ESTUDIO

Protección de la infraestructura de DNS: por dentro y por fueraCómo combatir amenazas generalizadas que representan un grave perjuicio para las empresas todos los días

ESTUDIO Protección de la infraestructura de DNS: por dentro y por fuera1

Protección de la infraestructura de DNS: por dentro y por fuera

Cómo combatir amenazas generalizadas que representan un grave perjuicio para las empresas todos los días

Con el auge de Internet como principal canal para el comercio, el gobierno y la comunicación personal, el DNS (sistema de nombres de dominio) se ha convertido en un protocolo crucial que utilizan constantemente toda clase de organizaciones para funciones fundamentales.

Por desgracia, se ha descuidado bastante en los esfuerzos de proteger las infraestructuras de TI y cada vez es objeto de más ataques por parte de hackers. Predominan dos tipos de ataques. Los ataques desde fuera hacia adentro tienen como objetivo interrumpir los servicios de red o detenerlos por completo. Las amenazas desde dentro hacia afuera utilizan malware instalado en los propios servidores de una organización para robar información confidencial y enviársela a delincuentes.

Actualmente muchas organizaciones cuentan con medidas de seguridad tradicionales muy elaboradas, pero la protección de DNS que tiene la mayoría es mínima. Estas organizaciones corren un riesgo cada vez mayor de dañar su reputación, perder la lealtad de los clientes, necesitar costosas acciones legales e incurrir en pérdidas directas de ingresos si el DNS deja de funcionar.

Este estudio explica en detalle el tipo de peligros a los que se enfrentan sus redes, resume la investigación sobre las tendencias de amenazas en el sector, explica las técnicas necesarias para defenderse de los ataques basados en DNS y describe la solución de Infoblox para proteger su infraestructura de DNS de amenazas desde fuera hacia adentro y desde dentro hacia afuera.

El DNS hace que todo funcione, y que todo peligre.

Actualmente casi todo depende de Internet, e Internet depende de un protocolo denominado DNS (sistema de nombres de dominio). El DNS se utiliza para conexiones externas como, por ejemplo, cuando los consumidores acceden a sitios web de comercio electrónico, y para conexiones internas, como cuando los empleados utilizan el correo electrónico, conferencias y aplicaciones ERP.

Actualmente el DNS está tan omnipresente (y resulta tan esencial) como la electricidad. Sin embargo, al tratarse de un protocolo establecido, el estándar del sector, que funciona en segundo plano, los desarrolladores de software de seguridad lo han pasado por alto en buena medida. Como consecuencia, cada vez es objeto de más ataques por parte de hackers. Predominan dos tipos de ataques: los ataques de denegación de servicio (DoS) desde fuera de la red y el malware que infecta a los clientes dentro de la red de una empresa.

Muchas organizaciones han implantado elaborados sistemas de defensa en profundidad o por capas que combinan software antivirus, firewalls tradicionales, sistemas de información de seguridad y gestión de eventos (SIEM) y otras técnicas para proteger sus infraestructuras de TI. Sin embargo, la mayoría de ellos cuentan con poca o ninguna protección de DNS. Para estar a salvo del creciente número de ataques basados en DNS, estas organizaciones necesitan proteger los servidores DNS tanto de las amenazas desde fuera hacia adentro como de las de desde dentro hacia afuera. Para ello deben:

• Mitigarlosataquesenservidoresautoritativosexternosmedianteelreconocimiento inteligente de distintos tipos de ataques y la reducción del tráfico atacante sin interrumpir consultas legítimas.

• Evitarelrobodedatosdeclientesyrecursosempresarialesmedianteelbloqueode consultas de malware que atacan los DNS.

2

Ataques desde fuera hacia adentro

Los ataques a infraestructuras que se inician desde fuera de la red de la víctima se sirven de servidores de comando y control o botnet para interrumpir las funciones de una organización o para detenerlas por completo. Si consiguen que los servidores DNS externos de la organización dejen de funcionar, toda la red se desconecta de Internet. Este tipo de ataques lo suelen iniciar agentes con intenciones nada altruistas, como hacktivistas, competidores sin escrúpulos o gobiernos hostiles. Independientemente de si el ataque desde fuera hacia adentro desactiva la red completamente o se limita a reducir el rendimiento, pueden producirse pérdidas de ingresos y daños a la marca.

Ataques desde dentro hacia afuera

Los ataques de malware son amenazas desde dentro hacia afuera que aprovechan errores introducidos en los propios servidores de una organización para enviar información al exterior mediante respuestas a consultas de DNS. Los ataques de malware suelen ser delitos con fines de lucro cometidos por grupos delictivos que combinan la organización jerárquica de empresas legales con la estructura en células de las redes terroristas.1Estos delincuentes utilizan malware de filtración de datos para robar información, como los números de tarjeta de crédito de los clientes, y la venden a delincuentes menores que la utilizan directamente para cometer robos. O secuestran datos como los códigos de acceso y piden rescates a sus víctimas.

En segundo lugar y en ascenso

Cuando Arbor Networks realizó su novena encuesta anual de seguridad de infraestructuras a nivel mundial sobre ataques contra la capa de aplicación (capa 7), el 77 % de los encuestados afirmaron haber sufrido un ataque de DNS. Dentro de los muchos vectores de ataque actuales, el DNS ocupa el segundo puesto.2

Figura 1: Vectores de ataque experimentados por los encuestados

(fuente: Informe mundial sobre seguridad de infraestructuras de Arbor)

HTTP

DNS

SMTP

HTTPS

SIP/VOIP

IRC

Otros

El DNS es el segundo protocolo portador de ataques

82%

77%

25%

54%

20%

6%

9%

0% 20% 40% 60% 80% 100%

ESTUDIO Protección de la infraestructura de DNS: por dentro y por fuera3

El informe trimestral de ataques de DDoS globales de Prolexic del 4º trimestre de 2013 indica que el número total de ataques distribuidos de denegación de servicio (DDoS) aumentó en un 26,09 % entre 2012 y 2013.3Es más, según Prolexic, el uso de ataques basados en DNS va en aumento y representó el 9,58 % de los ataques contra la capa de infraestructura entre el tercer y el cuarto trimestre de 2013.4 En general, en 2013 se ha producido un aumento del 216 % en los ataques específicos de DNS.

Para situar estas estadísticas en el contexto del impacto en las empresas, Infoblox encargó a IDG Research que realizara un estudio de grupos de soluciones personalizadas de Network World que acabó titulándose “Market Pulse Research: DNS Protection” (Estudio del pulso del mercado: protección de DNS).

Nuestro objetivo era averiguar cómo las organizaciones se protegen de los ataques basados en DNS, cuántas han sido víctimas de uno, qué repercusiones tuvo a nivel financiero y cuál es la confianza de las organizaciones en que podrán mitigar futuros ataques. Se reclutó a ciento veintiocho participantes de entre los lectores de Network World, todos ellos involucrados en la compra, implantación o gestión de soluciones y servicios de seguridad de redes.5

Los resultados nos dan la imagen de una comunidad de gestión de redes que es consciente del peligro de los ataques basados en DNS y a la que le preocupan sus consecuencias, pero no sabe muy bien cómo detectarlos (o incluso cómo averiguar si se han producido) y cómo defenderse de ellos.

Capa de infraestructura: 76,76 %

Capa de aplicación: 23,24 %

ACK: 2,81 %

OBTENCIÓN DE HTTP: 19,91 %

CABEZA: 0,64 %

NTP: 0,26 %

PUBLICACIÓN DE SSL: 0,13 %

PUSH: 0,77 %

PUBLICACIÓN DE HTTP: 1,53 %

CHARGEN: 6,39 %

FIN PUSH: 1,28 %

DNS: 9,58 %

ICMP: 9,71 % RESET: 1,4 %

RP: 0,26%

SYN: 14,56 %

SYN PUSH: 0,38 %

Fragmento TCP: 0,13 %

Congestiones de UDP: 13,15 %

Fragmento UDP: 17,11 %

Figura 2: Vectores de ataque por porcentaje del panorama de amenazas global

(fuente: Informe trimestral de ataques de DDoS globales de Prolexic del

4º trimestre de 2013)

4

Casi la mitad de los participantes afirmaron estar muy preocupados por los períodos de inactividad debidos a los ciberataques, pero la predominante falta de visibilidad de los ataques contra la seguridad de DNS les impide disponer de información rigurosa para actuar. Entre los participantes que están seguros de que han sufrido ataques:

• Unainmensamayoría(el76 %)fueronvíctimasdeataquesdeDDoSdeDNS;elsegundo puesto lo ocupa el envenenamiento de la caché de DNS con un 33 %.

• Lamitaddeestosafirmóqueelataquehabíaprovocadounainterrupcióndelservicio de DNS y/o disminuido el servicio de red.

• Laduraciónmediadelainterrupcióndelserviciofuedesietehoras.

La principal preocupación entre los encuestados son los períodos de inactividad y la imposibilidad de realizar negocios, seguidos por la pérdida de datos confidenciales y los daños a la marca.

Figura 3: Entre los que han experimentado un ataque basado en DNS, la inmensa mayoría declara

que fue víctima de un ataque de DDoS de DNS. Alrededor de un tercio fueron víctimas de un

envenenamiento de la caché de DNS.

76%

33%

29%

29%

24%

24%

14%

0%

5%

Ataque de DDoS de DNS

Envenenamiento de la caché de DNS

Ataques de DNS

Congestión de UDP

Tunelización de DNS

Amplificación

Man-in-the-middle

Otros

No lo sé

Tipo de ataque basado en DNS que se ha sufrido

ESTUDIO Protección de la infraestructura de DNS: por dentro y por fuera5

Figura 4: La mayoría de los encuestados están muy preocupados por los períodos de inactividad y

la imposibilidad de realizar negocios, por la pérdida de datos confidenciales y por el impacto o

la percepción negativa de su organización o marca.

Algunos ejemplos de perfil alto

Estas estadísticas permiten analizar tendencias, pero el impacto de los ataques basados en DNS es evidente para cualquiera que siga en línea las noticias sobre informática. La amenaza que representa la vulnerabilidad de DNS no tiene nada de teórica. Los ataques se producen cada vez con mayor frecuencia, y son de mayor magnitud.6

Go Daddy

En septiembre de 2012, la empresa de registro de dominios y alojamiento web Go Daddy sufrió una interrupción de seis horas durante las cuales también dejaron de funcionar muchos de los sitios de los clientes de la empresa. Circulaba el rumor de que los servidores DNS de Go Daddy no estaban resolviendo las direcciones, con lo que muchos sitios web se quedaron sin conexión. Se corrió la voz de que un hacker que decía estar vinculado al grupo hacktivista Anonymous había reivindicado el ataque.7 El CEO de Go Daddy, Scott Wagner, contraatacó negando los informes sobre el ataque informático y declarando que la interrupción del servicio se debía a «una serie de problemas de red internos que habían dañado los cuadros de datos del router».8 Tanto si la interrupción se debió a un ataque como a problemas de configuración de TI, es un ejemplo flagrante de lo que sucede cuando el DNS deja de funcionar.

38%

37%

30%

24%

27%

21%

21%

34%

27%

31%

33%

28%

34%

24%

20%

18%

22%

27%

26%

31%

26%

5%

14%

12%

9%

11%

10%

20%

3%

5%

5%

6%

9%

4%

9%

Período de inactividad/incapacidad para realizar

negocios

Pérdida de datos confidenciales

Impacto negativo en la percepción de su

organización o marca

Mala experiencia del cliente

Pérdida de ingresos

Aumento de los costes operacionales asociados

con la recuperación

Riesgo de incumplimiento

Extremadamente preocupado Muy preocupado Algo preocupado No muy preocupado Nada preocupado

Nivel de preocupación sobre el impacto del ataque basado en DNSExtremadamente/muy preocupado: 72 %

Extremadamente/muy preocupado: 64 %

Extremadamente/muy preocupado: 61 %

Extremadamente/muy preocupado: 57 %

Extremadamente/muy preocupado: 55 %

Extremadamente/muy preocupado: 55 %

Extremadamente/muy preocupado: 45 %

ESTUDIO Protección de la infraestructura de DNS: por dentro y por fuera6

Spamhaus

En marzo de 2013, la organización de filtrado de correo no deseado Spamhaus sufrió un histórico ataque de DDoS de 300 Gb que se extendió a varios intercambios de Internet y ralentizó el tráfico, sobre todo en Europa. Aparentemente, se trataba de un ataque con ánimo de venganza llevado a cabo por la empresa CyberBunker, que acababa de ser incluida en la lista negra porque se sospechaba que sus servicios de alojamiento anónimo podían ser un canal de transmisión de correo no deseado.

Según Kelly Jackson Higgins, colaboradora en Dark Reading, «los atacantes se aprovecharon en sus ataques de los servidores DNS mal configurados o en estado predeterminado, también conocidos como resolvedores DNS abiertos, y no se trató de un ataque de botnet estándar. Esto permitió realizar un ataque de ancho de banda mayor con menos equipos porque los servidores DNS son grandes y funcionan con conexiones de Internet de alta velocidad, una fórmula que condujo a un nivel de DDoS histórico. Los expertos en seguridad calculan que existen alrededor de 21 millones de servidores de este tipo funcionando en la red».

CloudFare, el servicio que contrató Spamhaus para desviar el ataque, determinó que se trataba de un ataque de reflexión de DNS iniciado por un pequeño grupo de resolvedores DNS abiertos. Cuando CloudFlare empezó a distribuir la carga entre sus propios centros de datos, los atacantes dirigieron su ataque a los proveedores de ancho de banda que utilizan los servicios de CloudFlare, lo cual todavía afectó a más intercambios de Internet.9

Twitter y el New York Times

En agosto de 2013, una banda de ciberterroristas que se autodenominan Ejército Electrónico Sirio (SEA) atacó los sistemas de Melbourne IT, un registrador web de Australia. Los atacantes pudieron cambiar los detalles del New York Times y los registros de Twitter para que apuntaran a los servidores controlados por el SEA. El servicio de imagen integrado de Twitter no se pudo reanudar hasta horas después delataque.ElSEAretransmitesusaccionesatodoelmundo;atravésdeTwitter,por supuesto. 10

Microsoft SkyDrive

Como ocurre casi siempre que los servicios al consumidor se interrumpen por un ataque, los usuarios de los servidores en la nube de Microsoft SkyDrive expresaron libremente su descontento a través de Twitter. El servicio SkyDrive, el conjunto de aplicaciones de Office en línea de Microsoft, su sitio de Xbox y otros sitios dejaron de funcionarcuandofallóunparchedeDNS.EstainterrupciónsorprendióaEE. UU.porla noche, pero en Australia se produjo justo cuando los trabajadores llegaban a sus oficinas e intentaban acceder a documentos almacenados en la nube de Microsoft.

La mala publicidad no tardó en difundirse por el mundo, y en varios idiomas, a través de Twitter. Aunque en este caso la culpa fue de las deficiencias en la gestión de DNS más que de la debilidad de la seguridad de DNS, no deja de ser un ejemplo más de las graves consecuencias de los períodos de inactividad de DNS.11

China

En enero de 2014, una gran parte del tráfico de Internet en China se redirigió a servidorescontroladosporunaempresadeEE. UU.LosusuariosdeInternetempezaron a quejarse de la imposibilidad de acceder a las redes sociales y los motores de búsqueda. La interrupción llegó a afectar a dos tercios del tráfico en China.

ESTUDIO Protección de la infraestructura de DNS: por dentro y por fuera7

Según una empresa de seguridad, probablemente el problema tenía que ver con los servidores DNS, porque a todas las personas que intentaban acceder a los sitios se les enviaba a una única dirección IP, que se identificó que correspondía aesaempresadeEE. UU.Puestoquelaempresaofreceserviciosparaayudaralos usuarios a ver contenidos bloqueados por el Gran Cortafuegos de China, se sospechó inmediatamente de su autoría, pero el fundador de la empresa negó que esta estuviera involucrada.12

¿Qué puede hacer para que su organización no aparezca en las portadas?

Si algo desmiente el axioma de que «no hay publicidad que sea mala» es un ataque de DNS bien ejecutado. A nadie le apetece que lo aclamen en todo el mundo como víctima de ataques informáticos. Por desgracia, el protocolo DNS y las utilidades de uso más habitual para gestionar los DNS presentan vulnerabilidades de seguridad intrínsecas. Los firewalls tienen que dejar abierto el puerto 53 para que pase el tráfico de DNS. Y es difícil identificar los ataques, porque las aplicaciones de gestión de DNS no permiten ver los tipos de tráfico específicos.

Además, las medidas de seguridad tradicionales como los firewalls de última generación, las puertas de enlace web seguras, los sistemas de detección de incidentes y los sistemas de prevención de incidentes no protegen directamente la infraestructura de DNS. Las medidas que se aplican más específicamente a los DNS, como el aprovisionamiento excesivo para resistir los ataques y las listas negras mantenidas de forma manual por administradores de red no pueden hacer frente a amenazas en constante evolución.

Así que ¿cómo puede protegerse frente a la pérdida de confianza, las posibles demandas, los costes de recuperación y conformidad y la pérdida de ingresos que puede ocasionar un ataque bien ejecutado? ¿Cómo puede evitar los ataques de DoS y DDoS y, si se producen, cómo puede conseguir que los procesos empresariales sigan funcionando mientras les hace frente? Y si el malware se abre camino a través de su firewall, ¿cómo puede evitar que utilice el DNS como canal para enviar datos de clientes y recursos de empresas desde la red a delincuentes que esperan sacar provecho a su costa?

En Infoblox somos muy conscientes de que, para protegerse de los ataques basados en DNS, se debe librar una batalla por dos frentes: con defensas orientadas al exterior para los ataques de denegación de servicio y defensas internas para protegerse de los ataques de malware. En vista de esto, y de nuestra amplia experiencia en ayudar a clientes de todo el mundo a gestionar y proteger los servicios DNS, ofrecemos una solución completa que le protege en los dos frentes.

Solución segura para DNS de Infoblox

La Solución segura para DNS incluye Protección Avanzada de DNS de Infoblox, que protege las redes de los ataques desde fuera hacia adentro, e Infoblox DNS Firewall, que bloquea la comunicación de malware desde el interior de la red. Estas soluciones, que funcionan en dispositivos de DNS de propósito específico, cubren los dos frentes protegiendo la infraestructura de DNS externa e interna.

A diferencia de los productos de todos los demás proveedores de DNS, nuestra solución ha integrado un sistema de detección y mitigación inteligente que hace frente automáticamente a los ataques de DNS y a las consultas de DNS basadas en malware. Además, se actualiza de forma automática y continua para protegerse frente a ataques nuevos y en constante evolución y frente a dominios y redes maliciosos emergentes. Infoblox es el primer y único proveedor en ofrecer este nivel de seguridad para dispositivos de DNS.

ESTUDIO Protección de la infraestructura de DNS: por dentro y por fuera8

Protección contra ataques desde fuera hacia adentro

La protección empieza por el hardware: dispositivos de propósito específico de Infoblox reforzados para aumentar la seguridad durante el proceso de fabricación y con el certificado Common Criteria Level EAL-2. La activación con un clic y la actualización automática de claves eliminan la habitual complejidad que conlleva la implementación de extensiones de seguridad de DNS (DNSSEC), un protocolo eficaz para prevenir los envenenamientos de caché y los secuestros de DNS.

Apoyándose en esta sólida plataforma, Protección Avanzada de DNS de Infoblox supervisa, detecta y reduce continuamente paquetes de ataques basados en DNS (como la amplificación, la reflexión, las congestiones, los ataques, la tunelización, el envenenamiento de caché y las anomalías de protocolo) y los mitiga al mismo tiempo que responde al tráfico legítimo. Con esto se ofrecen servicios DNS fundamentales aunque la red esté sufriendo un ataque. El sistema también recibe actualizaciones automáticas basadas en el análisis y la investigación de amenazas para ofrecer protección contra ataques de DNS nuevos y en evolución a medida que aparecen.

Mediante completos informes, la solución le ofrece una visión centralizada de los ataques que se han producido en su red y le proporciona los conocimientos que necesita para tomar medidas. Estos informes incluyen detalles como el número de ataques por categoría, regla, gravedad, análisis de tendencias de miembros y análisis basados en el tiempo.

Y dado que cada empresa tiene distintos patrones de flujo de tráfico de DNS que pueden variar según la época del año, la hora del día o el área geográfica, la Solución segura para DNS de Infoblox ofrece umbrales de tráfico personalizables que se pueden configurar, lo que le permite ajustar con precisión los parámetros de protección en función de sus patrones de tráfico únicos. De este modo, puede responder al tráfico legítimo sin problemas y a la vez bloquear o reducir el tráfico malicioso.

Trá�

co le

gítim

o

Ampli�

cació

n

Trá�

co le

gítim

o

Reconocim

iento

Trá�

co le

gítim

o

Ataques

Trá�

co le

gítim

o

Tuneli

zació

n de D

NS

INTERNET

D M Z

INTRANET

CENTRO DE DATOS CAMPUS / REGIONAL

Protección Avanzada de DNS de Infoblox

Enviar informes Enviar informes

Protección Avanzada de DNS de Infoblox

Distribución de reglas en todo el grid

Servidor de generación de informes

Bloqueo de ataquesde DNS

Bloqueode ataques de DNS

Actualizaciones automáticas de amenazas

Grid Master y Candidato (HA)

Servidor de reglas de amenazas de Infoblox

Figura 5: Protección contra amenazas desde fuera hacia adentro

ESTUDIO Protección de la infraestructura de DNS: por dentro y por fuera9

Características principales

• Loslímites de tasa inteligente frenan los ataques de DDoS y de congestión de DNS sin denegar los servicios a los usuarios legítimos.

• Lalimitación de peticiones basada en el origen detecta las consultas anómalas por el origen y provoca el fracaso de los métodos de fuerza bruta.

• Lalimitación de peticiones basada en el destino detecta los aumentos anómalos del tráfico agrupados por dominios objetivo.

• Losprocesadores programables de última generación proporcionan un filtrado de alto rendimiento del tráfico malicioso y legítimo.

• Detectar la actividad de reconocimiento e informar al respecto ayuda al equipo de red a identificar ataques y a prepararse para ellos antes de que se inicien.

• Analizar paquetes de patrones de ataques que se dirigen a vulnerabilidades específicas permite detener algunos ataques antes de que alcancen el software de DNS.

• Lavisibilidad centralizada y la generación de informes permiten a los equipos de red reconocer ataques que se producen en distintas partes de la red.

• Laprotección continua a través de actualizaciones automáticas de Infoblox asegura la evolución de Solución segura para DNS a fin de abordar el cambiante escenario de amenazas.

Bloqueo de amenazas de malware desde dentro hacia afuera

Aunque los DNS tienen debilidades intrínsecas, también tienen un punto fuerte importante: son un punto de emboscada natural para las interrupciones de comunicaciones de malware y amenazas persistentes avanzadas (APT) para servidores de comando y control y botnet maliciosos.

Infoblox DNS Firewall protege contra consultas de DNS dirigidas por malware a dominios maliciosos impidiendo de forma proactiva que los clientes se infecten e interrumpiendo la capacidad de los clientes infectados de comunicarse con botnets o servidores de comando y control. Impide que los clientes accedan a un sitio web de malware, y las solicitudes de comando y control de los DNS secuestrados no se ejecutan, con lo que se impide que funcionen los botnets. Todos los intentos de conexión inapropiados se registran y se correlacionan para ayudar a detectar clientes infectados. Y como lo hace con información sobre los ataques externos, la solución utiliza datos completos, precisos y actualizados sobre dominios y redes en rápida evolución para detectar y bloquear conexiones semanas o meses antes que con listas negras recabadas de forma manual.

ESTUDIO Protección de la infraestructura de DNS: por dentro y por fuera10

Figura 6: Protección contra amenazas desde dentro hacia afuera

Características principales

• Revisión y bloqueo automatizados de consultas de DNS resueltas a dominios malos de los clientes infectados

• RegistrodetransaccionesdeDNSque pueden utilizar aplicaciones de terceros como los SIEM

• IntegraciónconlagestióndedireccionesIPyDHCPprincipaldeInfobloxque ofrece la mejor visibilidad del sector de los dispositivos infectados por dirección IP y MAC y por tipo de dispositivo

• Actualizacionesautomáticas cada dos horas para reflejar los cambios de flujo rápido de los dominios y las direcciones IP

• Bloqueoporáreageográficapara naciones no autorizadas y regiones en las que se tiene conocimiento de que actúan los hackers

INTERNET

D M Z

INTRANET

Reproduce el ataque

de malware

Centro de datos

Servicio de suscripción a DNS Firewall

Servidor de generación de informes

Clientes de DNS

Actualizaciones automáticas de amenazas

Bloquea las consultas de DNS «malas»

Serie

FireEye™

NX

ESTUDIO Protección de la infraestructura de DNS: por dentro y por fuera11

Protección contra amenazas persistentes avanzadas

Solución segura para DNS de Infoblox también se beneficia de la integración de DNS Firewall con la serie NX de FireEye del software de detección de APT. La integración combina la potencia de la detección de APT de FireEye con la toma de huellas digitales de dispositivos y el bloqueo a nivel de DNS de Infoblox para ayudar a los equipos de red a detectar e interrumpir la comunicación de malware de APT y a localizar los dispositivos infectados que intentan acceder a dominios maliciosos.

Características principales

• Bloqueo automático a nivel de DNS de las APT detectadas para bloquear las consultas de DNS en el nivel de la IP y el dominio

• Aplicacióndepolíticasflexiblespara pasar a través de las consultas, bloquearlas o redirigirlas, con el fin de que los administradores puedan actuar sobre ellas dentro de marcos de seguridad específicos

• Identificacióndedispositivosinfectadospara acelerar la recuperación y ralentizar la expansión de los ataques

• GeneracióndeinformesdedireccionesIPydominiosmaliciosos para proporcionar al personal de seguridad de TI un mayor conocimiento de los ataques de APT

Servidor de generación de informes de Infoblox: identi�ca el dispositivo infectado por dirección IP/MAC y tipo de dispositivo

Consulta de DNS de malware para detectar y telefonear al destino

Detecta y hace detonar malware avanzado

1 4

A

A

B

2

3

B

Servidor DNS con DNS Firewall

Servicio de suscripción a DNS Firewall Svc

DNS Firewall: adaptador de FireEye

Interno y externo: Servicio de suscripción a FireEye + DNS Firewall

13.13.13.13, 12.12.12.13...

INTERNET

INTERNET

Punto �nal de la empresa infectado

Bloquear/redirigir consulta de DNS

Reproduce el ataque

de malware

Portales de comando y control

Proxies de comando y control

IP de portales de control y

comando/botnets

Direcc

ión IP

de h

ost

y nom

bre d

e dom

inio

que se d

esea

blo

quear

Servicio de suscripción a Infoblox DNS Firewall

IP/Dominios/etc. de «servidores malos»

Serie

FireEye™

NX

Figura 7: Protección contra APT

ESTUDIO Protección de la infraestructura de DNS: por dentro y por fuera12

Ya es hora de impedir que los hackers y los ladrones nos sigan ganando terreno.

Esperamos haberle concienciado con este estudio acerca de una seria amenaza para su empresa, sus clientes y su éxito, y haberle convencido de que el estado y la seguridad de su red puede depender del tiempo que tarde en reforzar su infraestructura de seguridad general con la Solución segura para DNS de Infoblox.

El DNS es la piedra angular de Internet, pero durante mucho tiempo se ha descuidado su protección, y esto ha creado una vulnerabilidad de la que la comunidad delictiva se aprovecha todos los días. La única solución que se ha diseñado teniendo en cuenta esta realidad es la Solución segura para DNS de Infoblox. Póngase en contacto con nosotros para obtener más información sobre esta protección crítica contra las amenazas más peligrosas a las que se enfrenta su red.

Acerca de Infoblox

Infoblox (NYSE:BLOX) ayuda a sus clientes a controlar sus redes. Las soluciones de Infoblox ayudan a las empresas a automatizar las complejas funciones de control de red para reducir costes y aumentar la seguridad y el tiempo de funcionamiento. Nuestra tecnología permite el descubrimiento automático, la configuración y la gestión de cambios en tiempo real y el cumplimiento normativo para una infraestructura de red, además de funciones de control de red cruciales, como la gestión de direcciones IP (IPAM), DHCP y DNS para aplicaciones y dispositivos de punto final. Las soluciones de Infoblox ayudan a más de 6900 empresas y proveedores de servicios en 25 países diferentes a controlar sus redes.

1 “CybercrimeandOrganizedCrime”(Ciberdelincuenciaycrimenorganizado),InstitutodelasNacionesUnidaspara investigaciones sobre la delincuencia y la justicia, 2014.

2 “2014 Arbor Worldwide Infrastructure Security Report” (Informe mundial sobre seguridad de infraestructuras de Arbor), Arbor Networks, 2014.

3 ”Q4 2013 Prolexic Quarterly Global DDoS Attack Report” (Informe trimestral de ataques de DDoS globales de Prolexic del 4º trimestre de 2013), pág. 3, Prolexic Technologies, Inc., 2014.

4 Prolexic, pág. 5.

5 “Market Pulse Research: DNS Protection” (Estudio sobre el pulso del mercado: protección de DNS), un estudio de Network World Custom Solutions Group realizado para Infoblox por IDG Research Services, diciembre de 2013.

6 Prolexic, pág. 4.

7 “Anonymous hacker claims Go Daddy attack: outage hits millions” (Hacker anónimo reivindica el ataque a Go Daddy: la interrupción afecta a millones de usuarios), ZDNet, 10 de septiembre de 2012.

8 “Go Daddy Site Outage Investigation Completed” (Completada la investigación sobre la interrupción del sitio de Go Daddy), comunicados de prensa de Go Daddy, 11 de septiembre de 2012.

9 “Misconfigured,OpenDNSServersUsedInRecord-BreakingDDoSAttack”(ServidoresDNSmalconfiguradosyabiertos utilizados en histórico ataque de DDoS), Kelly Jackson Higgins, Dark Reading, 27 de marzo de 2013.

10 “Twitter and New York Times still patchy as registrar admits SEA hack” (Twitter y el New York Times siguen presentando un funcionamiento irregular, y la empresa registradora admite el ataque del SEA), The Guardian, 28 de agosto de 2013.

11 “Microsoft SkyDrive suffers outages” (Microsoft SkyDrive sufre interrupciones), Chris Griffith, The Australian, 22 de noviembre de 2013.

12 “China Websites Hit with Disruptions” (Los sitios web de China afectados por interrupciones), Paul Mosur, Wall Street Journal, 21 de enero de 2014.

ESTUDIO Protección de la infraestructura de DNS: por dentro y por fuera13

Diccionario del lado oscuro de las TI

Unaformasencilladecalibrarlamagnituddelpeligroquerepresentalavulnerabilidad de DNS es mirar el número de tipos de ataque que se lanzan actualmente. Aquí no están todos. Y están apareciendo otros nuevos.

Los ataques de amplificación de DNS directos congestionan el ancho de banda de salida del servidor DNS enviando una gran cantidad de consultas de DNS que generan una respuesta con un tamaño hasta 70 veces mayor que el de la solicitud.

Los ataquesdereflexión utilizan un servidor DNS de terceros para enviar consultas que incluyen la dirección IP de la víctima como IP de origen en la consulta, de modo que las respuestas congestionan la dirección de la víctima y el sitio deja de funcionar.

Los ataques distribuidosdeDoSdereflexión(DrDoS)combinan la reflexión y la amplificación para aumentar considerablemente el tamaño de la respuesta a las consultas iniciales y la probabilidad de que el servidor de la víctima se vea saturado.

Los ataques de congestión de TCP/UDP/ICMP son ataques volumétricos con cantidades enormes de paquetes que consumen el ancho de banda y los recursos de la red.

Los ataques basados en DNS utilizan errores de software en el análisis de protocolos y la implementación de procesos para explotar las vulnerabilidades del software de los servidores DNS.

El envenenamiento de la caché de DNS consiste en incluir un registro de dirección falso en la consulta de DNS para que las solicitudes posteriores de la dirección del dominio se dirijan a la dirección de un servidor controlado por el hacker.

Las anomalías de protocolo envían paquetes de DNS malformados, como valores de encabezado y carga inesperados, al servidor objetivo, de manera que este deja de responder o se bloquea provocando un bucle infinito en el servidor.

El reconocimiento consiste en intentar obtener información sobre el entorno de red antes de lanzar un gran ataque de DDoS o de otro tipo.

La tunelización de DNS implica la tunelización de otro protocolo a través del puerto 53 de DNS, que está autorizado si el firewall está configurado para transportar tráfico que no es de DNS, con el fin de filtrar datos.

© 2014 Infoblox Inc. All rights reserved. infoblox-whitepaper-protecting-DNS-infrastructure-inside-out-Jan2014

US CorporAte HeADqUArterS:

+1.408.986.4000

+1.866.463.6256

(toll-free, U.S. and Canada)

info@infoblox.com

www.infoblox.com

eMeA HeADqUArterS:

+32.3.259.04.30

info-emea@infoblox.com

SpAIN/portUgAl:

sales-spain@infoblox.com

www.infoblox.es

MexICo/lAtIN AMerICA:

Sales-latinamerica@infoblox.com

www.infoblox.es