Una guía para profesionales de la seguridad sobre el DNS cifrado



Mejores prácticas para un panorama de visibilidad cambiante.

El sistema de nombres de dominio, o DNS, es el sistema de directorio de Web. Le indica a dónde quiere ir, mapeando nombres legibles por humanos como darkreading.com a direcciones enrutables por máquina como 104.17.120.99.

Sin embargo, el protocolo DNS original es fundamentalmente inseguro. Entre otros problemas, la naturaleza de texto sin cifrar del protocolo DNS significa que los atacantes con acceso a la crimson pueden interceptar consultas de DNS para espiar su actividad o falsificar respuestas para enviarlo a un sitio al que no desea ir, como una página de phishing o un package de explotación. La comunidad de seguridad ha realizado algunos esfuerzos para cifrar el tráfico de DNS para abordar este problema, el último de los cuales es DNS sobre HTTPS (DoH) y DNS sobre TLS (DoT).

Los adversarios aprovechan el sistema DNS como todos los demás. En lugar de codificar direcciones IP para su infraestructura de comando y handle, a menudo aprovechan dominios con propósitos específicos para permitirles cambiar el tráfico según sus necesidades. Debido a esto, los equipos a menudo desean monitorear el tráfico de DNS en busca de ataques de inteligencia de amenazas, registrarlo y dominios de «sumidero» (reescribir respuestas) para fines de respuesta a incidentes, los mismos comportamientos que el DNS cifrado pretende prevenir.

A medida que el DNS cifrado se distribuya a los usuarios finales, los conjuntos de herramientas habituales de los equipos de seguridad para la respuesta a incidentes ya no funcionarán para los usuarios que cifran su tráfico DNS de un extremo a otro. Los equipos de seguridad tienen la opción de bloquear todas DNS cifrado (que elimina las protecciones del cifrado) o dejarlo pasar y permitir que el tráfico DNS no supervisado y descontrolado fluya a través de sus redes. El bloqueo del tráfico puede generar tensión entre los usuarios finales y los miembros del equipo de seguridad.

Con DoT, las consultas y respuestas de DNS se realizan directamente mediante Transport Layer Security (TLS). Debido a que los solucionadores de DNS públicos sobre TLS utilizan un puerto distinto (853), los equipos de seguridad pueden identificarlos rápidamente y bloquearlos si es necesario, lo que podría generar tensiones entre el usuario remaining y el equipo de seguridad, como se mencionó anteriormente. Los adversarios pueden ejecutar servidores DoT «fuera del puerto», pero estos pueden ser sospechosos, ya que aparecerán como conexiones TLS desconocidas. Con DoH, las consultas de DNS se envuelven en solicitudes HTTPS y se envían a los resolutores de DoH que se ejecutan en el puerto 443. Los resolutores públicos se pueden identificar por los nombres de host presentes en el intercambio TLS, pero DoH es solo otra forma de HTTPS, por lo que puede mezclarse con el enorme volumen de otro tráfico HTTPS que atraviesa una purple típica.

Los adversarios siempre han utilizado tráfico cifrado para esconderse a straightforward vista, y DoH es solo el último ejemplo: un analista de malware de Kaspersky identificó recientemente que un El grupo de hackers iraníes llamado Oilrig (también conocido como APT34) convirtió a DoH en un arma para exfiltrar silenciosamente los datos de las redes para evitar la detección mientras se mueven los datos robados.

Pasos a seguir
Entonces, como defensor de la crimson y / o líder de TI, ¿qué puede hacer? Un enfoque consiste en impedir que los usuarios finales establezcan tráfico DNS cifrado de un extremo a otro con resolutores externos y configurar sus puntos finales para que utilicen resolutores internos. Incluso puede proporcionar un solucionador interno de DoH para que lo utilicen los puntos finales, y hacer que esos solucionadores, a su vez, utilicen DNS cifrados para proteger sus propias comunicaciones con solucionadores externos. Esto proporcionará visibilidad y capacidad de respuesta a su equipo de seguridad, al mismo tiempo que protege el tráfico DNS de sus usuarios contra escuchas o manipulaciones.

Varias empresas están desarrollando herramientas que permiten a los equipos detectar el tráfico de DoH a medida que proviene de resolutores públicos cifrados. En un futuro próximo, esperamos ver soluciones que también detecten resolutores cifrados privados. Con estas capacidades, los equipos pueden monitorear de manera más efectiva el tráfico en busca de actividad sospechosa: si encuentra el tráfico a servidores DNS encriptados desconocidos, es posible que desee examinarlo más de cerca para determinar si es legítimo.

La primera computadora de Jamie Brim fue una Tandy 1000. Estudió Ciencias de la Computación y Economía en Brown antes de abandonar el tercer año para emprender una nueva empresa. Varios años y sueños rotos después, Jamie pasó los siguientes 10 años construyendo infraestructura y seguridad para empresas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original