La NSA advierte a las empresas que tengan cuidado con los resolutores de DNS de terceros

La NSA advierte a las empresas que tengan cuidado con los resolutores de DNS de terceros

imágenes falsas

DNS sobre HTTPS es un nuevo protocolo que protege el tráfico de búsqueda de dominios de escuchas y manipulación por parte de partes malintencionadas. En lugar de que un dispositivo de usuario final se comunique con un servidor DNS a través de un canal de texto sin formato, como lo ha hecho DNS durante más de tres décadas, DoH, como se conoce a DNS sobre HTTPS, cifra las solicitudes y respuestas utilizando el mismo cifrado del que dependen los sitios web para enviar y recibir tráfico HTTPS.

Usar DoH o un protocolo similar conocido como DoT, abreviatura de DNS sobre TLS, es una obviedad en 2021, ya que el tráfico de DNS puede ser tan sensible como cualquier otro dato enviado a través de Internet. El jueves, sin embargo, la Agencia de Seguridad Nacional dijo que en algunos casos las compañías Fortune 500, las grandes agencias gubernamentales y otros usuarios empresariales están mejor si no lo utilizan. La razón: el mismo cifrado que frustra a terceros maliciosos puede obstaculizar los esfuerzos de los ingenieros para proteger sus redes.

“DoH ofrece el beneficio de las transacciones de DNS cifradas, pero también puede traer problemas a las empresas, incluida una falsa sensación de seguridad, eludir el monitoreo y las protecciones de DNS, preocupaciones por la configuración e información de la red interna y la explotación del tráfico de DNS ascendente”, NSA los funcionarios escribieron en recomendaciones publicadas. “En algunos casos, las aplicaciones de cliente individuales pueden habilitar DoH usando solucionadores externos, causando algunos de estos problemas automáticamente”.

Actualización de DNS

Más información sobre las posibles dificultades de DoH más adelante. Primero, un repaso rápido sobre cómo funciona el DNS, abreviatura de sistema de nombres de dominio.

Cuando las personas envían correos electrónicos, navegan por un sitio web o hacen casi cualquier otra cosa en Internet, sus dispositivos necesitan una forma de traducir un nombre de dominio a la dirección IP numérica que utilizan los servidores para localizar otros servidores. Para ello, los dispositivos envían una solicitud de búsqueda de dominio a un solucionador de DNS, que es un servidor o grupo de servidores que normalmente pertenecen al ISP oa la organización empresarial a la que está conectado el usuario.

Si el sistema de resolución de DNS ya conoce la dirección IP del dominio solicitado, la enviará inmediatamente al usuario final. De lo contrario, el resolutor reenvía la solicitud a un servidor DNS externo y espera una respuesta. Una vez que el resolutor de DNS tiene la respuesta, envía la dirección IP correspondiente al dispositivo cliente.

La siguiente imagen muestra una configuración típica en muchas redes empresariales:

NSA

Sorprendentemente, este proceso no está encriptado por defecto. Eso significa que cualquier persona que tenga la capacidad de monitorear la conexión entre los usuarios finales de una organización y el solucionador de DNS, por ejemplo, un interno malintencionado o un pirata informático que ya tiene un punto de apoyo en la red, puede crear un registro completo de cada sitio y Dirección IP a la que se conectan estas personas. Más preocupante aún, esta parte maliciosa también podría enviar usuarios a sitios maliciosos reemplazando la dirección IP correcta de un dominio por una maliciosa.

Una espada de doble filo

DoH y DoT se crearon para solucionar todo esto. Tal como Transport Layer Security El cifrado autentica el tráfico web y lo oculta de miradas indiscretas, DoH y DoT hacen lo mismo con el tráfico DNS. Por ahora, DoH y DoT son protecciones complementarias que requieren un trabajo adicional por parte de los usuarios finales de los administradores que los atienden.

La forma más fácil para que las personas obtengan estas protecciones ahora es configurar su sistema operativo (por ejemplo Windows 10 o macOS), navegador (como Firefox o Cromo) u otra aplicación que admita DoH o DoT.

Las recomendaciones del jueves de la NSA advierten que este tipo de configuraciones pueden poner en riesgo a las empresas, particularmente cuando la protección involucra al Departamento de Salud. La razón: el DoH habilitado para dispositivos evita las defensas de la red, como la inspección de DNS, que monitorea las búsquedas de dominio y las respuestas de direcciones IP en busca de signos de actividad maliciosa. En lugar de que el tráfico pase a través del solucionador de DNS reforzado de la empresa, el DoH configurado en el dispositivo del usuario final agrupa los paquetes en un sobre cifrado y lo envía a un solucionador de DoH fuera de las instalaciones.

Los funcionarios de la NSA escribieron:

Muchas organizaciones utilizan resolutores de DNS empresariales o proveedores de DNS externos específicos como elemento clave en la arquitectura general de seguridad de la red. Estos servicios de protección de DNS pueden filtrar dominios y direcciones IP en función de dominios maliciosos conocidos, categorías de contenido restringido, información de reputación, protecciones contra errores tipográficos, análisis avanzado, validación de extensiones de seguridad de DNS (DNSSEC) u otras razones. Cuando se utiliza DoH con solucionadores de DoH externos y se omite el servicio DNS empresarial, los dispositivos de la organización pueden perder estas importantes defensas. Esto también evita el almacenamiento en caché de DNS a nivel local y las mejoras de rendimiento que puede aportar.

El malware también puede aprovechar DoH para realizar búsquedas de DNS que eluden los resolutores de DNS empresariales y las herramientas de monitoreo de red, a menudo con fines de comando y control o exfiltración.

También existen otros riesgos. Por ejemplo, cuando un dispositivo de usuario final con DoH habilitado intenta conectarse a un dominio dentro de la red empresarial, primero enviará una consulta DNS al solucionador de DoH externo. Incluso si la solicitud finalmente falla en el sistema de resolución de DNS de la empresa, aún puede divulgar información de la red interna en el proceso. Además, la canalización de búsquedas de dominios internos a un solucionador externo puede crear problemas de rendimiento de la red.

La imagen que se muestra a continuación muestra cómo DoH con un resolutor externo puede eludir por completo el resolutor de DNS empresarial y las muchas defensas de seguridad que puede proporcionar.

NSA

Traiga su propio DoH

La respuesta, según las recomendaciones del jueves, es para las empresas que desean que DoH confíe en sus propios solucionadores habilitados para DoH, que además de descifrar la solicitud y devolver una respuesta también brindan inspección, registro y otras protecciones.

Las recomendaciones continúan diciendo que las empresas deben configurar dispositivos de seguridad de red para bloquear todos los servidores DoH externos conocidos. Bloquear el tráfico DoT saliente es más sencillo, ya que siempre viaja por el puerto 853, que las empresas pueden bloquear al por mayor. Esa opción no está disponible para frenar el tráfico DoH saliente porque usa el puerto 443, que no se puede bloquear.

La siguiente imagen muestra la configuración empresarial recomendada.

NSA

DoH de resolutores externos está bien para las personas que se conectan desde casa o desde oficinas pequeñas, según las recomendaciones del jueves. Yo iría un paso más allá y diría que es una locura que las personas usen DNS sin cifrar en 2021, después de todas las revelaciones de la última década.

Para las empresas, las cosas tienen más matices.

Leave a Reply

Your email address will not be published. Required fields are marked *