Cuando un host (equipo, servidor, móvil etc.) de la red se ve comprometido por algún malware, de acuerdo a las fases de un ataque, este trata de establecer conexión hacia sus creadores mediante dominios que son considerados maliciosos a través de las resoluciones que hace un DNS, existen recomendaciones puntuales para contar con esquema seguro de resolución de nombres de dominio aquí te las presentamos.
Un DNS o Domain Name System, es un servicio de nombres de dominio, permite controlar la configuración de correo electrónico y sitio web de tu nombre de dominio. Cuando los visitantes van a tu nombre de dominio, la configuración de DNS controla a cuál servidor de la empresa se dirigen.
Podemos clasificar a los DNS en tres tipos:
- Buenos
- Malos
- Corruptos
Un nombre de dominio se puede considerar malicioso tanto por su contenido (malware, páginas web con exploits o con descargas automáticas, etc.) como por su comportamiento (comunicación con máquinas infectadas para el envío de información, lanzamiento de ataques, etc.). Hay que tener en cuenta que un dominio malicioso suele usarse durante un corto periodo de tiempo, ya que de este modo se abaratan costes además de dificultar su detección, puesto que son dominios creados específicamente con este propósito.
El problema de los DNS maliciosos es que resuelven los dominios sin darse cuenta si la petición es o no maliciosa, únicamente hacen el trabajo que les corresponde: cambiar de nombres de dominios a direcciones IP para poder establecer conexiones.
Se deben de tomar en cuenta las siguientes medidas para tener una infraestructura de DNS segura:
- Definir un control de acceso para filtrar las peticiones que se tengan de los clientes que quieran acceder al DNS.
- Políticas de filtrado para asegurar que no se pueda cometer algún acto de
- Establecer políticas para limitar el número de peticiones DNS de los clientes.
- Cuando una petición de DNS no puede ser resuelta del chace, se tiene que hacer un lookup para ir y obtener la resolución a través de un DNS apropiado en internet.
- Configurar alertas y mantener un monitoreo constante.
- Si se está usando Active Directory, se debe usar el directory-integrated storage para las zonas DNS para una seguridad incrementada., tolerancia a fallos, y por supuesto un deploy y administración más eficiente.
- Considerar el uso de zonas secundarias para asistir el tráfico de peticiones DNS.
Otro punto importante es contar con algún dispositivo de seguridad en la frontera para que se puedan revisar las peticiones que hacen los clientes. Tener visibilidad de los eventos es una llave para evitar problemáticas en la red.
Si deseas saber el riesgo en tu empresa por conexiones a DNS sospechosos, déjanos tus comentarios abajo y me pondré en contacto contigo.