DNS como dispositivo de seguridad

Guillermo Bielsa    26 febrero, 2021

Para poder disfrutar de Internet, uno de los elementos indispensables es el Sistema de Nombres de Dominio, o DNS (Domain Name System). En un artículo anterior ya se explicaba su utilidad y funcionamiento. Básicamente, este sistema traduce el nombre de dominio (como podría ser ‘https://blogthinkbig.com/ ‘) a la dirección IP del servidor al que nos queremos conectar (que resultará en ‘194.224.110.41’). Es decir, realiza una traducción de lenguaje humano a máquina.

Así, nos facilita la navegación por Internet, ya que lo normal es que prefiramos recordar una secuencia de caracteres legible (el dominio) a una secuencia de números (la dirección IP).

Una vez entendido por qué necesitamos el sistema DNS, podemos entrar a discutir la posibilidad de utilizar distintos servidores DNS, o qué supone usar servidores públicos o privados. Cuando nos conectamos a Internet desde nuestra red doméstica y realizamos una petición de DNS, normalmente consultamos al servidor DNS de nuestra compañía telefónica. Pero también es posible configurar un servidor de DNS público -como podría ser el de Google (8.8.8.8) o el de OpenDNS (208.67.222.222)- si se advierten problemas de velocidad o si interesa por alguna de sus características particulares (por ejemplo, existen servidores que limitan el acceso a determinados contenidos a menores).

Solución de DNS privada

A diferencia de los usuarios domésticos, las empresas suelen ir un paso más allá en sus redes e invierten en tener su propia solución de DNS privada, para que todos sus empleados (e invitados) hagan las peticiones a su servidor. Y os preguntaréis por qué realizan este gasto cuando existen soluciones gratuitas. Las ventajas son principalmente tres:

  • Mayor velocidad al tener el servidor en su propia red.
  • Acceso a sus servidores locales por nombre de dominio.
  • Y, sobre todo, un mayor control y seguridad en sus comunicaciones. De este modo, pueden utilizar su servidor DNS como bloqueador de malware e incluso integrarlo con otros dispositivos de seguridad.

DNS como bloqueador de sitios maliciosos

Cuando vamos a navegar por una página web, lo primero que se hace es la petición al servidor DNS, que nos responderá con la IP a la que accederemos. Este proceso se realiza de forma recurrente cada vez que pinchamos en un hipervínculo o se carga una imagen/animación en nuestro navegador. Las peticiones se realizan automáticamente y muestran el contenido sea cual sea la página, resulte segura o contenga malware.

La ventaja de contar con un servidor DNS sobre el que se tiene un control total es poder configurar listas de dominio a las cuales no se permite que los usuarios accedan, negándoles las respuestas a estos dominios. De este modo, es posible configurar listas de dominio para evitar que los usuarios accedan a sitios web con malware, mala reputación o, simplemente, que quieran bloquearse por el motivo que sea (por ejemplo, sitios web de entretenimiento a los que una compañía no quiere que accedan sus trabajadores).

Listas de dominios maliciosos

Existen distintas empresas que se dedican a generar listas de sitios web maliciosos para integrar en estos sistemas DNS. Normalmente están categorizadas: antimalware, ransomware, bots, nodos Tor…

El bloqueo de distintas listas de dominios maliciosos es una buena medida de seguridad, pero a menudo no resulta suficiente, ya que estos repertorios no se pueden actualizar a la misma velocidad a la que los atacantes generan otros nuevos.

Para solventarlo, hay soluciones de DNS que no se limitan a bloquear tráfico basándose en listas de dominios, sino que además estudian el comportamiento de las peticiones DNS. Si detectan un comportamiento sospechoso o parecido al de las páginas con mala reputación, añadirán esos nuevos dominios a la lista de dominios bloqueados.

Integración del DNS con otros dispositivos de seguridad

De cualquier modo, las ventajas que puede ofrecer una herramienta DNS en el entorno empresarial no se limitan a ofrecer una mayor velocidad de respuesta y al bloqueo de dominios maliciosos, sino que también se puede integrar con otros sistemas de seguridad de la red.

El primer sistema de seguridad que se beneficia de la instalación de un sistema de DNS seguro es el firewall que, entre otras cosas, se dedica a bloquear el acceso no autorizado de comunicaciones. El firewall reducirá su actividad, al disminuir el número de brechas de seguridad que deberá bloquear pues el DNS ya se habrá ocupado del contenido malicioso. Además de este ahorro de recursos, el DNS puede integrarse con el firewall y enviarle los eventos de seguridad que registra. De este modo, el firewall pueda actualizar sus políticas y control de la red.

Otro sistema que puede beneficiarse de su integración con el DNS es el Control de Acceso de Red (NAC). El NAC se encarga de admitir o rechazar el acceso de los usuarios a la red, según los permisos que tengan, así como dotarlos de un determinado perfil y permisos, ubicándolos en la VLAN a la que pertenezcan. Al integrar el DNS con el NAC, el primero puede notificar al segundo las peticiones e información contextual de cada usuario. Así, el NAC puede modificar los permisos del usuario e incluso aislarlo en una VLAN de cuarentena si detecta comportamientos extraños por su parte hasta que se analice en profundidad.

El DNS también puede desencadenar acciones en el antivirus de los distintos usuarios. Y es que la integración entre estos sistemas permite que cuando un equipo se conecta a la red tras un largo periodo de inactividad (o por primera vez), el DNS lo reconozca como nuevo usuario y active un gatillo en el antivirus, obligándolo a realizar un test de antivirus en dicha máquina para analizar sus posibles amenazas.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *