La importancia de proteger y simplificar la infraestructura DNS
Artículo de A10 Networks
El Sistema de Nombres de Dominio (DNS), conocido informalmente como la “guía telefónica de Internet”, es uno de los protocolos principales que hace que Internet funcione al traducir nombres de dominio fáciles de leer en direcciones IP y viceversa.
Si bien permitir la interacción del usuario con Internet es sin duda uno de los beneficios más fundamentales del DNS, también es fundamental para el funcionamiento normal de numerosas aplicaciones y servicios, incluidas aplicaciones móviles, correo electrónico, voz sobre IP (VoIP), etc. , muchas construcciones de seguridad se basan en nombres DNS, como el certificado X.509 para un sitio web, que identifica un sitio web por su nombre DNS.
Muchas empresas y proveedores de servicios proporcionan su propia infraestructura DNS. Esto se hace para garantizar el funcionamiento adecuado e ininterrumpido de su propia infraestructura y aplicaciones comerciales, así como para brindarlo como un servicio a sus usuarios finales. Por ejemplo, en muchas organizaciones, las computadoras del trabajo utilizan de forma predeterminada los servidores DNS propios de la organización. Esto ayuda a los usuarios internos a acceder a sitios web internos mientras mantiene dichos nombres de dominio confidenciales y seguros.
Sin embargo, este despliegue de infraestructura DNS presenta su propio conjunto de desafíos de seguridad. Esto se debe a que la infraestructura DNS es uno de los objetivos favoritos de los atacantes, principalmente por dos razones:
- DNS es un protocolo inherentemente inseguro y, por lo tanto, es más fácil atacarlo.
- El DNS es fundamental para las operaciones de Internet y las aplicaciones y, por lo tanto, desactivar el DNS puede tener un impacto mucho mayor en comparación con apuntar solo a aplicaciones o servicios individuales, como los servidores web.
Por ejemplo, aquí se muestra un flujo típico del proceso de resolución de DNS:
En este caso, toda la comunicación, tanto entre el cliente y el solucionador DNS local, como entre el solucionador DNS local y los servidores de nombres para los distintos niveles de zona, se realiza en texto claro. Además, no existe una validación de la respuesta DNS para garantizar que provenga de una fuente auténtica o que no haya sido modificada en tránsito.
Debido a estas vulnerabilidades, con el tiempo surgieron varios tipos de amenazas al DNS. Algunas de las amenazas comunes y conocidas incluyen escuchas ilegales, secuestro de DNS, ataques de inundación NXDOMAIN y hosts infectados con malware que contactan a los centros C&C.
A medida que estas amenazas surgieron y evolucionaron, también lo hicieron las tecnologías para combatirlas, incluidas DNSSEC, limitación de la tasa de respuesta de DNS y, más recientemente, DNS sobre HTTPS/TLS, entre otras.
Desafíos de la infraestructura DNS tradicional
Ante la aparición de cada nueva amenaza y la tecnología para contrarrestarla, las organizaciones tradicionalmente han respondido implementando un nuevo producto de seguridad para remediar la amenaza inmediata en cuestión. Con el tiempo, esto ha llevado a la implementación de numerosos dispositivos de seguridad en la red, lo que ha generado los siguientes desafíos:
Mayor complejidad: con muchos dispositivos de seguridad en la red, la tarea de implementar, administrar y solucionar problemas se ha vuelto cada vez más compleja. Cada dispositivo tiene su propia interfaz de administración y comandos de configuración independientes y, por lo tanto, requiere conocimientos especializados para implementarlo y solucionar problemas. Esto también aumenta el riesgo de una mala configuración que puede provocar brechas de seguridad o incluso problemas de conectividad DNS.
Mayor costo: Muchos dispositivos en la red significan que actualizar la infraestructura DNS para satisfacer las crecientes necesidades de tráfico requerirá actualizar la mayoría, si no todos, dichos dispositivos. Esto significa que es necesario evaluar y comprar múltiples productos diferentes, lo que genera altos costos de compra y licencia.
Rendimiento lento: algunas de las tecnologías DNS más nuevas, como DNS sobre HTTPS (DoH) y DNS sobre TLS (DoT), requieren procesamiento de descifrado/cifrado TLS, que consume mucha CPU. Sin embargo, los servidores DNS no se diseñaron originalmente para dicho procesamiento y, por lo tanto, agregar DoH/DoT puede provocar una grave desaceleración en el rendimiento general de la infraestructura DNS existente.
No apto para la nube híbrida: todos estos problemas de complejidad, actualizaciones costosas y rendimiento lento se ven agravados por la creciente adopción de la nube híbrida. Esto se debe a que muchos de los productos de seguridad heredados que se han implementado en centros de datos privados pueden no estar disponibles o no ser óptimos para dicha implementación. Esto conduce a la adopción de ofertas específicas de la nube, lo que aumenta la complejidad y el costo de implementar y mantener la infraestructura DNS.
Cómo puede ayudar A10
Para hacer frente a estos desafíos, es necesario reevaluar la infraestructura DNS existente e idear métodos para asegurarla y consolidarla. Con las soluciones de seguridad DNS de alto rendimiento de A10, los operadores de DNS pueden hacerlo de manera rentable y al mismo tiempo cumplir con los requisitos de rendimiento de tecnologías más nuevas como DoH/DoT.