Lanzamiento de nuevas funciones de seguridad de DNS propuestas



El equipo de I + D de Verisign ha desarrollado nuevas formas de autenticar y optimizar el tráfico de DNS en el lado del cliente del proceso de resolución de nombres de dominio.

¿Qué pasaría si el sistema de nombres de dominio (DNS) garantizara que solo los usuarios autenticados y autorizados pudieran acceder al servidor de correo electrónico o la puerta de enlace VPN de una empresa?

Eso es lo que podría hacer una de las dos nuevas tecnologías para servidores de nombres DNS propuestas por el grupo de investigación y desarrollo de Verisign. La denominada resolución autenticada requeriría que la máquina cliente se autenticara en el servidor de nombres DNS devolvería una respuesta de dirección de red solo si el cliente está autorizado a acceder a los recursos que solicita a través de la solicitud de dominio. La resolución autenticada también podría ayudar a frustrar los ataques distribuidos de denegación de servicio (DDoS): los atacantes no podrían acceder a las direcciones reales de sus objetivos porque no estarían autorizados a hacerlo.

El DNS de casi 40 años es la tecnología subyacente que traduce, o resuelve, nombres de dominio a sus direcciones IP en World wide web. Creado para la interconexión en los días relativamente inocentes de I + D ARPANET, el DNS se ha ampliado en términos de seguridad durante las últimas dos décadas con el crecimiento explosivo de World-wide-web.

Verisign también ha diseñado una tecnología a la que llama Adaptive Resolution, que acelera el acceso autorizado a las páginas world-wide-web. Acelera el proceso porque el servidor de nombres obtiene información por adelantado sobre el cliente autenticado, como su dispositivo y navegador. Eso garantiza que se acceda a la información y se muestre rápidamente y en un formato óptimo para el dispositivo. Al servidor de nombres también se le proporcionará la preferencia de idioma del usuario, por ejemplo, para que devuelva la dirección de crimson de un servidor world wide web optimizado para ese idioma. Hoy en día, ese tipo de detalles ocurren en etapas posteriores de la sesión de Internet y conllevan varios pasos.

El vicepresidente senior y CTO de Verisign, Burt Kaliski, dice que el equipo de I + D de la compañía ha estado trabajando en estas soluciones de autenticación y resolución de DNS durante varios años. Con el cifrado de DNS en el horizonte, el momento period el adecuado, dice. «Estamos en una nueva era del DNS», dice, donde hay formas de mejorar la seguridad y la eficiencia en las capas inferiores de la jerarquía del DNS, donde está involucrada la mayor parte de la información más smart. «El cambio a la encriptación de DNS por debajo de los dominios de nivel excellent y raíz es una gran oportunidad para repensar cómo estamos haciendo DNS».

Según Verisign, el cifrado de DNS permite a los clientes interactuar directamente con los resolutores de DNS específicos de la aplicación o de la empresa. Por lo tanto, la seguridad se puede distribuir de manera más granular en este nivel inferior del proceso de DNS, según el cliente, la aplicación y la empresa.

El cifrado de DNS tiene como objetivo proteger la privacidad de los usuarios finales, pero conlleva sus propios desafíos. Los nuevos estándares de Web que se avecinan, como DNS sobre HTTPS (DoH), TLS 1.3 ESNI (Indicación de nombre de servidor cifrado) y HTTP / 3 sobre el protocolo de transporte de Online QUIC, podrían impedir que los firewalls de próxima generación y otras herramientas de seguridad detecten y filtrar el tráfico malicioso, según Paul Vixie, presidente, director ejecutivo y cofundador de Farsight Safety. Él y otros expertos en DNS han advertido a las empresas que se preparen para el cifrado ahora mediante la creación de proxies: un DNS privado para el lado de acceso de su tráfico, por ejemplo, u otra red privada administrada que les permita visibilidad con sus firewalls de próxima generación.

Actualización de seguridad de DNS
Danny McPherson, vicepresidente ejecutivo y director de seguridad de Verisign y uno de los inventores de la resolución autenticada y adaptable (AAR), dice que la resolución autenticada podría mejorar la seguridad del DNS. «Básicamente se trata de minimizar la superficie de ataque», dice sobre la resolución autenticada.

Una aplicación de banca móvil, por ejemplo, podría garantizar que solo los miembros autorizados que inician sesión en sus cuentas bancarias reciban las direcciones de pink asociadas con los servidores de contenido de la aplicación, dice.

También permitiría a las organizaciones filtrar a los malos actores conocidos y, en cambio, enviarlos a un trampa o señuelo de engaño.

Verisign dijo que ahora está compartiendo públicamente tecnologías AAR para obtener información de la comunidad sobre los próximos pasos para reforzar la seguridad del DNS.

«Queremos que la gente piense en ello, para ver qué pueden hacer», dice Kaliski, señalando que la misión de Verisign sigue siendo un mantenedor de la zona raíz y un operador de registro de dominio de nivel exceptional.

«Para que el DNS sea más útil, necesita tener más de estas características integradas» en los niveles inferiores, dice.

Esto alineará el DNS con modelos de seguridad como la confianza cero, según Verisign. «La resolución autenticada y adaptativa completa la historia (al menos por ahora) de la transición de la práctica del DNS a un modo de operación moderno basado en principios como la confianza cero. Estas tecnologías le dan al DNS un nuevo rol en el cumplimiento de los objetivos de rendimiento y seguridad de la purple, agregando tanto un nuevo punto de manage de seguridad como una nueva capacidad de navegación para las carteras de los operadores de red «, escribió Kaliski en una publicación de blog site de Verisign hoy.

Kelly Jackson Higgins es la editora ejecutiva de Dark Reading through. Es una periodista veterana y galardonada en tecnología y negocios con más de dos décadas de experiencia en la elaboración de informes y la edición de varias publicaciones, incluidas Network Computing, Protected Enterprise … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial