La importancia de la resolución de nombres en la Red y las nuevas mejoras de seguridad – Parte 3: DNS Seguro

By on
El problema de la seguridad en DNS

La importancia de la información

En el tiempo que nos ha tocado vivir, estamos inmersos en la ‘sociedad de la información’. El activo son los datos, y hoy en día hay una cantidad ingente de información. Cuando hay abundancia también hay negocio, y eso atrae a todo tipo de personas. Tecnologías como el Big Data han emergido para solucionar el problema de la explotación de datos de forma ágil. Hablamos de la minería de datos, hay tantos que tenemos que coger pico y pala y extraer lo realmente útil.

Nuestros datos valen dinero, y aunque mucha gente no es consciente de ello, debemos preocuparnos por su privacidad y confidencialidad. Como consecuencia del mercadeo salvaje de nuestra información entre empresas y mercenarios digitales, ya hay algunas iniciativas como el reciente Reglamento General de Protección de Datos, que entró en vigor el 25 de mayo de 2018 y con el que se pretende tener mayor control y extender la obligación de notificar fugas de información ante ciberataques.

El problema de la seguridad en DNS

Enfocándonos en la privacidad y la seguridad del servicio DNS (recordemos que es un protocolo que realiza consultas en texto plano de nombres de dominio para obtener una IP y conectarnos a nuestra web favorita), existen hoy en día algunas mejoras que no son tan conocidas a nivel de usuario o, al menos, de cuyo uso no somos conscientes.

Podríamos encontrar dos problemas fundamentales con el servicio DNS:

  • La privacidad (que nadie sepa qué estamos consultando).
  • La integridad y seguridad (que no estemos consultando contra un servidor malicioso).

Respecto a la privacidad, como hemos visto, nuestros datos tienen valor y, si van a hacer negocio con ellos, qué menos que tengamos la opción de aceptarlo o no.

En cuanto a la seguridad, existen técnicas como la de envenenamiento de DNS o Man in The Middle que permiten a un atacante escuchar pacientemente nuestras solicitudes DNS sin cifrar, interceptarlas, modificarlas y respondernos con datos falsos, engañándonos con direcciones IP incorrectas. Como consecuencia, desvían nuestro tráfico a páginas falsas (Phishing).

El problema de la seguridad en DNS

Las soluciones

Existen diversos mecanismos para mejorar la seguridad, aunque por ahora no hay una solución genérica implantada de manera masiva. Sin entrar en detalles muy profundos de su funcionamiento, veremos sus principales características y cualidades.

Las alternativas son las siguientes:

  • DNSSEC.
  • DoT (DNS over TLS).
  • DoH (DNS over HTTPS).
  • DNSCrypt.

DNSSEC

Esta solución está basada en el tradicional servicio DNS, pero expandiendo sus características. Son extensiones de seguridad del actual protocolo con la idea de permitir retrocompatibilidad y minimizar el impacto en la transición.

Está basado en criptografía de llave pública (certificados digitales) y utiliza los servidores raíz DNS como entidades de certificación autorizadas. Éste es un tema de gran discordia entre los desarrolladores.

Respecto a sus características principales:

  • Dota de mejoras en la seguridad en cuestión de autenticación pero no de cifrado. Es decir, tendremos la total certeza de que la respuesta del servidor DNS es íntegra, de que no ha sido modificada y de que proviene del servidor real al que queremos conectarnos.
  • No nos proporciona cifrado, por lo que cualquier agente externo podrá saber qué dominios estamos consultando.

DoT (DNS over TLS)

Esta opción reutiliza el protocolo TLS para llevar encima el DNS, por lo que que uno utiliza al otro como transporte. Para diferenciarse, emplea el puerto 853 y es ampliamente manejado por proveedores como Google o Cloudflare. Dispone de dos modos de trabajo (estricto y oportunista) por los que se define si se realizarán conexiones obligatoriamente seguras u opcionales.

Su cualidad más importante es que dota de mejoras en la seguridad en cuestión de autenticación y también en cifrado. TLS cifra por defecto y nos evita que cualquier externo conozca qué estamos consultando.

Más alternativas

DoH (DNS over HTTPS)

Con esta alternativa, Google y Mozilla comenzaron a realizar pruebas a partir de marzo de 2018. La solución es muy parecida a la anterior, pero utiliza el protocolo https para realizar las consultas DNS. Aunque cumple con las características que se busca en cuanto a seguridad, integridad y cifrado, las pruebas por ahora han resultado ser muy costosas en cuestión de lentitud, por lo que está perdiendo terreno frente a otras soluciones.

Hay que tener en cuenta que está en fase de desarrollo y que tiene el objetivo de cubrir otras áreas de interés tan importantes como el control parental, el filtrado de contenido, el Split DNS en las empresas y la interoperabilidad con las redes 5G.

DNSCrypt

Este es un proyecto ‘open source‘ desarrollado por la comunidad para dotar de mejoras al servicio DNS reescribiéndolo como protocolo. Dado que no tiene el respaldo de organizaciones internacionales como la IETF (Internet Engineering Task Force) en cuestión de estándares, su uso no está tan extendido y está limitado a los usuarios que quieran emplearlo.

Utiliza UDP o TCP 443 para la comunicación y también usa certificados, pero evita el empleo de entidades centralizadas.

Permite cifrado, autenticación y, como diferencia del resto de protocolos, existe una extensión (desde octubre de 2019) que permite el ‘anonimato’ empleando técnicas de proxy transparente entre servidores, de manera que el servidor final no conoce la IP real del cliente. Lo utilizan como una alternativa ‘ligera’ a Tor o proxys por Sockets.

Proveedores de DNS Seguro

Actualmente existen muchos servicios DNS públicos con capacidad de establecer sesiones DNS seguras. Aquí tenemos algunos de ellos y sus compatibilidades:

DNS públicos y seguros

Conclusión

Como consecuencia, todos estos protocolos incrementan sensiblemente las latencias, ya las consultas se retrasan algo más a costa de un incremento en nuestra seguridad. Es un coste que tenemos que asumir pero, poco a poco, con el incremento de la capacidad de cómputo y las nuevas soluciones de banda ancha, esas latencias serán cosa del pasado.

A modo de conclusión, a día de hoy nos estamos sensibilizando con la protección de nuestra información privada, y lentamente van apareciendo leyes y protocolos que nos permiten defendernos o, al menos, tener la opción de hacerlo. Estamos migrando de un modelo del ‘Internet de la información’ a otro modelo del ‘Internet del valor‘, por lo que en breve nuestra identidad digital podría estar ligada a servicios y propiedades físicas. Por ello, es importante protegernos, estar siempre atentos a nuestros datos y equipos informáticos y tener sentido común al utilizarlos.