Jorge De Nova Segundo

La vulnerabilidad Cache poisoning (DNS spoofing). Bsicamente consiste en forzar las respuestas de un servidor o resolvedor DNS para que devuelva la direccin IP que se quiera en vez de la direccin IP real. Este tipo de ataques ya fue observado en 1993 en un artculo llamado 'Addressing Weaknesses in the Domain Name System Protocol' y posteriormente durante los aos siguientes han aparecido varias vulnerabilidades parecidas generalmente relacionadas con problemas de generacin de nmeros aleatorios. el CERT norteamericano es claro en un aspecto: la nica solucin vlida para evitar la vulnerabilidad es usar DNSSEC, una extensin al protocolo DNS que lleva muchos aos disponible pero no ha tenido mucho xito su implementacin. An as, han salido varios parches que mitigan en parte la vulnerabilidad, pero no la eliminan por completo, con lo que hay que tener cuidado a la hora de actualizar los servidores DNS y analizar las consecuencias.

Amenazas para la seguridad DNS

La ocupacin es el proceso mediante el cual un intruso obtiene los datos de zona DNS para obtener los nombres de dominio DNS, nombres de equipo y direcciones IP de recursos de red importantes. Un intruso suele empezar un ataque utilizando estos datos DNS para obtener un diagrama u ocupacin, de una red. Los nombres de equipo y dominio DNS suelen indicar la funcin o ubicacin de un dominio o equipo para ayudar a los usuarios a recordar e identificar los dominios y equipos con mayor facilidad. Un intruso se aprovecha del mismo principio DNS para aprender la funcin o ubicacin de dominios y equipos en la red. Un ataque por servicio denegado se produce cuando un intruso intenta denegar la disponibilidad de los servicios de red desbordando uno o varios servidores DNS de la red con consultas recursivas. Cuando un servidor DNS se desborda con consultas, el uso de la CPU alcanzar su nivel mximo y el servicio del Servidor DNS dejar de estar disponible. Sin un servidor DNS completamente operativo en la red, los servicios de red que utilicen DNS dejarn de estar disponibles para los usuarios de la red.

La modificacin de datos es un intento del intruso (que ha ocupado una red mediante DNS) de utilizar direcciones IP vlidas en paquetes IP que ha creado l mismo, de manera que proporciona a estos paquetes la apariencia de proceder de una direccin IP vlida de la red. Esto se denomina comnmente IP ficticia. Con una direccin IP vlida (una direccin IP dentro del rango de direcciones IP de una subred), el intruso puede tener acceso a la red y destruir datos o realizar otro tipo de ataque. La redireccin se produce cuando un intruso puede redirigir consultas de nombres DNS a servidores que l controle. Un mtodo de redireccin incluye el intento de contaminar la cach DNS de un servidor DNS con datos DNS errneos que pueden dirigir consultas futuras a servidores que controle el intruso. Por ejemplo, si se realiz una consulta originalmente para ejemplo.microsoft.com y la respuesta de referencia proporcion el registro de un nombre externo al dominio microsoft.com, como usuariomalintencionado.com, el servidor DNS utilizar los datos de la cach de usuario-malintencionado.com para resolver la consulta de dicho nombre. La redireccin puede realizarse siempre que el intruso disponga de acceso de escritura a datos DNS, como ocurre, por ejemplo, con las actualizaciones dinmicas no seguras.

DoS (Denial of Service) Como su propio nombre indica, estos ataques consisten en impedir que los usuarios utilicen el servicio. Normalmente provoca la prdida de la conectividad de la red por el consumo del ancho de banda de la red de la vctima o sobrecarga de los recursos computacionales del sistema de la vctima. Se genera mediante la saturacin de los puertos con flujo de informacin, haciendo que el servidor se sobrecargue y no pueda seguir prestando servicios, por eso se le denomina "denegacin", pues hace que el servidor no d abasto a la cantidad de solicitudes.

DNS Spoofing Suplantacin de identidad por nombre de dominio. Se trata del falseamiento de una relacin Nombre de dominio-IP ante una consulta de resolucin de nombre, es decir, resolver con una direccin IP falsa un cierto nombre DNS o viceversa. Dentro del DNS Spoofing podemos subdividir En ataques de TXID (o envenenamiento de la cach) y los MitM (Man in the Middle). Aunque los ltimos no van dirigidos directamente contra el servidor, suplantan las peticiones contra el mismo. Como es obvio, todos estos sufren los mismos problemas de eficacia en funcin de la ubicacin del origen y el destino, as como de la existencia de firewalls al igual que hemos visto en el caso del DoS en cuanto a suplantacin se refiere.

Los ataques Man in the Middle (o intermediario) Son ataques contra el flujo de la informacin entre dos mquinas. El atacante lee y modifica la informacin del flujo sin que se percaten las mquinas afectadas. Para el caso del DNS, el atacante esnifa las peticiones DNS de la vctima y las respondehacindose pasar por el servidor DNS que utiliza la vctima.

Footprinting Los intrusos pueden lograr una gran cantidad de informacin acerca de la infraestructura de la red interceptando los paquetes de DNS para de esta manera lograr identificar sus objetivos, capturando el trfico de DNS los intrusos pueden aprender acerca del sistema de nombres del dominio, los nombres de las mquinas, y el esquema de IP que se emplea en una red. Esta informacin de red revela la funcionalidad de ciertas mquinas presentes en la misma permitiendo al intruso decidir cules son los objetivos ms fructferos y otra forma de atacarlos.

Redireccionamiento
En este tipo de ataque de un intruso causa que el servidor de DNS redirecciones todas las consultas de resolucin de nombres an servidor incorrecto que esta bajo el control del atacante el atacante de lograr esta tcnica mediante la corrupcin o envenenamiento del cach del servidor utilizando actualizaciones dinmicas

Existen Tres niveles de seguridad DNS Los siguientes tres niveles de seguridad DNS le ayudarn a comprender su configuracin DNS actual y le permitirn aumentar la seguridad DNS de su organizacin.

Seguridad de bajo nivel Seguridad de nivel medio Seguridad de Alto nivel

Seguridad de bajo nivel La seguridad de bajo nivel es una implementacin DNS estndar sin precauciones de seguridad configuradas. Implemente este nivel de seguridad DNS nicamente en entornos de red donde no preocupe la integridad de sus datos DNS o en una red privada donde no existan amenazas de conectividad externa. La infraestructura DNS de su organizacin est completamente expuesta a Internet. Todos los servidores DNS de su red realizan resolucin DNS estndar. Todos los servidores DNS estn configurados con sugerencias de raz dirigidas a los servidores raz para Internet. Todos los servidores DNS permiten transferencias de zona a cualquier servidor. Todos los servidores DNS estn configurados para atender en todas sus direcciones IP. La prevencin de contaminacin de la cach se encuentra deshabilitada en todos los servidores DNS. La actualizacin dinmica se permite en todas las zonas DNS. El puerto 53 del Protocolo de datagramas de usuario (UDP, User Datagram Protocol) y el Protocolo de control de transmisin/Protocolo Internet (TCP/IP, Transmission Control Protocol/Internet Protocol) est abierto en el servidor de seguridad de su red tanto para direcciones de origen como de destino.

Seguridad de nivel medio

La seguridad de nivel medio utiliza las caractersticas de seguridad DNS disponibles sin ejecutar servidores DNS en controladores de dominio ni almacenar zonas DNS en Active Directory.
La infraestructura DNS de su organizacin tiene una exposicin a Internet limitada. Todos los servidores DNS estn configurados para utilizar reenviadores orientados a una lista especfica de servidores DNS internos cuando no puedan resolver nombres de manera local. Todos los servidores DNS limitan las transferencias de zona a los servidores indicados en los registros de recursos de servidor de nombres (NS, Name Server) de sus zonas. Los servidores DNS estn configurados para atender en las direcciones IP especificadas. La prevencin de contaminacin de la cach se encuentra habilitada en todos los servidores DNS. La actualizacin dinmica no segura no se permite en ninguna zona DNS. Los servidores DNS internos se comunican con servidores DNS externos a travs del servidor de seguridad mediante una lista limitada de las direcciones de origen y destino permitidas. Los servidores DNS externos que hay delante de su servidor de seguridad estn configurados con sugerencias de raz dirigidas a los servidores raz para Internet. Toda la resolucin de nombres de Internet se realiza utilizando servidores proxy y puertas de enlace.

Seguridad de alto nivel La seguridad de alto nivel utiliza la misma configuracin que la de nivel medio y adems utiliza las caractersticas de seguridad disponibles cuando el servicio del Servidor DNS se est ejecutando en un controlador de dominio y las zonas DNS se almacenan en Active Directory. Adems, la seguridad de alto nivel elimina por completo la comunicacin DNS con Internet. Esta no es una configuracin tpica, aunque es la recomendada siempre que no sea necesaria la conectividad con Internet. La infraestructura DNS de su organizacin no tiene comunicacin con Internet a travs de servidores DNS internos. Su red utiliza una raz y un espacio de nombres DNS internos, en la que toda la autoridad para zonas DNS es interna. Los servidores DNS configurados con reenviadores slo utilizan direcciones IP del servidor DNS interno.

Todos los servidores DNS limitan las transferencias de zona a direcciones IP especificadas. Los servidores DNS estn configurados para atender en las direcciones IP especificadas. La prevencin de contaminacin de la cach se encuentra habilitada en todos los servidores DNS. Los servidores DNS internos estn configurados con sugerencias de raz dirigidas a los servidores DNS internos que alojan la zona raz para su espacio de nombres interno. Todos los servidores DNS se ejecutan en controladores de dominio. En el servicio Servidor DNS se configura una lista de control de acceso discrecional (DACL, Discretionary Access Control List) para que slo permita realizar tareas administrativas en el servidor DNS a usuarios especficos. Todas las zonas DNS se almacenan en Active Directory. La DACL est configurada para que slo permita crear, eliminar o modificar zonas DNS a usuarios especficos. Las DACL estn configuradas en los registros de recursos DNS para que slo permitan crear, eliminar o modificar datos DNS a usuarios especficos. La actualizacin dinmica segura se configura para las zonas DNS, excepto en las zonas raz y de nivel superior, que no permiten las actualizaciones dinmicas.