Inicio / Blog / Guia de seguridad en servicios DNS

Guia de seguridad en servicios DNS

Publicado el 09/04/2014, por Antonio López (INCIBE)
Guia de seguridad en servicios DNS

DNS, acrónimo de Domain Name System, es un componente crucial en el funcionamiento de Internet y sin duda de gran importancia en el correcto flujo de comunicaciones en red. Gracias a DNS, se facilita el manejo de las comunicaciones entre los elementos de internet dotados de dirección IP. DNS mantiene y distribuye globalmente de forma jerárquica una “base de datos” donde se asocian nombres a direcciones IP y a la inversa de forma que sea mucho más sencillo de recordar y manejar por las personas.

Esta misión de DNS, en apariencia básica, conlleva una importante responsabilidad al constituir una base en las comunicaciones IP, por ello es de vital importancia mantener el sistema preparado para prevenir y contrarrestar las amenazas existentes contra este servicio. DNS por su extensión y diseño, está expuesto a numerosas amenazas, cuyos paradigmas fundamentales son, entre otros, denegaciones de servicio DoS por ataques de amplificación DNS , secuestro de dominios para redireccionar tráfico a sitios maliciosos, o envenenamiento de caché DNS de servidores para provocar resoluciones manipuladas de los dominios atacados.

Con esta idea en mente, INTECO publica una guía orientada a usuarios técnicos para ofrecer un documento de referencia del protocolo DNS, incluyendo los aspectos relacionados con la seguridad del servicio , describiendo las líneas base para su implementación y bastionado.

En esta guía se puede encontrar, además de una visión completa de los elementos que integran el servicio y el entorno DNS, una descripción detallada de la base funcional del protocolo y sus componentes de seguridad. Concretamente, en el ámbito de la seguridad, se ofrece una explicación de las vulnerabilidades y principales amenazas que afectan al protocolo y se aportan indicaciones para su mitigación y/o mitigación tanto a nivel genérico, como específicamente para el software BIND9 de Internet System Consortium, el más extendido y utilizado en servidores DNS.

 

En la guía se incluyen las siguientes secciones: 

  • Fundamentos de DNS: donde se explican los conceptos, objetivos y funcionamiento de un sistema DNS.
  • Seguridad en DNS: a partir en un escenario típico DNS se identifican los posibles vectores de ataque y los activos afectados
  • Vulnerabilidades y amenazas en DNS: incluyendo las debilidades intrínsecas al diseño del protocolo DNS y los principales ataques que sacan partido de la las mismas.
  • Bastionado DNS: detalle de las medidas de seguridad a implementar en los tres grandes superficies de ataque del servicio DNS: Infraestructura del servicio DNS, Comunicaciones y transacciones y Datos.
  • DNSSEC: introducción, uso y funcionamiento.

La guía, disponible en castellano e inglés se puede descargar en los siguientes enlaces: