Ataques de DNS empleando servidores de DNS mal configurados
Los servidores DNS recursivos y/o de cache son aquellos servidores de DNS que responden a consultas sobre información de la cual no son autoritativos y cumplen con una función muy importante dentro de la infraestructura de una organización a la hora permitir el funcionamiento normal de internet. Sin embargo, es conveniente mantener una serie de precauciones cuando el servicio está expuesto directamente a Internet , ya que desde hace algún tiempo se están usando estos servidores recursivos para la realización de ataques de Denegación de Servicio (DDOS)
DNS funciona mediante un sistema de «pregunta» / respuesta, empleando muchas veces el protocolo UDP, lo que da lugar a dos problemas:
- Al ser UDP el trafico se puede falsificar, tanto RedIRIS (que lo comprueba en su backbone) como las instituciones afiliadas cumplen con el documento de buenas prácticas 38, (BCP38) , pero muchas otras redes no.
- La consulta puede ocupar pocos bytes, pero la respuesta ser muy larga , es lo que se conoce como amplicación de tráfico que en DNS llega a ser de aproximadamente 1 a 100 (por un 1Mb de trafico de consultas se consigue 100 veces más como respuestas
Esto hace que un atacante pueda emplear los servidores recursivos abiertos de las instituciones para en base a generar tráfico falsificado desde algunas redes mal configuradas hacer que los servidores de DNS amplifiquen el tráifco se produzca una denegación de servicio.
Además, ha salido publicado en algunos foros técnicos cómo se pueden emplear estos servidores DNS recursivos (haciendo hincapié en los existentes en al comunidad RedIRIS para conseguir una mayor velocidad en la visualización desde direcciones IP de proveedores comerciales, en base a emplear el sistema de cache «Google Content Network GCN)», lo que puede suponer una violación del acuerdo entre RedIRIS y Google y puede ser perjudicial para las instituciones conectadas a RedIRIS.
Por otra parte, al ser el servicio de DNS un servicio básico para el funcionamiento de Internet, hay que tener en cuenta las diversas vulnerabilidades que pueden tener versiones antiguas del software «BIND», de ISC, que es mayoritariamente usado por las organizaciones para la gestión de los servicios de DNS.
Desde RedIRIS hemos comunicado en los grupos de trabajo varias veces los peligros que conllevan estos servidores de DNS abiertos, con los problemas que se pueden producir, como se puede ver en las presentaciones:
[1] Presentación en los grupos de trabajo 2011 ,
[2] Presentación en los grupos de trabajo 2013,
Sin embargo todavía quedan servidores de DNS abiertos en las instituciones y cada vez es más frecuente que lleguen notificaciones de ataques de dengación de servicio empleando direcciones IP de las redes las institiciones afiliadas.
Sería conveniente que configurarais vuestros servidores de DNS para que no fueran recursivos desde el exterior, en http://www.team-cymru.org/Services/Resolvers/instructions.html hay información sobre los pasos para conseguirlo. En las versiones actuales de Bind es muy fácil empleando las vistas:
1. Por defecto no permitir la recursión
2. Crear una vista interna limitada a las direcciones IP internas que permite la recursión.
Tambien en las versiones más recientes de Bind existen varias soluciones incluyendo el llamado «Response Rate Limit» para limitar el número de respuestas que un servidor de DNS puede tener ante las consultas de DNS y como poder «aliviar» estas consultas., este parche se comenta en la presentación antes comentada de los grupos de trabajo de 2013.
Por favor intentar corregir el problema, si estos equipos no son los servidores de DNS oficiales de vuestra organización bloquear el acceso al puerto 53/UDP desde el exterior (las conexiones vía TCP no pueden ser falsificadas con tanta facilidad) y avisar a los responsables del equipo para que apliquen los parches de seguridad oportunos.
Podeís tambien consultar con nuestros compañeros del NOC y la lista IRIS-DNS@listserv.rediris.es, si necesitaís más información.
