Interesante artículo aparecido en Cisco Blogs en Octubre del 2012 hablando del seguimiento de actividad DNS maliciosa. El autor es miembro del Equipo de Respuesta a Incidentes de Seguridad de Cisco (CSIRT) y empieza su exposición con la siguiente cita:
La seguridad no es un juego limpio. Existen básicamente un ilimitado número de atacantes que pueden someter a prueba tus defensas impunemente hasta encontrar una brecha.
Después de hacer un repaso rápido sobre las bases en que se fundamenta la red y comentar algunos tipos de ataques DNS se centra en una carencia que dificulta la resolución de esta clase de fallas: la falta de información sobre actividad DNS en nuestra red. Cuando un cliente accede a un servicio por su nombre debe resolver éste a una ip. Para ello dicho cliente envía una solicitud a un servidor de nombres el cual le devuelve la dirección. A efectos de seguridad el autor divide este proceso en dos partes: los nombres que los clientes están solicitando y los servidores que proporcionan servicios a dichos nombres, quién está solicitando un servicio (DNS query) y quién lo está proporcionando (DNS answer). La segunda parte se ha solucionado con el Proyecto de Replicación Pasiva de DNS de ICS (ICSDNSDB) y su base de datos ICS DNS DATABASE. Con esta base de datos podemos responder a preguntas como ¿Qué nombres DNS apuntan a esta ip? o ¿Cual ip proporciona servicios a este nombre?
El problema surge con la primera parte: DNS query. La única manera hasta ahora de acometerla es accediendo a los servidores DNS para poder investigar sus logs. Las dificultades de esta solución son varias:
- Muchas organizaciones disponen de diversos tipos de servidores DNS (Bind, Active Directory...)
- Los clientes (y el malware) pueden hacer solicitudes a servicios externos como Google Public DNS o OpenDNS.
- Los clientes generan un gran volumen de solicitudes y resulta muy difícil una búsqueda en un alto volumen de logs.
Dicho esto el autor explica cómo su departamento está desarrollando un proyecto para cazar las solicitudes DNS al vuelo colocando sensores en determinados nodos de la red donde se almacenan localmente los datos capturados. Parece ser que la investigación les ha permitido seguir la pista a actividades DNS maliciosas con bastante facilidad. El resto del artículo da un breve repaso a los datos técnicos de la implementación y en los comentarios incluso se habla de un software comercial que hace algo parecido: Damballa.
Mientras los de Cisco publican su trabajo podemos mientras tanto usar la base de datos ICS (ICSDNSDB). Para acceder a esta base datos hay que solicitar registro y son bastante estrictos en sus criterios, a mi me costó algunos emails convencerlos porque no aceptaban una cuenta de correo pública. Una vez conseguido el registro podemos acceder al formulario de consulta desde donde podemos por ejemplo investigar un dominio desde el que hemos recibido spam y resolver las dos preguntas formuladas anteriormente: ¿Qué nombres apuntan a esta ip? y ¿Cual ip proporciona servicios a este nombre?. Y si nos interesa podemos incluso instalar un sensor en nuestro servidor.
Enlaces: ICS Security: Getting Started
No hay comentarios:
Publicar un comentario