Está totalmente preparado para resistir los ataques de DNS?

Transcripción

1 CONTROLE SU RED Está totalmente preparado para resistir los ataques de DNS? Fortalecimiento de infraestructuras de DNS críticas

2 Está totalmente preparado para resistir los ataques de DNS? Fortalecimiento de infraestructuras de DNS críticas Desde el primer trimestre de 2012, el número de ataques a infraestructuras basados en el Sistema de Nombres de Dominio (DNS) ha aumentado en un 200% 1. Por qué? Porque a causa de su naturaleza, el DNS es fácil de atacar. La mayoría de firewalls de empresas están configurados para permitir que el tráfico del puerto 53 proporcione DNS, lo que supone para los atacantes una manera fácil de evadir los sistemas de defensa existentes. Puesto que las consultas de DNS son asimétricas, muchas veces pueden resultar en una respuesta mayor que la consulta, lo que significa que su propio sistema de DNS puede estar creado para amplificar un ataque. Los hackers pueden enviar un paquete de datos y causar una ráfaga que se amplifica varias veces y detiene su negocio en seco. Los atacantes pueden ocultar fácilmente sus identidades, porque el DNS es un protocolo sin estado. A las grandes organizaciones de TI y los proveedores de servicios no les queda otra opción que sortear estas debilidades, porque en la era de Internet, los servicios de DNS son esenciales para prácticamente todas las funciones críticas de los negocios modernos. Si no funciona el DNS, los teléfonos inteligentes no funcionan, una empresa no puede hacer negocios en línea, los equipos no se pueden comunicar de manera eficaz, la productividad disminuye, la satisfacción del cliente cae, los ingresos se reducen y la reputación de la compañía está en riesgo. Este estudio trata de la solución del problema de las amenazas cuyo objetivo es el DNS. Revisa las funciones del protocolo DNS, cataloga los distintos tipos de ataques de DNS para aportar una idea clara de la magnitud de la amenaza, y determina y explica la mejor solución disponible: Protección Avanzada de DNS de Infoblox, el primer dispositivo de DNS que se protege a sí mismo y cierra la brecha en la estructura de seguridad general. Cómo funciona y qué hace el DNS Antes de tratar las amenazas y cómo evitarlas, echaremos un vistazo a los aspectos básicos del DNS. El DNS es la libreta de direcciones para cada destino en Internet. Transforma los nombres de dominio como infoblox.com en direcciones IP como Esto significa que el DNS determina si las comunicaciones y las solicitudes llegan a las direcciones correctas. Las empresas y los proveedores de servicios necesitan servicios rápidos y precisos para el tráfico entrante y saliente a fin de desarrollar sus negocios en línea. Las comunicaciones con proveedores, clientes y las ubicaciones de la empresa tienen lugar a través de correo electrónico, sitios web y la transferencia de archivos HTTP. Un efecto secundario significativo del procesamiento del DNS es que los servidores DNS son un poco como las puertas principales de un centro comercial: permiten entrar a los clientes y a los ladrones. Hay dos tipos de servidores de nombres DNS: autoritativos y recursivos. Los servidores DNS autoritativos son el punto de entrada a los servicios de una empresa. Solo responden a consultas sobre los nombres de dominio para los que han sido configurados o sobre los nombres en un conjunto específico de zonas. Los servidores DNS que se conectan a Internet suelen estar configurados en modo autoritativo y son el objetivo de ataques externos como la amplificación, la reflexión y los ataques. 1

3 Los servidores DNS recursivos, también conocidos como «servidores de almacenamiento en caché», responden a consultas preguntando la respuesta a otros servidores de nombres. En ocasiones, extraen las respuestas de una caché, de ahí el nombre alternativo. Si un servidor recursivo no encuentra la respuesta que necesita en una caché, cruza el árbol de espacio para nombres, repitiendo la consulta, siguiendo referencias de los servidores autoritativos, hasta que encuentra un servidor de nombres que proporciona la respuesta. En otras palabras, los servidores de nombres recursivos dependen de los servidores de nombres autoritativos. Los servidores de nombres recursivos suelen implementarse de manera interna para suministrar servicios a los usuarios internos. Estos están expuestos a ataques que proceden de los usuarios de dentro de la empresa. Un catálogo de amenazas de DNS La cantidad de amenazas potenciales en el momento de esta publicación es realmente alarmante. Las hemos enumerado y las hemos descrito brevemente en este documento. El objetivo de los ataques de amplificación de DNS directos es congestionar el ancho de banda saliente de los servidores DNS. Empiezan enviando una gran cantidad de consultas de DNS, creadas especialmente para que resulten en una respuesta de gran volumen que puede llegar a ser 70 veces el tamaño de la solicitud. Puesto que el DNS se basa en el Protocolo de Datagramas de Usuario (UDP), el atacante puede usar un pequeño volumen de tráfico saliente para que el servidor DNS genere un volumen mucho mayor, lo que resulta en la congestión de la carga del servidor DNS y, en última instancia, en una denegación de servicio (DoS). Los ataques de reflexión utilizan un servidor DNS de terceros (normalmente un servidor de nombres recursivo abierto) en Internet para propagar un ataque DoS o DDoS enviando consultas al servidor recursivo. Los servidores recursivos procesan consultas de cualquier dirección IP y devuelven respuestas. El ataque suplanta las consultas de DNS que envía incluyendo la dirección IP de la víctima como IP de origen en la consulta, de modo que ésta tiene información del servidor de la víctima en lugar de información del atacante. Así, cuando el servidor de nombres recursivo recibe las solicitudes, envía todas las respuestas a la dirección IP de la víctima. Un gran volumen de dicho tráfico «reflejado» puede colapsar el sitio de la víctima. Los ataques DoS (DrDoS) de reflexión distribuidos combinan la reflexión y la amplificación y aumentan considerablemente el tamaño de la respuesta a las consultas iniciales y la probabilidad de que el servidor de la víctima se vea saturado. Irónicamente, las Extensiones de Seguridad de DNS (DNSSEC), diseñadas para proteger contra las respuestas de DNS a través del cifrado y evitar el envenenamiento de la caché, pueden hacer que este tipo de ataque sea incluso más efectivo porque los usos de DNSSEC de las firmas criptográficas resultan en mensajes de DNS de mayor volumen. La amplificación puede llegar a multiplicarse por 100 y los atacantes pueden utilizar redes de bots (utilizando a menudo miles de servidores) para aumentar enormemente el número de consultas enviadas. Esta es una amenaza especialmente pesada y difícil de contrarrestar. Hay aproximadamente 33 millones de servidores 2 de DNS recursivos, 28 millones de los cuales no tienen controles de acceso y se pueden utilizar en ataques DrDoS. 2

4 Internet Servidores recursivos abiertos Consultas falsificadas Paquetes reflejados amplificados Atacante Figura 1: un ataque DoS de reflexión distribuida Víctima Los ataques de congestión de TCP/UDP/ICMP son ataques volumétricos con cantidades masivas de paquetes que consumen el ancho de banda y los recursos de la red. Atacan el Protocolo de Control de Transferencia (TCP), el Protocolo de Datagramas de Usuario (UDP) y el Protocolo de Mensajes de Control de Internet (ICMP). Las congestiones de UDP envían una gran cantidad de paquetes de UDP a puertos aleatorios en un servidor remoto, que buscan aplicaciones conectadas al puerto y no las encuentran. A continuación, el servidor remoto se ve obligado a devolver una gran cantidad de paquetes de destino inalcanzable de ICMP al atacante que indican que el destino es inalcanzable. El atacante también puede suplantar la dirección IP de devolución de modo que las respuestas no se dirigen a los servidores del atacante. El envío de las respuestas agota los recursos de la víctima y provoca que sean inalcanzables. Las congestiones TCP SYN consisten un grandes volúmenes de conexiones TCP semiabiertas que provocan que los servidores dejen de responder a otras solicitudes de clientes para abrir nuevas conexiones. Este ataque aprovecha el modo en que TCP establece conexiones. Cada vez que un cliente como, por ejemplo, un explorador intenta abrir una conexión, se almacena información en el servidor. Puesto que esta acción consume memoria y recursos del sistema operativo, el número de conexiones en curso se limita generalmente a menos de diez. A continuación, el servidor envía una respuesta al cliente, que devuelve un acuse de recibo, y se establece la conexión. En este punto, los recursos en cola se liberan para aceptar otras conexiones. Durante un ataque, el software atacante genera paquetes suplantados que para el servidor parecen nuevas conexiones válidas. Estos paquetes se ponen en cola pero la conexión nunca se completa, de modo que las conexiones falsas permanecen en cola hasta que se agota el tiempo de espera. El sistema atacado deja de responder a las nuevas conexiones hasta que el ataque cesa. 3

5 Los ataques de ICMP utilizan dispositivos de red como enrutadores para enviar mensajes de error cuando un servicio solicitado no está disponible o no se puede alcanzar el servidor remoto. Entre los ataques de ICMP se incluyen las congestiones de ping, los ataques ping-of-death y los ataques smurf. Las congestiones de ping envían paquetes de ICMP rápidamente sin esperar a las respuestas, lo que inunda a sus víctimas con los paquetes de respuesta eco de ICMP que devuelven. Los ataques ping-of-death son paquetes de ICMP de tamaño sobredimensionado enviados de manera fragmentada. Cuando el servidor objetivo reagrupa estos fragmentos, los paquetes son superiores al tamaño de paquete máximo permitido y bloquean el servidor debido al flujo excesivo de búferes de memoria. Los ataques smurf implican la suplantación de paquetes de ICMP con la dirección de origen de la víctima y la retransmisión en una red informática. Todos los dispositivos de la red responden a estos paquetes y las respuestas congestionan el servidor de la víctima. Los ataques basados en DNS utilizan errores de software en el análisis de protocolo y la implementación de procesamiento para explotar vulnerabilidades en el software de los servidores DNS. Mediante el envío de paquetes de DNS malformados al servidor DNS objetivo, el atacante puede provocar que el servidor deje de responder o se bloquee. El envenenamiento de la caché de DNS consiste en insertar un registro de dirección falso de un dominio de Internet en la consulta de DNS. Si el servidor DNS acepta el registro, se responde a la dirección del dominio posteriormente con la dirección de un servidor controlado por el atacante. Durante el tiempo en que la entrada falsa se almacena en caché, las solicitudes web y los correos electrónicos entrantes se dirigen a la dirección del atacante. Los nuevos ataques de envenenamiento de la caché, como la, utilizan fuerza bruta y congestionan las respuestas y las consultas de DNS al mismo tiempo, esperando a obtener una coincidencia en una de las respuestas y envenenar la caché. Las anomalías de protocolo envían paquetes de DNS malformados, incluidos valores de encabezado y carga inesperados, al servidor objetivo, de manera que este deja de responder o se bloquea provocando un bucle infinito en el servidor. En ocasiones, estos ataques toman la forma de ataques de suplantación. El reconocimiento consiste en intentar obtener información sobre el entorno de red antes de lanzar un gran ataque DDoS u otro tipo de ataque. Las técnicas incluyen la exploración de puertos y la búsqueda de versiones y autores. Estos ataques muestran patrones de comportamiento anómalo que, si se identifican, pueden proporcionar advertencias anticipadas. La tunelización de DNS implica la tunelización de otro protocolo a través del puerto 53 de DNS, que está autorizado si el firewall está configurado para transportar tráfico que no es de DNS, con el fin de filtrar datos. Una aplicación de tunelización con licencia ISC gratuita para enviar tráfico IPv4 a través de servidores de DNS se utiliza ampliamente en este tipo de ataque. Deficiencias de las medidas de seguridad existentes Hay algunas soluciones de seguridad que aseguran ofrecer protección para el DNS, aunque lo cierto es que su protección es limitada. La mayoría son soluciones externas que están «adosadas» como una ocurrencia tardía en lugar de ser creadas desde el principio para proteger el DNS contra los ataques. Las soluciones utilizan enfoques como el aprovisionamiento excesivo, la inspección profunda de paquetes, la protección contra DDoS genéricos, el límite de tasa simple y la entrega en la nube. 4

6 Enfoque 1: Aprovisionamiento excesivo. Se pueden utilizar tecnologías como, por ejemplo, balanceadores de carga para responder a un ataque de DDoS mediante el aumento de la capacidad de la red y esperando que el ataque se detenga en algún punto. Este enfoque no podrá mantenerse con el rápido crecimiento de los ataques de DDoS y, además, no se puede utilizar para supervisar el tráfico de DNS ilegítimo o malformado. Enfoque 2: Inspección profunda de paquetes. Los firewalls y los dispositivos IPS de última generación ofrecen protección contra las vulnerabilidades comunes y los DDoS básicos de capa 3. Sin embargo, no tienen la capacidad de detectar o mitigar las anomalías de protocolo específicas de DNS ni los ataques basados en DNS. Requieren un rendimiento informático muy alto para detectar con precisión los ataques basados en DNS, lo que provoca que la inspección profunda sea un enfoque poco práctico en términos de coste y de la cantidad de puntos de distribución necesarios. Enfoque 3: Protección contra DDoS genéricos. Estas soluciones cubren un amplio rango de ataques DDoS pero no incluyen un conocimiento profundo de los ataques basados en DNS. Enfoque 4: Soluciones basadas en la nube. Las soluciones basadas en la nube se centran en ataques volumétricos solamente, sin proteger contra malformación DNS y otros tipos de ataques. También generan preocupaciones sobre privacidad 3, pueden ser eludidas 4 y pueden resultar en problemas de latencia. Enfoque 5: Límite de la tasa de respuesta simple (RRL). El RRL simple sin inteligencia es un enfoque de tamaño único para determinar un umbral que puede hacer que se reduzca el tráfico legítimo. Las distintas fuentes de tráfico de DNS pueden tener requisitos diferentes. Por ejemplo, un servidor de almacenamiento en caché de DNS descendente puede generar 100 veces el tráfico de base en comparación con un origen de escritorio normal, y ese tráfico puede ser legítimo. Un servidor proxy HTTP o de correo electrónico tiene un patrón de tráfico de DNS mayor. Así pues, el límite de tasa simple generará demasiados positivos falsos, lo que significa que los empleados y los clientes no podrán acceder a los recursos durante un ataque de DDoS determinado. Cerrar la brecha de seguridad del DNS con protección completa contra las amenazas Actualmente, solo hay una manera eficaz de abordar estas amenazas de DNS en la seguridad de su red: directamente desde dentro de los propios servidores DNS. Infoblox le puede ayudar a hacerlo, ya que contamos con un conocimiento profundo del protocolo de DNS y nuestros servidores responden a las solicitudes de DNS. Protección Avanzada de DNS de Infoblox proporciona un enfoque único de protección contra los ataques basados en DNS. Su inteligencia distingue el tráfico de DNS legítimo del tráfico de ataques y reduce automáticamente el tráfico de DNS malintencionado a la vez que responde al tráfico legítimo. Además, Protección Avanzada de DNS recibe actualizaciones automáticas basadas en el análisis y la investigación de amenazas que proporcionan protección contra los ataques nuevos y emergentes. Las capacidades de la solución se describen a continuación. 5

7 Servidor DNS fortalecido: la mejor protección contra ataques basados en DNS El Dispositivo avanzado de Infoblox es un servidor DNS fortalecido con seguridad integrada. Se puede configurar como un servidor autoritativo externo o un servidor DNS recursivo para proteger de ataques externos o internos. El dispositivo avanzado utiliza los procesadores programables de última generación que ofrecen un sistema dedicado para mitigar las amenazas. No hay mejor manera de proteger la red contra ataques basados en DNS que con un servidor DNS. Detección y mitigación únicas Protección Avanzada de DNS supervisa, detecta y reduce los paquetes de ataques basados en DNS, incluyendo la amplificación, la reflexión, las congestiones, los ataques, la tunelización, el envenenamiento de la caché y las anomalías de protocolo, y los mitiga al mismo tiempo que responde al tráfico legítimo. Esto garantiza los servicios de DNS críticos incluso cuando sufren un ataque. El sistema también recibe actualizaciones automáticas basadas en el análisis y la investigación de amenazas para ofrecer protección contra ataques de DNS nuevos y en evolución a medida que aparecen. Visibilidad centralizada de ataques A través de los informes completos, Protección Avanzada de DNS proporciona una vista centralizada de ataques ocurridos en su red y ofrece la inteligencia necesaria para tomar medidas. Estos informes incluyen detalles como el número de eventos por categoría, regla, gravedad, análisis de tendencias de miembros y análisis basados en el tiempo. Están accesibles a través del servidor de generación de informes de Infoblox. Personalizable para sus necesidades únicas Cada empresa tiene distintos patrones de flujo de tráfico de DNS que pueden variar según la estacionalidad, la hora del día o el área geográfica. Por ejemplo, un sitio de venta al por menor online puede esperar niveles de tráfico mucho mayores en Cyber Monday y durante la temporada de compras navideñas que un banco pequeño. Un límite de tasa aceptable para una ubicación de ventas podría ser un límite de tasa inusual para el banco. Protección Avanzada de DNS permite establecer límites de tráfico personalizables, lo que le permite ajustar los parámetros de protección en función de sus patrones de flujo de tráfico de DNS únicos. De este modo, puede responder al tráfico legítimo sin problemas y a la vez bloquear o reducir el tráfico malintencionado. Profundización en la eficacia de Protección Avanzada de DNS de Infoblox Ningún enfoque puede proteger contra las numerosas y variadas técnicas utilizadas para atacar servidores DNS, por lo que Protección Avanzada de DNS de Infoblox combina una gama de respuestas tecnológicas específicas. Los límites de tasa inteligente pueden frenar los ataques DDoS y de congestión de DNS sin denegar los servicios a usuarios legítimos. Los límites de tasa inteligente utilizan la capacidad de Protección avanzada de DNS para discriminar entre los distintos tipos de consulta y las tasas asociadas a estos. Por ejemplo, un servidor de almacenamiento en caché de DNS descendente puede generar 100 veces el tráfico de base en comparación con una fuente normal de escritorio, y ese tráfico puede ser legítimo. Un servidor proxy HTTP o de correo electrónico tiene una mayor demanda de tráfico de DNS, la cual es legítima. 6

8 - La limitación de peticiones basada en el origen detecta consultas anómalas por fuente y provoca el fracaso de los métodos de fuerza bruta. - La limitación de peticiones basada en el destino detecta los aumentos anómalos del tráfico agrupados por dominios objetivo. Los procesadores programables de última generación proporcionan un filtrado del tráfico de alto rendimiento que hace posible reducir el tráfico malintencionado y responder a consultas legítimas. Detectar la actividad de reconocimiento e informar al respecto puede servir para identificar ataques y permitir a los equipos de la red estar preparados antes de que se lancen. Analizar paquetes de patrones de ataques que son objetivo de vulnerabilidades específicas permite detener algunos ataques antes de que alcancen el software de DNS. La visibilidad centralizada y la generación de informes permiten a los equipos de la red reconocer ataques que se producen en distintas partes de la red. Esto permite obtener una buena foto y proporciona información sobre el alcance y la gravedad de los ataques para poder tomar las medidas adecuadas. La protección continua a través de actualizaciones de Infoblox asegura la evolución de Protección Avanzada de DNS a fin de abordar el escenario de amenazas cambiante. Protección Avanzada de DNS es un servidor DNS y no procesará tráfico ilegítimo, a diferencia de los dispositivos en línea, que no tienen la inteligencia o el conocimiento acerca del tráfico de DNS. Todas estas técnicas contribuyen al mismo resultado: continuar ofreciendo servicios de DNS sólidos incluso cuando sufren un ataque. Es hora de cerrar la brecha de seguridad del DNS en su red? Esperamos haberle concienciado con este estudio acerca de la importancia de la vulnerabilidad del DNS y haberle convencido de que el estado y la seguridad de su red puede depender de que complete sus medidas de seguridad con la protección específica de DNS. La seguridad integrada es mejor que la seguridad adosada. No hay mejor lugar para proteger de las técnicas de ataques DNS que desde dentro de los servidores DNS objetivo. La única solución creada con este aspecto en mente es Protección Avanzada de DNS de Infoblox. Póngase en contacto con nosotros para obtener más información sobre esta protección crítica contra las amenazas más peligrosas a las que se enfrenta su red. Acerca de Infoblox Infoblox (NYSE:BLOX) ayuda a sus clientes a controlar sus redes. Las soluciones de Infoblox ayudan a las empresas a automatizar las complejas funciones de control de red para reducir costes y aumentar la seguridad y el tiempo de funcionamiento. Nuestra tecnología permite la detección automática, la gestión de cambios y la configuración en tiempo real y el cumplimiento de una infraestructura de red, así como funciones críticas de control de red, como administración de direcciones IP (IPAM), DNS y DHCP para aplicaciones y dispositivos de punto final. Las soluciones de Infoblox ayudan a más de 6900 empresas y proveedores de servicios en 25 países diferentes a controlar sus redes. 1 Informe trimestral de ataques de DDoS globales de Prolexic de T1 de

9 US Corporate Headquarters: (toll-free, U.S. and Canada) EMEA Headquarters: Spain/Portugal: Mexico/Latin America: Infoblox Inc. Todos los derechos reservados. infoblox-whitepaper-prepare-withstand-dns-attacks-dec2013