Por Abhishek Ghosh 17 de febrero de 2024 6:19 pm Actualizado el 17 de febrero de 2024AnuncioLas medidas de protección contra la suplantación de DNS tienen como objetivo incluir más información aleatoria en el mensaje DNS que el atacante tiene que adivinar o proteger el mensaje con técnicas criptográficas. Desde que se conoció el ataque de Kaminsky, todos los servidores de nombres comunes han estado utilizando la aleatorización del puerto de origen. Además del número de transacción, también se selecciona aleatoriamente el puerto de origen de una solicitud DNS en el encabezado UDP. Dependiendo de la implementación, esto da como resultado entre 11 y 16 bits adicionales, que el atacante también debe adivinar correctamente. Otro método es la codificación de 0x20 bits, en la que las letras del nombre de dominio solicitado se colocan aleatoriamente en mayúsculas y minúsculas, por ejemplo thecustomizewindows.com. Cuando se trata de resolución de nombres, las letras mayúsculas y minúsculas son generalmente equivalentes, y el RFC 1034 dice que la ortografía de la respuesta debe corresponder al nombre de la solicitud. La duración de la aleatoriedad adicional depende del número de letras del nombre de dominio. Lo que estos métodos tienen en común es que no es necesario adaptar el formato del mensaje y, por lo tanto, los métodos son en gran medida compatibles con la infraestructura DNS existente. En principio, la suplantación de DNS sigue siendo factible, pero el mayor espacio de los parámetros a adivinar reduce la probabilidad de éxito de un atacante remoto. Ninguno de los métodos para aumentar la aleatoriedad protege contra un atacante que puede leer la solicitud DNS (atacante en ruta). Otra categoría de medidas de protección es extender el formato del mensaje DNS con firmas digitales o códigos de autenticación de mensajes, que se generan y verifican usando métodos criptográficos. Un atacante puede generar respuestas DNS falsificadas, pero sin conocer la clave secreta, no puede generar una firma coincidente. Un método muy conocido es DNSSEC, en el que los registros de recursos se firman con criptosistemas asimétricos. DNSSEC se utiliza parcialmente en la práctica, pero la mayor parte del tráfico DNS de Internet no está protegido por él. Un método alternativo a DNSSEC es DNSCurve, en el que el canal de comunicación entre el solucionador y el servidor de nombres está protegido criptográficamente en lugar de los registros de recursos. Emplea una combinación de criptosistemas asimétricos y simétricos. Una adaptación de DNSCurve es DNSCrypt, que utiliza OpenDNS para proteger la comunicación entre el usuario final y el solucionador. Al igual que DNSCurve o DNSCrypt, TSIG protege la comunicación entre dos participantes de DNS. Para ello utiliza HMAC con claves simétricas que deben configurarse manualmente. Otro método es DNS sobre HTTPS, en el que las consultas DNS se transmiten cifradas mediante el protocolo HTTPS.

Source link