El pasado 22 de Enero el Departamento de Seguridad Nacional de los Estados Unidos, (DHS) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) informaron de una directiva de emergencia que afecta a la infraestructura DNS (Servidores de nombre de dominio) del cual publicamos un artículo asociado al tema.
Es por ello que las empresas deben conocer lo que es el DNS Hijacking fenómeno estrechamente relacionado al caso. Esta vulnerabilidad se produce esencialmente cuando su ISP "Proveedor de Servicios de Internet" redirige el tráfico de DNS a sus propios servidores de DNS y realiza la resolución de DNS sin su consentimiento o conocimiento. Esto es en realidad bastante común y normalmente los usuarios no se percatan de ello ya que no deja ningún rastro. Es crucial saber cómo detectar el secuestro de DNS y el cómo protegerse.
La forma más rápida de detectar el secuestro de DNS es mediante el uso de la utilidad ping (Herramienta de línea de comandos disponible en todos los Sistemas Operativos que se utiliza para traducir desde un nombre de dominio a una dirección IP). Si hace ping a un dominio que no existe y se resuelve, es probable que sea un indicador muy claro de que su ISP está secuestrando el tráfico de su DNS, por ejemplo, si realiza ping al nombre del host thevpnguru-dns-exposed.tld; este comando deberá dar el mensaje “La solicitud de ping no pudo encontrar el host”, en cambio, si devuelve una dirección IP, usted es víctima de un secuestro de DNS.
Otra forma de confirmar si su DNS está siendo secuestrado, es cambiar su dirección DNS en un dispositivo que usa 0.0.0.0 y 0.0.0.1. Si después del cambio su Internet sigue funcionando y puede navegar en internet, normalmente su tráfico de DNS está secuestrado.
Si detecta que posee un secuestro de DNS, recomendamos las siguientes soluciones para prevenir y bloquear esta vulnerabilidad:
1. Obtener una conexión VPN (Red Privada Virtual), el servicio VPN cifra todo el tráfico y lo envía a través de un túnel virtual. Esto se aplica a todo su tráfico DNS / web y así sucesivamente. Como resultado, su ISP no podrá descifrar su tráfico. Otro beneficio es que puede usar su VPN en cualquier lugar del mundo, y también permite cambiar su ubicación en Internet.
2. Si su proveedor DNS tiene soporte para el puerto 54 , puede usar un router que admita DD-WRT (firmware libre para diversos routers inalámbricos o WiFi), luego usar reglas de iptables (programa que permite a un administrador del sistema configurar las tablas proporcionadas por el firewall del kernel de Linux y las cadenas y reglas que almacena) para forzar el tráfico de DNS al puerto 54. De esta manera, su tráfico de DNS circulara por su servidor DNS de su ISP.
REFERENCIA
COMENTARIOS