El sistema de nombres de dominio (DNSDNS (Domain Name System) es un sistema de nombres de dominio...) es esencial para la seguridad de la infraestructura y habilita todos los servicios digitales de una organización. Sin embargo, con un solo ataque distribuido de denegación de servicio (DDoS), los ciberdelincuentes pueden hacer que el DNS sea poco confiable, lento o incluso inaccesible, afectando negativamente la experiencia de los servicios digitales tanto para clientes como para empleados. Estos ataques agotan el tiempo y la energía del personal de TI, administradores de seguridad y líderes que intentan mantener una experiencia excepcional para el cliente.
Casos Comunes que Consumen Tiempo y Energía
Según el informe de Akamai de 2023 sobre el Estado de Internet (SOTI), «Superautopista de Ataques: Un Análisis Profundo del Tráfico DNS Malicioso», los ataques DNS impulsados por entidades maliciosas que utilizan bots y botnets sofisticados y distribuidos son una preocupación creciente para casi todas las industrias.
Uno de los principales problemas es el aumento en tamaño, frecuencia y duración sostenida de los ataques maliciosos NXDOMAIN. Un informe de 2023 del Centro de Coordinación de CiberseguridadLas soluciones de ciberseguridad son esenciales en la era di... del Sector Salud de EE.UU. (HC3) ilustra cómo los ciberdelincuentes están utilizando ataques NXDOMAIN para apuntar a infraestructuras públicas críticas como la atención médica.
Fortalece tu DNS contra Ataques NXDOMAIN
Para prevenir los ataques NXDOMAIN, tu red necesita suficiente capacidad para manejar grandes volúmenes de tráfico. Esto puede ser un desafío, ya que a menudo es difícil prever el tamaño y la duración de un aumento repentino. Una manera de aumentar la capacidad de manera suficiente es usar servicios elásticos con grandes cantidades de capacidad escalable, como un servicio DNS externo.
Otra clave para el éxito es asegurar que un sistema DNS que maneja inundaciones de tráfico aplique políticas como priorizar consultas de fuentes permitidas. Esto es crucial, ya que bloquear solicitudes legítimas con enfoques como la limitación de la tasa de respuesta DNS puede interrumpir los servicios.
Establece Diversidad DNS
Para lograr la diversidad DNS, las redes de implementación deben usar la técnica IP Anycast de Akamai combinada con ubicaciones globalmente diversas de servidores de nombres físicos. Los servicios DNS externos necesitan enlaces de red redundantes, colocalización con ISP en todo el mundo y acuerdos de interconexión robustos. Otras formas de crear diversidad DNS incluyen:
- Uso de grandes centros de datos DNS multi-homed: La diversidad de la red puede ser tan importante como la capacidad. Los grandes ataques DNS DDoS pueden abrumar a los ISP upstream y otras redes antes de llegar a un centro de datosUn centro de datos o centro de procesamiento de datos (CPD) ..., causando congestión y cortes de servicio incluso si el centro de datos permanece intacto.
- Colocación de servidores de nombres DNS dentro de los ISP: En muchos casos, los clústeres de servidores de nombres DNS deben estar directamente en las redes de los ISP individuales. Estos servidores de nombres a menudo transmiten su tráfico IP Anycast solo dentro de esas redes y resuelven consultas DNS solo para los usuarios finales de esos ISP.
- Despliegue de clientes inteligentemente en toda la plataforma global: Asigna clientes a entornos de nube diversos, algunos con ubicaciones de servidores específicas de ISP y otros con una variedad de máquinas conectadas. Esta arquitectura asegura que los servidores de nombres recursivos de un cliente siempre se conecten a un borde DNS rápido.
Usa Rutas de Red Únicas
La cantidad y el diseño de las delegaciones DNS y las direcciones de los servidores de nombres también pueden impactar en la diversidad. Por ejemplo, usar dos servidores de delegación ofrece dos rutas de red hacia las respuestas autorizadas, mientras que usar seis servidores de delegación ofrece seis rutas de red. Cada dirección de servidor de nombres tiene su propia ruta de enrutamiento en ubicaciones geográficas separadas. Para IPv4, esto significa que cada dirección de servidor de nombres debe tener su propia dirección IP /24.
Implementación de Pilas Diversas
Diversificar tus implementaciones de delegación DNS es otra manera de ayudar a prevenir ataques DNS. Por ejemplo, una dirección de delegación puede usar un servidor proxy DNS para proteger los servidores de nombres de origen, otra puede usar un servicio DNS autoritativo secundario para alojar la información de la zona que un servidor de nombres de origen transfiere, y una tercera puede usar la aplicación de políticas a nivel de red para reenviar solo el tráfico DNS limpio y válido al origen del cliente.
Obtén Protección DNS de Akamai
Si te preocupa la resiliencia frente a ataques DNS y careces de estrategias de defensa fuertes y confiables, intenta desplegar servicios de protección como un proxy DNS para proteger los servidores de nombres de origen o un servicio DNS secundario. Al hacerlo, expandirás tu flujo de trabajo DNS actual con un conjunto adicional de servidores autoritativos que proporcionan respuestas de manera duradera sobre tus zonas mientras ocultan tus servidores de nombres de origen de los atacantes maliciosos.
Beneficios del Enfoque de Defensa DNS de Akamai
- Mejora del servicio al cliente
- Mayor tiempo para enfocarse en proyectos previamente descuidados debido a los esfuerzos continuos de protección DNS
- Mejor moral de los empleados, ya que hay menos incidentes repetitivos que consumen tiempo personal y causan agotamiento
Akamai Shield NS53, parte de la suite Akamai Edge DNS, ayuda a proteger a las organizaciones, sus clientes y empleados de tipos hostiles de ataques DNS. Esta solución de infraestructura DNS y protección DDoS ofrece seguridad integral y un rendimiento inigualable para hacer que sea rápido y fácil encontrar y remediar vulnerabilidades DNS en la plataforma de borde más distribuida del mundo.
Fortalecer la infraestructura DNS es crucial para proteger los servicios digitales y evitar el agotamiento del equipo de TI. Implementar diversidad DNS y usar servicios externos elásticos puede proporcionar la capacidad y resiliencia necesarias para enfrentar ataques implacables como los NXDOMAIN. Con las soluciones de Akamai, las organizaciones pueden mejorar su posición de seguridad DNS de principio a fin.
Sobre los autores: Steve Winterfeld es el CISO Asesor de Akamai. Antes de unirse a Akamai, fue Director de Ciberseguridad para Nordstrom y CISO de Nordstrom Bank. Jim Gilbert es Director de Gestión de Productos en Akamai, con más de diez años de experiencia en servicios y tecnología DNS.
Fuente y más información: Akamai