Proteja su dominio frente al «cache poisoning»
En los últimos años, los piratas informáticos han perfeccionado los métodos de «envenenamiento» de los servidores DNS, lo que les permite desviar el tráfico hacia sus propios servidores («phishing», etc.) falsificando las respuestas del DNS. ¡Proteja sus servidores DNS con nuestra solución DNSSEC!
DNSSEC
- DNS seguro
- Protección contra el «cache poisoning»
- Activable desde el área de cliente
¿Cómo la solución DNSSEC nos protege frente a un ataque?
El usuario introduce la dirección www.ovhcloud.com en su navegador de internet, que envía una petición al servidor DNS. Este devuelve la dirección IP correspondiente: 213.186.33.34.
Una vez que el navegador conoce la dirección IP del servidor que aloja la web «www.ovhcloud.com», envía una petición a dicha dirección IP, que devuelve el contenido de la página.
El peligro: «cache poisoning»
Un pirata informático puede aprovechar un fallo de seguridad en el servidor DNS para lograr introducirse en el servidor y cambiar la dirección que corresponde a «www.ovhcloud.com» por la IP de uno de sus servidores secundarios: 203.0.113.78.
Cuando un usuario introduce la dirección «www.ovhcloud.com», su navegador se dirige al servidor DNS para obtener la dirección IP correspondiente. El DNS infectado devuelve la dirección introducida por el hacker: 203.0.113.78.
El navegador utiliza esa dirección IP para obtener el contenido del sitio web. El servidor pirata le muestra una página similar a «www.ovhcloud.com» para, por ejemplo, conseguir sus datos personales («phishing»).
¿Para qué sirve DNSSEC?
DNSSEC permite asegurar la autenticidad de la respuesta DNS. Así, cuando el navegador envía una petición, la respuesta incluye una clave de autentificación que indica que la IP devuelta es correcta.
De ese modo, cuando el usuario recibe una IP validada por DNSSEC, sabrá que está accediendo al sitio web correcto. El objetivo es identificar posibles incoherencias en las peticiones.
Si un pirata informático intenta modificar la tabla que contiene el servidor DNS protegido con DNSSEC, este último deniega la petición, ya que la información enviada no está firmada.
FAQ
¿Cómo proteger mi servidor DNS?
Para defenderse de esta práctica, el protocolo DNSSEC utiliza los principios de criptografía asimétrica y de firma digital para garantizar la autenticidad de los datos, así como una prueba de no existencia si el registro solicitado efectivamente no existe y puede considerarse como fraudulento.
¿Para qué sirve un DNS?
Un servidor DNS permite obtener la dirección IP correspondiente a un dominio (una URL en el caso de un sitio web). Su mecánica se asemeja a la de un directorio telefónico o guía que traduce los dominios en direcciones IP y otros tipos de registros. Los navegadores necesitan la dirección IP para poder conectarse al servidor web responsable de la página que el usuario desea visitar. Y es que las direcciones IP identifican de forma única cada máquina conectada a internet, exactamente igual que si se tratase de un número de teléfono. Se trata de un eslabón discreto pero fundamental para garantizar la seguridad en internet. El ejemplo más frecuente de servidor DNS es el servidor BIND, el más común en internet.
En la actualidad, las direcciones IP se registran principalmente en IPv4. Próximamente también será posible utilizar direcciones IPv6. Cada asociación de dominio con una dirección IP es única.
Los servidores DNS se organizan de forma jerárquica: la raíz (representada generalmente por un punto) es el centro jerárquico más elevado. En un dominio, se pueden crear varios subdominios que, a su vez, pueden crear delegaciones de subdominios alojados en otros servidores. Las delegaciones crearán entonces zonas con su propio sistema jerárquico. Los dominios que se sitúan justo por debajo de la raíz son los dominios primarios (TLD o «Top Level Domain»). Las actualizaciones se realizan en el servidor primario del dominio. La transferencia de zona consiste en la reproducción de los registros del servidor primario por los servidores secundarios.
¿En qué consiste una búsqueda en un servidor DNS?
Cuando un host busca un dominio, recorre toda la jerarquía del DNS de forma iterativa hasta llegar a un dominio concreto. Los proveedores de acceso a internet ponen a disposición de sus clientes servidores recursivos que realizan este tipo de búsquedas. Cuando este servidor realiza una búsqueda de dirección IP, el servidor envía la solicitud a los servidores raíz y elegirá uno que pueda darle una respuesta. Si el servidor elegido no responde, seleccionará otro servidor en la lista y así sucesivamente. Es posible que se consulten varios servidores antes de encontrar el que corresponde a la petición.
En caso de resolución inversa o registro DNS inverso, es decir, de una búsqueda utilizando en primer lugar su dirección IP, esta se realiza a través de un registro PTR que indica a qué nombre del servidor host corresponde la dirección del servidor en cuestión. Si se especifica, esta debe contener el registro inverso de un registro DNS de tipo A o AAAA. Las peticiones de los servidores de mensajería online (correo electrónico, etc.) no tienen registro PTR, por lo que es más probable que no se resuelvan.
¿Cuáles son los registros de un servidor DNS?
Entre los registros DNS, es posible encontrar el registro SOA (del inglés «Start Of Authority»), que ofrece información sobre la zona: servidor principal, dirección de correo electrónico de contacto, diferentes duraciones incluyendo la fecha de expiración, número de serie de la zona, etc. Funciona, en cierto modo, como el documento de identidad del servidor DNS. Este registro de tipo de datos DNS contiene un número de serie que aumenta con cada modificación del archivo de zona.
El registro TXT, por su parte, permite a un administrador crear texto en un registro DNS. Todos los registros están asociados a un TTL (Time To Live) que corresponde a una duración de vida, es decir, el tiempo durante el que se permite su almacenamiento en un servidor de caché. Y aquí es donde puede producirse el ataque de envenenamiento de la caché DNS o «cache poisoning».
¿Qué es el «cache poisoning»?
El «cache poisoning», envenenamiento o contaminación de la caché DNS es una técnica de hackeo que busca engañar a un servidor DNS haciéndole creer que recibe una respuesta válida y auténtica a una petición. El servidor DNS contaminado pone la información en caché y los usuarios son redirigidos hacia sitios web dudosos, que pueden servir para la suplantación de identidad o como medio para instalar un virus.
Generalmente, el atacante aprovecha una vulnerabilidad del servidor DNS que aceptaría peticiones imprecisas o falsas. Las víctimas, que buscan acceder al contenido deseado, son redirigidas hacia contenidos potencialmente peligrosos.
Generalmente, un servidor DNS tiene un puerto 53. El tamaño máximo de una respuesta debe ser de 512 bytes y, si supera este tamaño, la petición es devuelta al Tcp 53. Sin embargo, una redirección de este tipo es poco frecuente, ya que los proveedores de alojamiento limitan la posibilidad de transferir zonas DNS de esta forma.
¿Cómo configurar una zona DNSSEC en su DNS para un dominio alojado en OVHcloud?
Para más información sobre cómo activar DNSSEC, consulte las siguientes guías: