNS juega un papel crucial en la ciberseguridad pues los servidores DNS pueden verse comprometidos y utilizarse como vector para otros tipos de ataques.

En un documento titulado: «Adopción de DNS cifrados en entornos empresariales», la Agencia de Seguridad Nacional (NSA), una agencia gubernamental del Departamento de Defensa de Estados Unidos, publicó hace ya varios dias un informe sobre la ciberseguridad en las empresas.

El documento explica los beneficios y riesgos de adoptar el protocolo del Sistema de nombres de dominio cifrado (DoH) en entornos corporativos.

Para quienes desconocen de DNS, deben saber que es una base de datos escalable, jerárquica y distribuida dinámicamente a escala global, proporciona un mapeo entre nombres de host, direcciones IP (IPv4 e IPv6), información del servidor de nombres, etc.

Sin embargo, se ha convertido en un vector de ataque popular para los ciberdelincuentes ya que DNS comparte sus solicitudes y respuestas en texto claro, que puede ser visto fácilmente por terceros no autorizados.

La agencia de seguridad de sistemas de información e inteligencia del gobierno de EE. UU. Dice que el DNS encriptado se utiliza cada vez más para evitar las escuchas y la manipulación del tráfico del DNS.

«Con la creciente popularidad del DNS encriptado, los propietarios y administradores de redes corporativas deben comprender completamente cómo adoptarlo correctamente en sus propios sistemas», dice la organización. “Incluso si la empresa no los ha adoptado formalmente, los navegadores más nuevos y otro software pueden intentar usar DNS encriptados de todos modos y eludir las defensas corporativas tradicionales basadas en DNS”, dijo.

El sistema de nombres de dominio que utiliza el protocolo de transferencia segura sobre TLS (HTTPS) cifra las consultas de DNS para garantizar la confidencialidad, la integridad y la autenticación de origen durante una transacción con el sistema de resolución de DNS de un cliente. El informe de la NSA dice que, si bien el DoH puede proteger la confidencialidad de las solicitudes de DNS y la integridad de las respuestas, las empresas que lo utilizan perderán, no obstante, parte del control que necesitan al usar DNS dentro de sus redes, a menos que autoricen su Resolver DoH como utilizable.

El resolutor corporativo de DoH puede ser un servidor DNS administrado por la empresa o un resolutor externo.

Sin embargo, si el solucionador de DNS corporativo no es compatible con DoH, el solucionador de empresa debe seguir utilizándose y todos los DNS encriptados deben deshabilitarse y bloquearse hasta que las capacidades del DNS encriptado puedan integrarse completamente en la infraestructura de DNS de la empresa.

Básicamente, la NSA recomienda que el tráfico de DNS para una red corporativa, cifrado o no, se envíe solo al resolutor de DNS corporativo designado. Esto ayuda a garantizar el uso adecuado de los controles de seguridad empresariales críticos, facilita el acceso a los recursos de la red local y protege la información de la red interna.

Cómo funcionan las arquitecturas DNS empresariales

  • El usuario desea visitar un sitio web que no sabe que es malicioso y escribe el nombre de dominio en el navegador web.
  • La solicitud de nombre de dominio se envía al sistema de resolución de DNS corporativo con un paquete de texto sin cifrar en el puerto 53.
  • Las consultas que violan las políticas de vigilancia de DNS pueden generar alertas y/o bloquearse.
  • Si la dirección IP del dominio no está en la caché de dominio del sistema de resolución de DNS corporativo y el dominio no está filtrado, enviará una consulta de DNS a través de la puerta de enlace corporativa.
  • La puerta de enlace corporativa reenvía la consulta DNS en texto sin cifrar a un servidor DNS externo. También bloquea las solicitudes de DNS que no provienen del sistema de resolución de DNS de la empresa.
  • La respuesta a la consulta con la dirección IP del dominio, la dirección de otro servidor DNS con más información, o se devuelve un error en texto claro a través de la pasarela corporativa;
    la puerta de enlace corporativa envía la respuesta al sistema de resolución de DNS corporativo. Los pasos 3 a 6 se repiten hasta que se encuentra la dirección IP de dominio solicitada o se produce un error.
  • El solucionador de DNS devuelve la respuesta al navegador web del usuario, que luego solicita la página web desde la dirección IP en la respuesta.

Fuente: https://media.defense.gov/


Some say he’s half man half fish, others say he’s more of a seventy/thirty split. Either way he’s a fishy bastard.