Papel de la seguridad a nivel de DNS para SASE

Muchos artículos del sector y mi blog sobre Descifrar SASE son muy claros sobre los principales componentes de SASE.
En el caso de SASE Security, los componentes predominantes de los que se habla son Secure Web Gateway (SWG), Cloud Access Security Broker (CASB), Zero Trust Network Access (ZTNA) y Next-Generation Firewall (NGFW).
Las funciones de seguridad de estos componentes son el control de acceso basado en direcciones IP, dominios, URL, reputación de archivos, antimalware, prevención de pérdida de datos, prevención de intrusiones, además de controles de acceso basados en políticas a varios niveles, incluidos controles de acceso L3/L4, controles de acceso basados en categorías de URL, controles de acceso a nivel de función de software como servicio, etc.
Dado que el Protocolo de Transferencia de Hipertexto (HTTP) es el protocolo más común para el acceso a Internet, al Software como Servicio e incluso a las aplicaciones de las empresas, muchos artículos describen las funciones de seguridad en el contexto del Protocolo de Transferencia de Hipertexto.
En este artículo, la atención se centra en el protocolo del Sistema de Nombres de Dominio (DNS) y en la protección contra amenazas que puede lograrse mediante proxies DNS.
En Aryaka creemos que SASE debe incluir la seguridad basada en DNS. ¿Qué es el DNS? El DNS es un sistema que traduce los nombres de dominio legibles por humanos a direcciones IP.
Los ordenadores se comunican entre sí utilizando direcciones IP, pero los nombres de dominio son más fáciles de recordar y utilizar para los humanos.
Cuando un usuario teclea un nombre de dominio en su navegador para acceder a un sitio web o a un servicio, el navegador envía una solicitud de consulta DNS a un resolver DNS para buscar la dirección IP asociada al nombre de dominio.
El resolver busca la dirección IP en una base de datos distribuida denominada jerarquía DNS y la devuelve al navegador, que a continuación utiliza la dirección IP para establecer una conexión con el servidor que aloja el sitio web o el servicio. Seguridad a través de DNS y Seguridad DNS El término «Seguridad DNS» se utiliza normalmente para referirse a las medidas adoptadas para proteger la infraestructura DNS de la empresa, incluidos los servidores DNS autoritativos y los resolvedores DNS.
«Seguridad vía DNS» se refiere al uso del protocolo DNS para la protección contra amenazas y el control de acceso, normalmente a través de proxies DNS transparentes.
Dado que SASE está consolidando múltiples servicios de seguridad de red en uno, creemos que SASE necesita incluir tanto funcionalidades de «Seguridad vía DNS» como de «Seguridad vía DNS».
Ambas funcionalidades pueden ser realizadas por SASE a través del mecanismo de proxy DNS.
La parte SD-WAN de SASE puede interceptar el tráfico DNS y entregarlo a un proxy DNS para que realice varias funciones de seguridad.
Un proxy DNS también necesita actuar como un simple (no recursivo) resolvedor DNS para enviar las consultas DNS a los resolvedores/servidores DNS upstream. Características comunes del proxy DNS SASEGarantizar la privacidad: Las consultas DNS generadas por clientes como aplicaciones/navegadores cliente nativos no están encriptadas.
Debido a esto, cualquier entidad intermedia que tenga acceso al tráfico puede ver qué sitios web están siendo visitados por los usuarios.
Esta falta de privacidad puede facilitar a los atacantes man-in-the-middle el seguimiento del comportamiento en línea de los usuarios.
Dado que el proxy DNS en SASE puede entrar en escena antes de que las consultas DNS salgan del límite lógico de las empresas, puede proteger la privacidad del comportamiento en línea de los usuarios mediante DNS-sobre-TLS y DNS-sobre-HTTP con resolvedores DNS ascendentes.
El proxy DNS intercepta las consultas DNS de los clientes y puede reenviarlas a través de DNS-sobre-HTTPS/TLS a los resolutores DNS ascendentes. Garantizar la integridad y la autenticación de las respuestas DNS: El sistema DNS se basa en la confianza.
Los clientes y resolvedores DNS confían en la respuesta DNS que obtienen de los servidores y resolvedores DNS ascendentes.
Si los sistemas DNS ascendentes se ven comprometidos, es posible que los atacantes envíen respuestas DNS con las direcciones IP de sus sitios atacantes en lugar de los nombres de dominio auténticos.
Esto se denomina falsificación de DNS o ataques de envenenamiento de caché DNS.
Las mejoras de DNSSEC (DNS seguro) en el protocolo DNS es una de las soluciones para detener la suplantación de DNS.
DNSSEC protege contra los ataques firmando digitalmente los datos de respuesta DNS para ayudar a los clientes/resolvedores DNS a validar la autenticidad de los datos, protegiendo así de los datos DNS manipulados/falsificados.
Sin embargo, no todos los clientes y resolvers DNS son capaces de realizar DNSSEC. Los proxies DNS que se interponen entre los clientes DNS y los servidores DNS ascendentes pueden verificar la validación de los datos mediante la funcionalidad DNSSEC. Protección contra ataques de inundación DNS: Este artículo me pareció muy completo al describir los ataques DDoS contra la infraestructura DNS, en concreto los ataques de amplificación DNS y de reflexión DNS, que pueden abrumar a la víctima.
Esto incluye tanto la infraestructura en la que se ejecutan los servidores/resolvers DNS como el propio servicio DNS.
Otro tipo de ataque tiene como objetivo agotar los recursos (CPU y memoria).
Ejemplos de este tipo son los ataques de inundación NXDOMAIN y los ataques de tortura de agua en los que el atacante envía las consultas DNS con dominios y subdominios inexistentes con etiquetas aleatorias.
SASE con su servicio de cortafuegos L3/L4, puede evitar que las respuestas DNS lleguen a la víctima si no había ninguna consulta DNS para ellas, deteniendo eficazmente los ataques de reflexión.
Además, SASE con su servicio genérico de limitación de tasa, puede ser utilizado para restringir el número de consultas por IP/subred de origen, mitigando así la inundación de servicios DNS (resolvers y servidores).
Un proxy DNS SASE es necesario para una protección inteligente contra los ataques de inundación, incluidas las inundaciones NXDOMAIN y los ataques de tortura de agua.
El proxy DNS SASE mitiga estos ataques mediante la limitación de la tasa a nivel de protocolo DNS y la detección de etiquetas aleatorias utilizando métodos de detección de nombres de dominio anómalos. Protección contra exploits basados en DNS: Las vulnerabilidades y la mala configuración de la infraestructura DNS pueden ser aprovechadas por los atacantes para comprometer los servicios DNS.
Una vez comprometido un servicio DNS, los atacantes pueden falsificar las respuestas DNS con sus propias direcciones IP.
Algunos ejemplos de vulnerabilidades de desbordamiento de búfer incluyen la vulnerabilidad TKEY de Bind9 y la vulnerabilidad de desbordamiento de consulta inversa.
Algunos exploits pueden detectarse comprobando el cumplimiento de las RFC pertinentes.
Sin embargo, en algunos casos, la carga útil del exploit se adhiere a las RFC, al tiempo que se aprovecha de las vulnerabilidades en la implementación de los servicios DNS.
La seguridad SASE suele incluir IDPS (Sistema de Detección y Protección de Intrusiones) que puede utilizarse para detectar exploits conocidos.
Para la protección de día cero, es importante que el proxy DNS de SASE compruebe el cumplimiento del protocolo y emplee la detección de anomalías para identificar el contenido anormal de la carga útil DNS en comparación con lo que se observa normalmente. Control de acceso e impedir que los usuarios visiten sitios con mala reputación: Como se ha descrito anteriormente en la sección «Qué es el DNS», la consulta del nombre de dominio es el primer paso cuando un usuario visita cualquier sitio web.
La seguridad vía DNS puede desempeñar un papel importante a la hora de impedir que los usuarios accedan a sitios que alojan malware y contenidos de phishing.
Muchos proveedores de inteligencia sobre amenazas proporcionan puntuaciones de reputación para direcciones IP y nombres de dominio.
Esta inteligencia puede utilizarse para bloquear consultas DNS a nombres de dominio maliciosos y evitar respuestas DNS que incluyan direcciones IP malas.
La funcionalidad de un proxy DNS SASE permite la implementación de este primer nivel de seguridad anti-malware y anti-phishing para los usuarios.
Los proxies DNS de SASE se integran con múltiples proveedores de inteligencia sobre amenazas para obtener regularmente la base de datos de reputación IP/Dominio y filtrar las consultas y respuestas DNS que incluyan direcciones IP y nombres de dominio maliciosos. Sin embargo, es importante tener en cuenta que puede haber falsos positivos en los feeds de inteligencia sobre amenazas, por lo que es crucial asegurarse de que su proveedor de SASE ofrece la capacidad de crear excepciones.
Además, un proxy DNS SASE permite a los administradores filtrar nombres de dominio y direcciones IP personalizados, lo que puede ayudar a evitar que los usuarios accedan a sitios que no estén alineados con los intereses de la empresa. Protección frente a servicios DNS ascendentes comprometidos: Como se ha mencionado anteriormente, DNSSEC puede abordar la cuestión de la validez de la respuesta DNS y evitar respuestas DNS con direcciones IP falsificadas.
Sin embargo, no todos los servicios DNS implementan DNSSEC.
Detectar la falsificación de DNS desde servicios DNS comprometidos no basados en DNSSEC es crucial para evitar que los usuarios accedan a sitios de phishing y malware.
Una técnica consiste en utilizar varios resolvedores DNS ascendentes, comparar las respuestas de cada resolvedor y reenviar la respuesta DNS sólo si los resultados son coherentes.
La funcionalidad de un proxy DNS SASE permite la verificación cruzada de múltiples respuestas DNS recibidas de varios resolvedores DNS upstream.
Comprueba la coherencia entre las respuestas y sólo responde cuando se logra una verificación satisfactoria.
Dado que este enfoque puede introducir una latencia adicional en las consultas DNS debido a la necesidad de esperar las respuestas de múltiples resolvedores DNS ascendentes, es una práctica común enviar múltiples consultas DNS y realizar la verificación cruzada sólo cuando la base de datos de inteligencia de amenazas no tenga una respuesta para los nombres de dominio consultados. Indicadores de compromiso (IoC): El análisis de seguridad del tráfico DNS puede proporcionar valiosas percepciones e indicadores de compromiso.
Algunos de los insights e IoCs que la seguridad SASE DNS puede proporcionar incluyen:

• Nombres de dominio sospechosos utilizando feeds de inteligencia sobre amenazas.
• Detección de intentos de suplantación de DNS mediante el análisis de la respuesta DNS, como se describe en la sección «Protección frente a servicios DNS ascendentes comprometidos» y otras técnicas.
• Identificación de códigos de respuesta DNS anormales e inesperados, como NXDOMAIN y SERVFAIL.
• Detección de patrones de consulta inusuales, como un alto volumen de solicitudes a un dominio concreto o consultas fallidas repetidas.
• Detección de algoritmos de generación de dominios (DGA) utilizados habitualmente por el malware para comunicarse con los centros de mando y control.
• Identificación de redes de flujo rápido, en las que las direcciones IP asociadas a un dominio cambian rápidamente.
  Este comportamiento se observa comúnmente en sitios que alojan malware.

SASE DNS Proxy, IDPS, y los cortafuegos juegan un papel importante no sólo en la mitigación de riesgos para los usuarios, sino también en proporcionar información valiosa a través de los registros generados por el sistema SASE. Resumen En nuestra opinión, la seguridad basada en el DNS sirve como primera línea de defensa tanto para los usuarios como para la infraestructura DNS, ya que el DNS se consulta antes de que se produzcan las transacciones de datos reales.
Detectar los ataques lo antes posible es crucial para una seguridad eficaz.
Aunque es posible que la seguridad basada en el DNS no ocupe un lugar destacado en gran parte de la literatura actual sobre SASE/SSE, creemos firmemente que los servicios SASE/SSE deberían incorporar la seguridad basada en el DNS. Consulte anteriores entradas del blog sobre SASE y temas de seguridad aquí.