Envenenamiento DNS. Definición y métodos de prevención

(Tomado de sahw.com)

Os invito a que hagáis lectura de este buen white paper de Tom Olzak llamado DNS Cache Poisoning: Definition and Prevention, en el cual se aborda el problema del envenenamiento DNS como primer paso para la ejecución de diversas acciones maliciosas.

Para quien no tenga tiempo o no lea en inglés, comentar que el envenenamiento de caché DNS es una conocida técnica que se remonta a los orígenes de los servidores DNS. Hecha la ley, hecha la trampa. Se trata de someter a un servidor DNS a un engaño en el que se le hace creer que ha recibido información correcta, cuando en realidad ha recibido información envenenada, lo que hace que, ya que esta información no auténtica queda cacheada en el servidor, se disemine durante el tiempo de cacheado a los usuarios que hagan uso del servicio.

Este tipo de ataques requiere que la existencia de una falla de seguridad en el servidor, con el objetivo que esa falla haga que el servidor acepte información envenenada como si fuera legítima. Las fallas referidas son aquellas que provocan que el servidor no pueda validar la veracidad del punto origen de la información, dando por buena cualquier información recibida, que evidentemente, es servida a los usuarios que circulen por el servidor DNS.

Esto puede ser aprovechado para que el atacante tome control de las acciones del servidor DNS, siendo la más frecuente la redirección a un servidor que opere bajo su control. Cuando la adulteración se produce no en el servidor DNS, sino en el fichero hosts del usuario, hablamos de pharming.

El documento de Olzak contiene una definición mucho más exhaustiva que esta pequeña introducción, incluye sobre todo las causas del porqué de estos ataques y propone medidas para la mitigación, como por ejemplo, emplear servidores DNS seguros (DNSSEC). Como causas fundamentales de la existencia de este tipo de ataques, citar el robo de identidad, la distribución de malware y la publicación de información falsa. También es frecuente que el envenenamiento DNS sea el primer paso para ejecutar ataques man-in-the-middle.

Si administras un servidor DNS, harías bien en ojear el documento 🙂

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s