Resolver el dilema del secuestro de nombres de dominio
Chief Nominum Paul Mockapetris, científico y autor original del protocolo DNS, dijo que actualizar a BIND 9.2.5 o implementar DNSSec eliminará el riesgo de envenenamiento de la caché. Sin embargo, sin las interfaces proporcionadas por los equipos de gestión de DNS de Blue Cat Networks, Cisco, F5 Networks, Lucent y Nortel, sería muy difícil y llevaría mucho tiempo completar esta migración. Algunas empresas, como Hushmail, optan por utilizar TinyDNS de código abierto en lugar de BIND. Las alternativas de software al DNS incluyen productos de Microsoft, PowerDNS, JH Software y otros proveedores. No importa qué DNS utilice, siga estas mejores prácticas:
1. Ejecute servidores de nombres separados en diferentes redes para lograr redundancia.
2. Desacople los servidores de nombres externos e internos (separe físicamente o ejecute la vista vinculada) y utilice reenviadores. Los servidores de nombres externos deberían aceptar consultas de casi cualquier dirección, pero los repetidores no. Deben configurarse para aceptar únicamente consultas de direcciones internas. Desactive la recursividad (el proceso de localizar registros DNS desde el servidor raíz hacia abajo) en servidores de nombres externos. Esto puede limitar qué servidores DNS contactan con Internet.
3. Si es posible, limite las actualizaciones de DNS dinámicas.
4. Limitar las transferencias de zona a dispositivos autorizados.
5. Firme digitalmente transferencias de zona y actualizaciones de zona mediante firmas de transacciones.
6. Ocultar la versión de BIND que se ejecuta en el servidor.
7. Elimine los servicios innecesarios que se ejecutan en el servidor DNS, como FTP, telnet y HTTP.
8. Utilizar servicios de firewall en el perímetro de la red y servidores DNS. Restrinja el acceso a los puertos/servicios necesarios para la funcionalidad DNS.
Hacer responsables a los registradores.
También es una parte importante de la solución organizativa del problema del secuestro de nombres de dominio. No hace mucho, un hacker engañó a un representante de servicio al cliente para que cambiara la dirección IP del servidor de nombres de dominio principal de Hushmail. En ese momento, Brian Smith, director de tecnología de Hushmail, estaba furioso. Era muy fácil para los piratas informáticos engañar a los representantes de servicio al cliente de su registrador de nombres de dominio.
"Esto es algo terrible para nosotros", dijo Smith. "Me gustaría que el registrador desarrollara y publicara mejores políticas de seguridad. Sin embargo, no puedo encontrar un registrador que haga algo así". Desde que sucedió esto, he estado buscando un registrador así”.
Cuando el nombre de dominio de Panix fue secuestrado debido a problemas con el registrador en junio de 1938, Alex Resin, el presidente de Panix, también lo sintió. la misma fuerte insatisfacción. Primero, su registrador vendió el registro de su nombre de dominio a un revendedor sin previo aviso. Luego, el revendedor transfirió el dominio a un ingeniero social, nuevamente sin notificar a Resin.
Resin dijo: "El sistema de nombres de dominio necesita una reforma sistémica y fundamental. Hay muchas propuestas ahora, pero las cosas no avanzan lo suficientemente rápido".
A la espera de la demanda del mercado y el liderazgo de la ICANN Forzar Pasará mucho tiempo antes de que los registradores implementen políticas de migración segura. Por lo tanto, Resin, Smith y el enlace principal de registradores de ICANN, Tim Cole, ofrecen las siguientes recomendaciones para reducir el riesgo:
1. Solicite a su registrador que emita una declaración de política escrita y ejecutable. Escriba los términos que requieran que se comuniquen con usted de inmediato si es necesario transferir el nombre de dominio.
2. Bloquear el nombre de dominio. Esto requiere que el registrador obtenga una contraseña de desbloqueo u otra información de identificación antes de permitir la transferencia.
3. Mantenga actualizada su información de contacto oficial en el registro.
4. Elija un registrador que ofrezca servicio 24 horas al día, 7 días a la semana para que pueda actuar rápidamente si se produce una infracción.
5. Si se produce una transferencia no autorizada, comuníquese con la agencia de registro correspondiente de inmediato.
6. Si su problema no se resuelve, vaya a su registrador de nombres de dominio (por ejemplo, VeriSign es responsable de registrar .com y .net).
7. Si aún tiene problemas para recuperar su dominio, comuníquese con ICANN (Transferencia)
8. Si tiene un nombre de dominio grande, como Google, conviértalo en su propio registrador. o revendedor, utilice la API abierta de TuCows.com, OpenSRS, para controlar todos sus nombres de dominio
La solución del sistema PacketScout GenieProDNS para ataques de secuestro de DNS y envenenamiento de caché de DNS
p>Comprobación de coherencia.
Cada nodo Geniepro envía sus propios registros DNS a otros nodos del grupo de trabajo para comprobar la coherencia.
Cada nodo Geniepro envía sus propios registros DNS. Los registros se comparan con los registros recibidos.
El nodo de coordinación de comunicaciones de cada grupo de trabajo de Geniepro envía las actualizaciones de registros DNS obtenidas a los nodos de coordinación de comunicaciones de otros grupos para verificar la coherencia.
El nodo de coordinación de comunicaciones de cada trabajo de Genipro. El grupo solicita al servidor DNS de nivel superior que actualice el registro y lo compara con los registros recibidos de otros nodos de coordinación de comunicación.
Arbitraje consistente
Si la verificación de coherencia encuentra registros inconsistentes, decidirá si acepta los cambios de registro en función de la política (la minoría obedece a la mayoría, un voto de veto, etc.))En función de los resultados, cada nodo Geniepro unifica sus propios registros.
Elección del nodo de coordinación de comunicaciones
El nodo de coordinación de comunicaciones elegido tiene derecho a actualizar los nodos del grupo durante su mandato.
El proceso electoral es impredecible e irrepetible.