DNS Security: Amenazas y Prácticas

Transcripción

4 DDoS y DNS DNS es el segundo protocolo utilizado en ataques DDoS de capa de aplicación (*) Los ataques DDoS son una doble amenaza para el DNS Los ataques DDoS dirigidos a servidores de nombres Los ataques DDoS utilizan servidores de nombres (*) Source: Arbor Networks Services Targeted by Application Layer DDoS attacks Infoblox Inc. All Rights Reserved Infoblox Inc. All Rights Reserved.

5 Los ataques DDoS dirigidos a servidores DNS Los servidores de nombres Autoritativos son un recurso crítico Sin ellos, nadie puede llegar a tu sitio web, enviar correo electrónico, servicios VPN, etc. Los servidores de nombres Autoritativos son fáciles de encontrar dig ns company.example. Un reciente ataque DDoS contra un cliente: 167 Gbps Infoblox Inc. All Rights Reserved Infoblox Inc. All Rights Reserved.

6 Y los ataques DDoS utilizan servidores DNS Por que? Porque los servidores DNS son sorprendentemente unos buenos amplificadores Este va hasta Infoblox Inc. All Rights Reserved Infoblox Inc. All Rights Reserved.

7 DDoS reflection ilustrada Servidores de nombres recursivos abiertos Consulta con IP origen falseada Respuestas a la dirección IP falseada Cliente maligno Objetivo Infoblox Inc. All Rights Reserved Infoblox Inc. All Rights Reserved.

8 Amplificación: Y pasa de 11 $ any isc.org. +norec +dnssec ; <<>> DiG P1 any isc.org. +norec +dnssec ; (2 servers found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: Consulta QUERY, status: NOERROR, id: por isc.org/any ;; flags: qr aa; QUERY: 1, ANSWER: 26, AUTHORITY: 0, ADDITIONAL: 15 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;isc.org. IN ANY ;; ANSWER SECTION: 78 bytes enviados, isc.org IN SOA ns-int.isc.org. hostmaster.isc.org isc.org IN RRSIG SOA isc.org. hufqng5gkbygaevrhjp5as31lshemknpd7g9mjlwztrmd2de6z/ecwux kqxrt5tv0lfwjtgfua0a4svbcz1qhs9d/rhwc7imziu2u+l9tbho+c4j szvgaj9kyvalnbgpmkhdm+wmohwmiy3cykcl5ps8gs5n0q1jdkacarpf HQs= isc.org IN NS sfba.sns-pb.isc.org. isc.org IN NS ns.isc.afilias-nst.info. isc.org IN NS ams.sns-pb.isc.org. isc.org IN NS ord.sns-pb.isc.org. isc.org IN RRSIG NS isc.org. Fdfb5ND2XUlnk/nPcPOaNBCK6307LdrhC/dqdS+TMtBjKMmXU2NJBl0h D8fOnOdKbzlwNk1JLPXq25znMNBw+ZdjMekctR2r2jTO2Xm9mT+su4ff genera 8r1pMcUGhpsq73V6NjIbgA3LT6zfv4gWyFdos60Ma/Bsq26SmpECQFNA 4Kbytes+ RpI= isc.org. 60 IN A isc.org. 60 IN RRSIG A isc.org. CkSV2VzLktJGH2PXEJl1QssxeyyUYM5pALjb06NMW0BC5vcFyuQYng2l NE/Z0J1XIHflWwGo9Gv1YZ0u/K6rGPXwgWmkl/6t0T8uNtk9u3XDhaMx QBg2P2ZAp1NEg6r3ccznGu9y+Q71g/IxcK+5Ok7gI8L18hBTi+vpCAKY q6a= isc.org IN MX 10 mx.pao1.isc.org. isc.org IN RRSIG MX isc.org. fiali/ebgauxvqfl4vht5yzgiy/x0kh2wne37wicvu6bykkqduwf2h5t 4ry2TmdcKj4pqVOJVSDF/A7zzRPkcpcwibTM8h5yDEMJzELAsSimj2mX BFsqTgFGtDXIGV9IU7qryFkVMrDlj9gcLkTlg1EZpyxwQH2y2XCT5BhA bqa= isc.org IN TXT "v=spf1 a mx ip4: /21 ip4: /16 ip6:2001:04f8::0/32 ip6:2001:500:60::65/128 ~all" isc.org IN TXT "$Id: isc.org,v :16:50 dmahoney Exp $" isc.org ~50x IN RRSIG TXT 5 amplificación! isc.org. J0UV7iIvQn7Pzu/itUN1JH4hLg8bjQo/73kBef/T/yzx/P8t6VX+MYDC ysyxnigsi1jpowfyt7qu6excalqewj/z156rebefjls4r18wr+bttzwf ICb+zJ7K7o4meckc7ZQr12gIAXjij09dr9omYoObWo6/IH76S6N3Er4i xdg= isc.org. 60 IN AAAA 2001:4f8:0:2::69 isc.org. 60 IN RRSIG AAAA isc.org. OBWafw6hmgueTvaL06Q3zzpKODW3OIWKxHr3Z30mag1vJW5ECwlkK3xI lpr4a1rg6szijp78yewbwkdb0436cy1ucj0yzsk9ywllw/5hscy1ueah s2tfymzd7udoh0fuls05gunsxk2of3dcg3zh3cd4fmnu8ju1culd2+du W1U= isc.org IN NAPTR 20 0 "S" "SIP+D2U" "" _sip._udp.isc.org. isc.org IN RRSIG NAPTR isc.org. s9cuc6o0e2kgbnffd6dyjyjh1zm5wd0pro1q5akmc7usikfui7mi7q8n VzTqwM/zWh2VzvtV/w1O3IHuSiXBN9k51Loy4WGHJSDcXs865PWjHJwJ jrqfz1be+lsw/azd2ud/igyhcoqpeziocqb6plb+keif3mgr0bhkdjv+ Zw4= isc.org IN NSEC _adsp._domainkey.isc.org. A NS SOA MX TXT AAAA NAPTR RRSIG NSEC DNSKEY SPF isc.org IN RRSIG NSEC isc.org. K3/RL0nn54FkFvcPnaecG26JjQVCZL1g41zB02YssxZnE/3lX9X4O8uk DrONRdvKEeMq51YUy8NBljWAlPOIRYD0lWUMrXuSNHMyGIFwHFIZqNrN CuQUl+24oPQXi3/wWX0TGH5XW9XF2IB+Dc1zdP/5qRHiKCjAnYDNE384 PAQ= isc.org IN DNSKEY BEAAAAOhHQDBrhQbtphgq2wQUpEQ5t4DtUHxoMVFu2hWLDMvoOMRXjGr hhcefvazih7yjhf8zgfw6hd38hxg/xylyco6krpbdojwx8ymxla5/ka+ u50wil8zr1r6ktbsyvmf/qx5rinbpclw+vt+u8exejmo20jis1ulgqy3 47cBB1zMnnz/4LJpA0da9CbKj3A254T515sNIMcwsB8/2+2E63/zZrQz Bkj0BrN/9Bexjpiks3jRhZatEsXn3dTy47R09Uix5WcJt+xzqZ7+ysyL KOOedS39Z7SDmsn2eA0FKtQpwA6LXeG2w+jxmw3oA8lVUgEf/rzeC/bB ybnso70aeftd isc.org IN DNSKEY BQEAAAABwuHz9Cem0BJ0JQTO7C/a3McR6hMaufljs1dfG/inaJpYv7vH XTrAOm/MeKp+/x6eT4QLru0KoZkvZJnqTI8JyaFTw2OM/ItBfh/hL2lm Cft2O7n3MfeqYtvjPnY7dWghYW4sVfH7VVEGm958o9nfi79532Qeklxh x8pxwdeaaru= isc.org IN RRSIG DNSKEY isc.org. ioydvytf4yoahcvxdz6u/fuqcah2f2xvuexeexo48e55vlvsre5gkbg1 Wyn/4FeWLOUVWm5HElbL/hK2QEResp0csAwTnllU7W8fM65aS7pIO9JZ QWMvkPxQjsTYzEP1P2GA8NVGRUhz17RMLLSFgAJS9aEI7xK0fMwsd9U4 Az+B9J8xVz5GGMb8FStEXMYauE9r8Z5G4ZzRZUv619lXYH+Uhha5QUfq Infoblox Inc. All All Rights Reserved. IcVYvtOt+QLlwdWV4Kt3fp3m6KveBAnIiorPSjOd40PfWZD3CQ4GqVIc EyYai55bKN1hVgtFRhL8MqGexvbPvU49RKekeJihf7pzfM6nlo5+Xqvj WBe+EQ==

9 Un poco de matemáticas Si cada bot tiene una conexión a internet de 1 Mbps Puede enviar 1Mbps/78B =~ 1600 qps Esto genera 1600 * 4KB =~ 52 Mbps Por lo que 20 bots > 1 Gbps Infoblox Inc. All Rights Reserved Infoblox Inc. All Rights Reserved.

10 Ataques DNS DoS Dirigidos a la infraestructura DNS directamente como: Ataques TCP SYN Flood Ataques UDP flood Ataques con direcciones origen falseada Ejemplo: ataque originado por una botnet que requiere recursividad, falsea sus direcciones origen y envía un cantidad enorme de peticiones DNS para ahogar un servidor DNS específico Infoblox Inc. All Rights Reserved Infoblox Inc. All Rights Reserved.

11 Buena práctica: Monitoriza el tráfico DNS Monitoriza el tráfico a tus servidores DNS, incluyendo Ratio de consultas agregadas Principales peticionarios Tipos de consultas Genera alertas ante cambios en el tráfico (umbrales, crecimiento) Analizar el tráfico DNS fluida y selectivamente Consultas Y respuestas Infoblox Inc. All Rights Reserved Infoblox Inc. All Rights Reserved.

15 Practica de diseño: Anycast Anycast permite que múltiples y distribuidos servidores DNS compartan una dirección IP virtual única Cada servidor DNS anuncia una ruta a esa dirección a sus vecinos Las consultas enviadas a esa dirección son encaminadas al servidor DNS mas cercano Infoblox Inc. All Rights Reserved Infoblox Inc. All Rights Reserved.

16 Anycast en Acción Cliente Router 1 DNS query to Router Router 3 Routing table from Router 1: Destination Mask Next-Hop Distance / / / Router Server instance A Server instance B Infoblox Inc. All Rights Reserved Infoblox Inc. All Rights Reserved.

17 Anycast en Acción Client Router Router Router 3 Router Server instance A Server instance B Routing table from Router 1: Destination Mask Next-Hop Distance / / / Infoblox Inc. All Rights Reserved Infoblox Inc. All Rights Reserved.

18 Como ayuda Anycast en DDoS? Desde cualquier dirección en Internet, solo puedes ver (y por tanto el ataque) un miembro único del grupo anycast a la vez Si logra saturar la replica, el tráfico cambiará hacia otro miembro La primera replica probablemente se recuperará Es como el juego Whac-A-Mole La mayoría de los servidores root usan anycast Infoblox Inc. All Rights Reserved Infoblox Inc. All Rights Reserved.

20 Ataque de Protocolo Envío de consultas o respuestas malformadas para explotar vulnerabilidades Ejemplos : Paquetes malformados Inserción de código Buffer overflows Corrupción de memoria Infoblox Inc. All Rights Reserved Infoblox Inc. All Rights Reserved.

21 Buena práctica: motor DNS actualizado Vulnerabilidades BIDN en 2013 CVE (mar 13) memory exhaustion Nota: Infoblox NIOS no impactado CVE (june 13) malformed packet Nota: Infoblox NIOS no impactado CVE (july 13) malformed packets has actualizado ya? Nota: parcheo proactivo en Infoblox NIOS antes del anuncio público Infoblox Inc. All Rights Reserved Infoblox Inc. All Rights Reserved.

22 Beneficios del Grid Infoblox Binario único disponible desde el sitio de soporte (vs fichero de parche) Gestión y actualización centralizados Programación de actualización Posibilidad de marcha atrás selectiva (1-clic) Actualización transparente (HA) Actualizaciones a cualquier hora Grid Master Centralized visibility & control All devices are synchronized through a shared distributed database Authoritative NS Authoritative NS Cache/Forwarder Infoblox Grid Infoblox Inc. All Rights Reserved Infoblox Inc. All Rights Reserved.

24 Amenaza: El Malware Usa DNS Malware infecta clientes cuando visitan sitios web maliciosos, cuyos nombres son resueltos usando DNS Malware contacta con los canales command-and-control utilizando dominios de nombres directos que cambian de dirección IP rápidamente Malware puede tunelizar nuevo código malicioso a través de DNS Infoblox Inc. All Rights Reserved Infoblox Inc. All Rights Reserved.

25 Malware usa DNS para operar - ejemplo sitelooksok.com Conexión http al sitio web DNS server para xyzbotcc.com xyzbotcc.com/a (C&C) Respuesta DNS contiene carga (nuevas instrucciones o nuevo malware) sitelooksok.com/a? DNS cache abcbotcc.com/a? xyzbotcc.com/a? DNS cache Consulta DNS contiene un comando Infoblox Inc. All Rights Reserved Infoblox Inc. All Rights Reserved.

26 Túnel TCP-over-DNS HOWTO Paso 1 Consigue un dominio Lo primero que necesitas apuntar a un dominio para localizar tu servidor. Trata de usar un nombre corto para poder incluir mas bytes por consulta. Finalmente necesitamos 2 registros DNS. Paso 2 Monta el servidor Descarga e instala el programa tcp-over-dns software en el servidor que utilizarás. Elige un puerto que quieres que utilice el cliente. Conectarás con este puerto a través del túnel DNS. Las opciones mas usadas son: Proxy server (para navegación sencilla) Un servidor openssh (para controlar el servidor y también funciona como proxy) Paso 3 Instala el cliente Descarga e instala el programa tcp-over-dns software en el cliente a utilizar. Ejecuta el cliente. O sino simplemente instala el app!!! Infoblox Inc. All Rights Reserved Infoblox Inc. All Rights Reserved.

27 Solución: DNS Firewall Muchas organizaciones en Internet siguen la actividad maliciosa Ellos conocen que sitios web son maliciosos Ellos conocen que dominios de nombre busca el malware para localizar los servidores command-and-control DNS Firewall se basa en reglas en lugar de registros Las reglas dicen, Si alguien pregunta un registro de este [malicioso] nombre de dominio, o que apunta a esta [maliciosa] dirección IP, haz esto. Esto es generalmente "devuelve un error" o "devuelve la dirección de esta página de remediación" en su lugar Infoblox Inc. All Rights Reserved Infoblox Inc. All Rights Reserved.

28 Servicio dinámico de reputación Malware de Infoblox Malware Droppers Botnet C&C / DNS Servers Información enviada a través de XFR firmado Infoblox DNS Firewall Inbound Attacks Geographic Blocks Infoblox Malware Data Feed Service - Servicio 24/7 - Datos de 35 bases de datos públicas y propietarias - Cambios de datos de amenazas incrementales enviados cada 2 horas - Amenazas importantes causan actualizaciones inmediatas (notify) Infoblox Inc. All Rights Reserved Infoblox Inc. All Rights Reserved.

29 Implementación DNS firewall ejemplo real Cliente actual de infraestructura DNS cache (gran instituto de investigación) DNS firewall implementado en los 3 DNS cache Política Log only Detectamos el primer troyano de riesgo en una hora Infoblox Inc. All Rights Reserved Infoblox Inc. All Rights Reserved.

31 Dónde comenzar? Por nuestras experiencias, la DMZ es un buen punto de partida Revisión arquitectura externa de DNS y aplicación de buenas prácticas ( podemos ayudar! ) Implementar una capa de DNS cache para resoluciones externas (ej. www. google.com) Beneficios con Infoblox: Visibilidad (informes y alertas) Seguridad (DNS firewall en modo solo lectura para empezar) Fácil gestión (actualizaciones) Rendimiento y experiencia del usuario mayores Robustez frente a ataques DNS DDoS Infoblox Inc. All Rights Reserved Infoblox Inc. All Rights Reserved.