Crónicas de la Nube, Parte 2: Prevención y defensa contra ataques DDoS de DNS
Es posible que la seguridad no sea el primer pensamiento al considerar cómo una solución DNS se adaptará a su entorno. Después de todo, a menudo se la llama “la guía telefónica de Internet” y ¿con qué frecuencia se mencionan guías telefónicas y seguridad en la misma oración? El DNS es un sistema bastante modesto, aunque es básicamente la columna vertebral de las interacciones diarias en Internet. Quizás debido a esta ubicuidad, los servicios DNS también son frecuentemente el objetivo de ataques distribuidos de denegación de servicio (DDoS) . Y a medida que aumenta la complejidad y la frecuencia de estos ataques, también lo hacen las exigencias que conlleva la defensa de esta piedra angular de la infraestructura de Internet.
Ataques DDoS de DNS: Una rosa con cualquier otro nombre seguiría perturbando el tráfico.
¿Qué hay que decir sobre los ataques DDoS de DNS que no se haya dicho ya? Vienen en varios sabores y varían en tamaño desde “inconvenientes” hasta “ romper Internet ” , o al menos una parte de ella. “DDoS” es un término general que abarca innumerables tipos de ataques que deniegan servicios a redes y aplicação y que llegan al tráfico de aplicação legítimas . A continuación se presentan cuatro de los ataques a gran escala más comunes:
Ataques de amplificación y reflexión de DNS convertir el DNS en un arma, explotando la naturaleza abierta de los servidores DNS para amplificar el tráfico de ataque, como si se gritara en un cañón y se usara el eco para amplificar el sonido.
Los ataques NXDOMAIN inundan un servidor con solicitudes de dominios inexistentes, creando una cacofonía insidiosa de "números equivocados" que saturan el servicio.
Los ataques de subdominios aleatorios generan una bola curva al solicitar una amplia variedad de subdominios inexistentes, lo que confunde a los solucionadores de DNS.
Las inundaciones de DNS inundan un servidor o servidores con tráfico de apariencia legítima, intentando saturar un sistema mediante un gran volumen.
Inundaciones de DNS, subdominios, NXDOMAIN y ataques de amplificación y reflexión: independientemente de cómo se presenten, todos buscan utilizar tráfico excesivo o irregular para interrumpir el acceso de usuarios legítimos a aplicaciones críticas para el negocio. Tampoco siempre se lanzan de forma aislada. De hecho, los ataques DDoS de DNS también pueden servir como cortinas de humo para enmascarar otras actividades maliciosas. Teniendo en cuenta la existencia de estos tipos de ataques en el contexto de la proliferación de transformaciones digitales, una prevalencia creciente de dispositivos IoT y la expansión del acceso a la red 5G, los actores maliciosos ahora pueden aprovechar más tecnología y más conexiones a Internet que nunca para lograr sus objetivos nefastos contra los servicios de DNS. ¿Qué hacer?
Ataques multivectoriales, seguridad multivectorial
Posicionar el DNS como el punto de partida para la entrega de aplicação en un entorno realmente exige que los equipos también lo consideren como un punto de partida para la seguridad, incluso si un servicio DNS normalmente no se considera una solución de seguridad en un sentido tradicional.
Es útil pensar en la seguridad en el contexto de tres funciones relacionadas: escalabilidad, alta disponibilidad y gestión del tráfico malicioso. Todas estas funciones desempeñan un papel práctico en la interacción con el tráfico, garantizando que el tráfico correcto llegue a donde debe llegar, sin obstrucciones.
Escalabilidad: Considere una infraestructura diseñada para escalar automáticamente en respuesta a las crecientes demandas de tráfico, lo que brinda a los equipos que mantienen el servicio una ventaja en la detección de ataques DDoS. Puede garantizar que incluso durante un ataque volumétrico, los usuarios legítimos puedan resolver sus consultas DNS con una interferencia mínima, como tener un puente que pueda agregar carriles durante el tráfico en hora pico para evitar la congestión. La capacidad de escalar de un servicio DNS también significa que una ola repentina de tráfico, malicioso o no, no abrumará los recursos del backend hasta el punto de incapacitarlos.
Alta disponibilidad: Agregue otra dimensión a la noción de escalabilidad, especialmente en el contexto de la seguridad de DNS, y se dará cuenta de la necesidad de un servicio de DNS que brinde resoluciones ininterrumpidas durante un ataque que pueda dejar un recurso fuera de línea. Si ese servicio se beneficia de puntos de presencia (PoP) en todo el mundo, esa red de servidores puede proporcionar una gestión inteligente del tráfico al ofrecer conmutaciones por error sin problemas a los recursos designados, lo que permite el acceso de los usuarios y evita que los atacantes identifiquen y exploten un único punto de falla. La otra variante de esta solución es combinar un servicio DNS basado en la nube con un servicio DNS local, implementando los dos como una especie de dúo dinámico que lucha contra DDoS y que puede dividir la carga entre ellos o posicionar un servicio DNS como respaldo del otro.
Gestión del tráfico malicioso: Además de la escalabilidad y la alta disponibilidad, un servicio DNS también debe emplear capacidades avanzadas de gestión de tráfico malicioso. Al aprovechar el análisis en tiempo real y la inteligencia sobre amenazas, un servicio de este tipo puede ayudar a los administradores a identificar y abordar el tráfico malicioso antes de que pueda causar daños. Imagínese un filtro de agua que pueda diferenciar entre un chorro de agua limpia y uno contaminado, dejando pasar únicamente agua limpia. Permitir solo tráfico "limpio" a través de la red libera recursos al detectar preventivamente el tráfico malicioso y luego descartarlo antes de que pueda llegar a su destino, lo que evita que ese destino tenga que manejar paquetes basura y allana el camino para una mejor disponibilidad de las aplicaciones.
Estos métodos de seguridad se triangulan en torno al problema de mitigar el tráfico malo. Crecen, se desvían, caen. También se brindan cobertura mutua en áreas donde un método individual puede resultar insuficiente. La alta disponibilidad , por ejemplo, no significa necesariamente alta escalabilidad (y viceversa). Sin embargo, implementar una estrategia de distribución de aplicaciones que combine los tres puede proporcionar rápidamente una sólida línea de defensa contra inundaciones de tráfico malicioso.
En la práctica, lograr una entrega robusta de aplicação frente a desafíos como los ataques DDoS a menudo implica combinar estrategias y tecnologías, como la gestión inteligente del tráfico, arquitecturas distribuidas y mecanismos de conmutación por error automatizados. F5 Distributed Cloud DNS puede ser el primer paso en el desarrollo de este tipo de entorno para sus aplicaciones distribuidas.
Si deseas saber más sobre cómo, contáctanos .