Existen varios tipos de ataques que pueden acabar rompiendo un servicio DNS, de los cuales remarcamos 4:

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Existen varios tipos de ataques que pueden acabar rompiendo un servicio DNS, de los cuales remarcamos 4:"

Juan Manuel Ortega Vargas
hace 6 años
Vistas:

1 Un servicio DNS o mismamente el protocolo DNS (Domain Name Server) es un protocolo que se encarga de traducir direcciones IP ( ) en nombres de dominio (pccomponentes.es). Las direcciones de red ya traducidas son mucho más fáciles de recordar para un usuario que un número con lo que ese protocolo sirve para definir el internet que tenemos ahora. Pero no todo es bueno, ya que como todo, también tiene fallos. Un servicio DNS es muy vulnerable a la hora de ser atacado puesto que si no funciona correctamente la gente de una empresa, en una casa de un particular o de cualquier persona no podría navegar por internet. Existen varios tipos de ataques que pueden acabar rompiendo un servicio DNS, de los cuales remarcamos 4: El primer tipo de ataque DNS se llama un ataque de envenenamiento de caché, donde explicaremos más abajo su principal acción y en que consiste. El segundo trata sobre el DOS (Denial of Service, o Denegación de Servicio), el cual consiste en impedir que los usuarios puedan utilizar el servicio DNS. Aquí podemos ver varias imágenes de cómo sería un ataque DoS:

2 La mejor manera de solucionar un problema es establecer un firewall para limitar el servicio, limitar la cantidad de IP que pueden resolverse, controlar los clientes, etc En cuanto al envenenamiento de la cache DNS hay que remarcar que es un exploit (un error del sistema que puede ser explotado en beneficio, o en este caso para realizar el mal). En 2008 fue descubierta esta grave vulnerabilidad en el Sistema DNS por el investigador Dam Kamisky, esta permitía a un atacante realizar un "envenenamiento de la cache" (cache poisoning attacks). El ataque no era nuevo, sin embargo la forma de explotar esa vulnerabilidad fue lo que clasifico la vulnerabilidad como "muy crítica". El ataque de "envenenamiento de la cache DNS" consiste en "explotar" una vulnerabilidad de modo que el servidor DNS acepta una información "manipulada", al no realizar una validación correcta en las respuestas DNS procedentes de una fuente (servidor) "no autoritativa". Al no validar correctamente el atacante puede "inyectar/manipular" registros siendo estos cacheados en el Servidor DNS. La cache de los Servidores DNS es una pequeña base de datos que contiene el resultado de las peticiones de "nombres de dominio" (DNS) a consultas previas, con objeto de acelerar los tiempos de respuesta. Es decir, cuando los usuarios realizan una petición al realmente el sistema de cache devuelve inmediatamente la IP almacenada en la cache como consulta previa realiza por otro usuario, no llegando a consultar el registro original.

Existen dos tipos de cache: Local: es la base de datos ubicada en los ordenadores de los usuarios, es decir, la cache que guarda tu ordenador cada vez que realizas una consulta mediante el navegador

3 Existen dos tipos de cache: Local: es la base de datos ubicada en los ordenadores de los usuarios, es decir, la cache que guarda tu ordenador cada vez que realizas una consulta mediante el navegador Web. Si deseamos borrar la cache local de DNS, se ejecuta el comando ipconfig /flushdns y si queremos mostrar la cache almacenada utilizaremos el comando ipconfig /displaydns. Remota: la base de datos ubicada en los servidores DNS, utilizada para acelerar las consultas DNS, de forma que ante las mismas consultas, resuelve utilizando el sistema de "cache" y no accediendo al registro DNS correspondiente. El ataque de Dam Kamensky consite en "secuestrar" una sesión (hijack the authority record) procedente de un servidor autoritativo, de forma que el proceso de "envenenamiento" sea mucho más efectivo y rápido. El ataque de envenenamiento más utilizado es el ataque IFrame, de manera que explotan la entrada y visualización de sitios con buen posicionamiento SEO con la finalidad de redirigir a sitios maliciosos. Por ejemplo, si un usuario teclea una dirección en el navegador del tipo en lugar de ser dirigido al servidor de la susodicha página, se enviaría a un sitio fraudulento que podría tener similitudes con la página a la que se desea acceder.

4 El tercer tipo al que nos referimos es el Mac Spoofing o su traducción al español, suplantación de identidad por nombre de dominio. Se trata del falseamiento de una relación Nombre de dominio-ip ante una consulta de resolución de nombre, es decir, resolver con una dirección IP falsa un cierto nombre DNS o viceversa. Dentro del DNS Spoofing podemos subdividir en ataques de TXID (o envenenamiento de la caché de los que hemos hablado previamente) y los MitM (Man in the Middle). Aunque los últimos no van dirigidos directamente contra el servidor, suplantan las peticiones contra el mismo. Como es obvio, todos estos sufren los mismos problemas de eficacia en función de la ubicación del origen y el destino, así como de la existencia de firewalls al igual que hemos visto en el caso del DoS en cuanto a suplantación se refiere. Por último de los 4 grandes ataques que tenemos nos encontramos ante el Man in the Middle (o intermediario), que son ataques contra el flujo de la información entre dos máquinas. El atacante lee y modifica la información del flujo sin que se percaten las máquinas afectadas. Para el caso del DNS, el atacante esnifa las peticiones DNS de la víctima y las responde haciéndose pasar por el servidor DNS que utiliza la víctima. Para este tipo de ataques la suite ADM tiene dos aplicaciones pero es suficiente con decir que están ahí ya que hay otros mucho más versátiles y desarrolladas como ettercap. Dejo como sugerencia al lector el estudio del ettercap por su cuenta ya que hay mucha documentación por la red. Para prevenir dichos ataques existen algunas medidas para prevenir este tipo de ataques y vulnerabilidades: 1) Si el servidor DNS no es accesible desde Internet, no puede realizarse el ataque con éxito. Las empresas con servidores DNS propios, deberán de proteger el acceso a los servidores desde Internet, creando dos zonas (Externa / Interna). Siendo el servidor DNS interno de la red quien tenga mayor relevancia, mientras el externo sea configurado en modo Relay. 2) DNS-Sec: una solución parcial a los problemas existentes en DNS. DNSSEC responde a Domain Name System Security Extensions. DNSSEC es una extensión del protocolo DNS (RFCs 1034 y 1035) y es definido en varias especificaciones por la Internet Engineering Task Force (IETF). Proporciona control de integridad en los registros y consultas de los servidores

5 DNS, aunque todavía existen ciertos problemas de implementación que ponen en duda su efectividad real, pero en teoría la correcta implementación de esta extensión daría con la solución al "envenenamiento de la cache". Existe un proyecto Open Source dedicado a gestionar e implementar DNSSEC en los servidores, denominado OpenDnsSec. 3) La utilización de SSL, se puede considerar una medida efectiva al validar el servidor mediante certificados. El problema real, es que no existe una forma sencilla de que el usuario sea correctamente advertido, y en la mayoría de los casos el "propio" usuario es quién ignora las advertencias de seguridad relacionadas. Es por tanto, una medida técnica efectiva, aunque parcialmente ignorada por la falta de concienciación en seguridad. Realmente, esta vulnerabilidad es inherente al protocolo DNS, por lo que sigue existiendo y por consiguiente es explotable. Sin embargo, existen algunas medidas de mitigación que dificultan la ejecución del ataque y minimizan la probabilidad de éxito. En caso, de no poder aplicar algunas de las medidas de "prevención" anteriormente expuestas, se deben de tomar una serie de precauciones, antes de configurar un servidor DNS con acceso desde Internet. A este respecto los fabricantes han desarrollado un parche para los servidores DNS (software) que realiza la "randomización" de los puertos origen (source port) que se utilizan en las conexiones para reducir la superficie de exposición y la probabilidad de éxito en el ataque. La aplicación del parche disponible por el fabricante no es suficiente, se debe de realizar una configuración segura de los servidores DNS, limitar el uso de consultas recursivas y controlar mediante "listas de acceso" y/o cortafuegos los servidores autorizados.

Documentos relacionados

Jorge De Nova Segundo

Jorge De Nova Segundo La vulnerabilidad Cache poisoning (DNS spoofing). Básicamente consiste en forzar las respuestas de un servidor o resolvedordns para que devuelva la dirección IP que se quiera en vez