El CERT de los EEUU ha alertado sobre un aumento en el tráfico del Sistema de Nombres de Dominio (DNS) desde los sistemas cliente dentro de las redes internas hacia los servidores DNS alojados públicamente.
El servidor DNS es utilizado para resolver la dirección IP a partir del nombre de dominio.
El acceso directo del sistema cliente a los servidores DNS de Internet en lugar del acceso controlado a través de los servidores DNS de la empresa puede exponer a ésta a riesgos de seguridad innecesarios e ineficiencias del sistema.
El CERT puntualiza los riesgos para la seguridad que implica la configuración en las aplicaciones y los sistemas cliente para enviar peticiones DNS a sistemas externos para la resolución DNS. Entre otros riesgos:
- Anulación del monitoreo y registro de tráfico DNS para detectar posible actividad maliciosa en la red.
- Anulación del filtrado de seguridad DNS que impida el acceso a dominios maliciosos que deberían ser bloqueados.
- Interacción del sistema cliente con servidores DNS maliciosos o comprometidos y que pueden generar respuestas DNS inexactas para el dominio solicitado. El sistema cliente, por ejemplo, podría ser dirigido a un sitio de phishing o servido por código malicioso.
- Pérdida de la protección de la arquitectura DNS utilizada contra los ataques de envenenamiento de caché DNS y de denegación de servicio.
El CERT recomienda:
- Configurar los sistemas operativos y las aplicaciones para que utilicen sólo servidores DNS autorizados dentro de la empresa para la resolución DNS saliente. Esto incluye a los servidores DNS de nivel inferior destinados para re-enviar consultas a los servidores DNS controlados de la empresa.
- Configurar dispositivos de red perimetral para bloquear el tráfico TCP (Transmission Control Protocol) y UDP (User Datagram Protocol) saliente al puerto 53 de destino, excepto de los servidores DNS autorizados.
- Configurar el filtrado de la entrada del tráfico TCP y UDP del puerto 53 de destino para que sólo permita conexiones a servidores DNS autorizados.