A menos que hayas estado pegado a Internet hace unas semanas, es posible que te hayas perdido el apagón masivo que afectó a la costa este el 21 de octubre. 21
Muchos sitios web populares como Twitter, Reddit, Netflix, Etsy y Spotify fueron inaccesibles para miles de usuarios.
Los expertos han declarado desde entonces que la interrupción fue el resultado de un enorme ataque a los servicios DNS de Dyn, una empresa de infraestructura de Internet.
La preocupación por los ataques a los DNS se ha mantenido en un segundo plano para muchas empresas y compañías de TI por igual, pero eso puede estar cambiando.
Empresas como Google, The New York Times y varios bancos han sido víctimas de una variedad de ataques a los DNS en los últimos años.
Con la seguridad de que se producirán ataques similares, ¿a qué tipos hay que prestar atención?
Ataque nº 1: Envenenamiento de DNS y suplantación de identidad
El envenenamiento de DNS puede dirigir a los usuarios al sitio web equivocado. Por ejemplo, un usuario puede introducir «msn.com» en un navegador web, pero en su lugar se carga una página elegida por el atacante.
Como los usuarios escriben el nombre de dominio correcto, pueden no darse cuenta de que el sitio web que están visitando es falso.
Esto crea una oportunidad perfecta para que los atacantes utilicen técnicas de phishing para extraer información -ya sea credenciales de inicio de sesión o información de tarjetas de crédito- de las víctimas desprevenidas.
El ataque puede ser devastador, dependiendo de varios factores, incluyendo la intención del atacante y el alcance del envenenamiento de DNS.
¿Cómo lo hacen los atacantes? Aprovechando el sistema de caché de DNS.
El caché de DNS de tipo «trickle-down»
El caché de DNS se utiliza en toda la Web para acelerar los tiempos de carga y reducir la carga de los servidores DNS. En pocas palabras, una vez que un sistema consulta un servidor DNS y recibe una respuesta, guarda la información en una caché local para poder consultarla más rápidamente.
Este enfoque se utiliza en toda la web de forma descendente. Los registros de un servidor DNS se utilizan para almacenar en caché los registros de otro servidor DNS. Ese servidor se utiliza para almacenar en caché los registros DNS en los sistemas de red, como los routers. Esos registros se utilizan para crear cachés en máquinas locales.
Cachés DNS envenenadas
El envenenamiento del DNS se produce cuando una de estas cachés se ve comprometida.
Por ejemplo, si la caché de un enrutador de red se ve comprometida, cualquiera que la utilice puede ser dirigido erróneamente a un sitio web fraudulento. Los registros DNS falsos se filtran a las cachés DNS de los equipos de los usuarios.
Esto también puede ocurrir en los niveles superiores de la cadena.
Por ejemplo, se puede comprometer un servidor DNS importante. Esto puede envenenar los cachés de los servidores DNS mantenidos por los proveedores de servicios de Internet. El envenenamiento puede llegar a los sistemas y dispositivos de red de sus clientes, dirigiendo potencialmente a millones de personas a los sitios web elegidos por un atacante.
¿Le parece una locura? No lo es. En 2010, los usuarios de Internet de Estados Unidos se vieron bloqueados de sitios como Facebook y YouTube porque un servidor DNS de un ISP de alto nivel obtuvo accidentalmente registros del Gran Cortafuegos de China.
Antídoto para el veneno
El envenenamiento de la caché DNS es muy difícil de detectar. Puede durar hasta que el TTL, o tiempo de vida, expira en los datos almacenados en la caché o un administrador se da cuenta y resuelve el problema.
Dependiendo de la duración del TTL, los servidores podrían tardar días en resolver el problema por sí mismos.
Los mejores métodos para prevenir un ataque de envenenamiento de la caché DNS incluyen la actualización regular de los programas, el establecimiento de tiempos TTL cortos y la limpieza regular de las cachés DNS de las máquinas locales y los sistemas de red.
Ataque #2: Amplificación DNS para DDoS
Los ataques de amplificación DNS no son amenazas contra los sistemas DNS. En su lugar, explotan la naturaleza abierta de los servicios DNS para reforzar la fuerza de los ataques de denegación de servicio distribuidos (DDoS).
Los ataques DDoS no son ajenos a la atención, ya que tienen como objetivo sitios conocidos como la BBC, Microsoft, Sony y Krebs on Security.
Ampliación y amplificación
Los ataques DDoS suelen producirse con una botnet. El atacante utiliza una red de ordenadores infectados con malware para enviar grandes cantidades de tráfico a un objetivo, como un servidor. El objetivo es sobrecargar el objetivo y ralentizarlo o bloquearlo.
Los ataques de amplificación añaden más fuerza. En lugar de enviar tráfico directamente desde una red de bots a la víctima, la red de bots envía peticiones a otros sistemas. Esos sistemas responden enviando volúmenes de tráfico aún mayores a la víctima.
Los ataques de amplificación de DNS son un ejemplo perfecto. Los atacantes utilizan una red de bots para enviar miles de peticiones de búsqueda a servidores DNS abiertos. Las solicitudes tienen una dirección de origen falsa y están configuradas para maximizar la cantidad de datos devueltos por cada servidor DNS.
El resultado: un atacante envía cantidades relativamente pequeñas de tráfico desde una red de bots y genera volúmenes proporcionalmente mayores -o «amplificados»- de tráfico desde los servidores DNS. El tráfico amplificado se dirige a una víctima, haciendo que el sistema se tambalee.
Defiende y defiende
Los cortafuegos UTM pueden configurarse para reconocer y detener los ataques DDoS en el momento en que se producen, descartando los paquetes artificiales que intentan inundar los sistemas de la red.
Otra forma de combatir los ataques DDoS es alojar la arquitectura de su cliente en varios servidores. De esta manera, si un servidor se sobrecarga, otro servidor seguirá estando disponible.
Si el ataque es pequeño, se pueden bloquear las direcciones IP que envían el tráfico. Además, un aumento en el ancho de banda del servidor puede permitirle absorber un ataque.
También existen muchas soluciones dedicadas y de pago que están diseñadas exclusivamente para combatir los ataques DDoS.
Ataque #3: DNS atacado por DDoS
Los ataques DDoS pueden ser utilizados contra muchos tipos diferentes de sistemas. Esto incluye a los servidores DNS.
Un ataque DDoS exitoso contra un servidor DNS puede hacer que se caiga, haciendo que los usuarios que dependen del servidor no puedan navegar por la web (nota: los usuarios probablemente seguirán pudiendo llegar a los sitios web que han visitado recientemente, suponiendo que el registro DNS se guarde en una caché local).
Esto es lo que le sucedió a los servicios DNS de Dyn, como se describe en la apertura de este post. Un ataque DDoS sobrecargó los sistemas de la compañía, provocando su caída, lo que impidió a miles de personas acceder a los principales sitios web.
La forma de defenderse de estos ataques depende del papel de sus sistemas en el entorno.
¿Por ejemplo, está alojando un servidor DNS? En ese caso, hay medidas que puede tomar para protegerlo, como mantenerlo parcheado y permitir que sólo las máquinas locales accedan a él.
¿Tal vez está tratando de llegar al servidor DNS que está siendo atacado? En este caso, es probable que tenga problemas para conectarse.
Por eso es una buena idea configurar sus sistemas para que dependan de más de un servidor DNS. De esta manera, si el servidor primario se cae, tiene otro como respaldo.
Recomendamos los servidores DNS públicos gratuitos de Google: 8.8.8.8 y 8.8.4.4. También hay instrucciones disponibles para las direcciones IPv6.
Prevenir y mitigar los ataques
Los ataques a los servidores DNS son un riesgo importante para la seguridad de la red y deben tomarse en serio. Tanto las empresas como las compañías de TI deben implementar salvaguardas para prevenir y reducir los efectos de un ataque de este tipo si alguna vez son víctimas de uno.
Como resultado de estos ataques, la ICANN ha comenzado a enfatizar estos riesgos con DNSSEC, una tecnología en ascenso que se utiliza para prevenir los ataques a los servidores DNS.
DNSSEC funciona actualmente «firmando» cada solicitud de DNS con una firma certificada para garantizar la autenticidad. Esto ayuda a los servidores a descartar las solicitudes falsas.
El único inconveniente de esta tecnología es el hecho de que tiene que implementarse en todas las etapas del protocolo DNS para que funcione correctamente, algo que se está consiguiendo de forma lenta pero segura.
Estar atento al desarrollo de tecnologías como DNSSEC, así como mantenerse al día de los últimos ataques al DNS, es una buena forma de mantenerse a la vanguardia.
