Seguridad Informática II

Repaso
Redes Ataques y
inalámbricas vulnerabilidades
en protocolos

• Definición, • IP (IP spoofing,

componentes, Packet of death,
fragmentación, IP
tipos source routing)
• Ventajas y • TCP (SYN flooding,
desventajas números de
• Riesgos secuencia, TCP
sesión hijacking)
• Configuración
• UDP (flaggel attack)
de seguridad
• ICMP (ICMP flood
• Router y attack, ping of
medidas de death, smurf attack,
seguridad ICMP tunneling, Jolt
DOS attack)
IPSec
VPN –Virtual Private Network-

Una VPN son las siglas de «Virtual Private Network», o

también conocida como red privada virtual, y es una
tecnología de red que nos permite extender las
comunicaciones de la LAN sobre la red de Internet, y
todo ello de manera totalmente segura gracias al uso
de la criptografía.

Una VPN nos permitirá que una computadora envíe y

reciba datos sobre redes compartidas o públicas, pero
estando lógicamente en la red privada con todas sus
funcionalidades, permisos, seguridad, políticas de
gestión etc.
Algunos usos muy típicos de las VPN son los siguientes:

• Posibilidad de conectar dos o más sedes de una

empresa entre sí, usando para ello la conectividad a
Internet.

• Permitir a los miembros del equipo de soporte

técnico la conexión desde sus casas a la empresa.

• Que un usuario pueda acceder a su equipo

doméstico desde un sitio remoto, como, por ejemplo,
en un hotel.

Todos estos usos, siempre será a través de una

infraestructura que todos conocemos bien: Internet.
Dentro de las VPN, tenemos principalmente dos
arquitecturas de VPN, las VPN de acceso remoto (VPN
Roadwarrior o Mobile Clients) y las VPN de Sitio-a-Sitio
(VPN Site-to-site).

Dependiendo de nuestras necesidades, deberemos

configurar una arquitectura u otra.
VPN de acceso remoto (Roadwarrior o Mobile Client):

Esta arquitectura de VPN está diseñadas para que uno

o varios usuarios se conecten a un servidor VPN, y
pueda acceder a todos los recursos compartido de su
hogar o empresa, además, permite que se realice una
redirección del tráfico, de esta forma, saldremos a
Internet a través del servidor VPN (y con la IP pública
del servidor VPN).

Este tipo de VPN son las más típicas que podemos

configurar en los servidores NAS, en los routers, y en
otros dispositivos cuyo objetivo es proporcionarnos una
navegación segura a través de Internet.
Estas VPN a nivel empresarial también servirían para
aislar zonas y servicios de red interna que requiera una
autenticación adicional, además, también podría ser
una buena idea siempre que usemos la conectividad
WiFi, tanto a nivel doméstico como empresarial, para
añadir una capa más de cifrado.
VPN Sitio a sitio (VPN Site-to-Site):

Esta arquitectura de VPN está diseñada para

interconectar diferentes sedes, si, por ejemplo,
tenemos una empresa con diferentes sedes, podremos
interconectarlas entre ellas vía VPN y acceder a todos
los recursos.

El establecimiento de la conexión no se realiza en el

cliente final, como ocurre con las VPN de acceso
remoto, sino que lo realizan los routers o los firewalls,
de esta forma, toda la red se verá como «una» sola,
aunque el tráfico viaje por varios túneles VPN.
 En la siguiente imagen podemos ver una arquitectura
de VPN con ambos modelos, tanto VPN sitio a sitio
(izquierda) como VPN de acceso remoto (derecha):

https://www.redeszone.net/tutoriales/vpn/ipsec-que-es-como-funciona/
https://community.fs.com/es/blog/tcpip-vs-osi-whats-the-difference-between-the-two-models.html
https://community.fs.com/es/blog/tcpip-vs-osi-whats-the-difference-between-the-two-models.html
IPSec es un framework o colección de protocolos que
actúan en la capa de Red del modelo OSI y que juntos
forman una de las tecnologías más seguras y
soportadas, utilizada habitualmente para establecer
túneles a través de redes IP, las llamadas Redes
Privadas Virtuales (VPN).

Al actuar en la capa 3 puede proteger los protocolos de

red, transporte y aplicación. Lo que lo hacen mucho
más seguro y flexible que, por ejemplo https, que
solamente protege a la capa de aplicación.
Qué ofrece IPSec

Los servicios que proporciona IPSec son los siguientes:

• Autenticación mutua

Cada extremo de la comunicación verifica su identidad.

Ya sea a través de contraseñas, smart cards,
certificados, datos biométricos, etc.

Además los paquetes enviados en la comunicación se

verifican para confirmar que han sido enviados desde
el emisor real. Para ello se usa cifrado asimétrico.
• Confidencialidad

Todos los paquetes se cifran para protegerlos de

intercepciones de terceros no deseadas. Generalmente
se usa cifrado simétrico (misma clave) para cifrar y
descifrar los paquetes (por ejemplo, AES).

• Integridad

En el destino se verifica que todos los paquetes fueron

recibidos íntegramente y que por lo tanto no se han
modificado por el camino y no están corrompidos.
• Protección de repetición

Los paquetes enviados cuentan con una identificación

única y que luego será descartada. Hecho que asegura
que alguien que captura los paquetes no pueda volver
a enviarlos al receptor modificados con su dirección IP
para conseguir información privilegiada.

• Control de acceso

Los extremos de la comunicación pueden filtrar

mediante ACLs que solo los usuarios (clientes)
autorizados se pueden conectar a la VPN.
• Protección contra monitorización.

Todos los anteriores puntos dan como resultado una

conexión muy segura que inhabilita a un man-in-the-
middle saber quienes se están comunicando y con qué
frecuencia.
https://ccnadesdecero.es/ipsec-seguridad-protocolo-internet/
¿Cómo funciona IPSec?

Las computadoras intercambian datos con el protocolo

IPSec a través de los siguientes pasos.

1. La computadora del remitente determina si la

transmisión de datos requiere protección IPSec
mediante la verificación de su política de seguridad.
Si lo hace, la computadora inicia la transmisión
segura IPSec con la computadora receptora.

2. Ambas computadoras negocian los requisitos para

establecer una conexión segura. Esto incluye
acordar mutuamente el cifrado, la autenticación y
otros parámetros de la asociación de seguridad (SA).
3. La computadora envía y recibe datos encriptados, y
valida que provienen de fuentes confiables. Realiza
comprobaciones para garantizar que el contenido
subyacente sea fiable.

4. Una vez que la transmisión se completa o la sesión

concluye, la computadora finaliza la conexión IPSec.
Protocolos de IPSec

IPSec usa 3 protocolos que funcionan tanto para IPv4

como para IPv6 y que juntos logran ofrecer el listado de
servicios anteriormente mencionado.

Los protocolos IPSec envían paquetes de datos de

forma segura. Un paquete de datos es una estructura
específica que formatea y prepara la información para
la transmisión en red.
Consta de un encabezado, una carga útil y un tráiler.

• Un encabezado es una sección precedente que

contiene información instructiva para dirigir el
paquete de datos al destino correcto.

• “Carga útil” es un término que describe la

información real que contiene un paquete de datos.

• El tráiler son datos adicionales que se agregan a la

cola de la carga útil para indicar el final del paquete
de datos.
• Authentication Header (AH)

Este protocolo proporciona integridad, autenticación y

no repudio. Una de las acciones que hace es realizar un
hash de las partes no mutantes de la cabecera IP (las
partes que cambian: offset de fragmentación, TTL,
checksum, etc no se hashean por razones obvias) y de
los datos.

Dicho hash se ubica en la cabecera IPSec (AH). Una vez

el paquete llega al router este se vuelve a hashear (esta
vez con la cabecera IPSec) antes de transmitirlo para
evitar que modificando el primer hash se consiga
cambiar el contenido de los datos. De esta forma
proporciona la integridad: Si ambos hashes no son
iguales en el destino querrá decir que el paquete ha
sido modificado y se procederá al reenvío de este.
El problema del doble hasheado recae en la
imposibilidad de hacer NAT. Si se modificase IP destino
o los puertos destino, los hashes se invalidarían (y
además afectaría gravemente el intercambio de claves
inicial mediante IKE, el tercer protocolo que
explicaremos). Por eso se usa NAT Transversal.

NAT Transversal hace que los paquetes pasen mejor a

través de Firewalls. Todos los fabricantes más
importantes (Cisco, Juniper, etc) soportan NAT-T.

Opcionalmente AH también puede proteger de los

ataques de repetición usando la técnica de ventana
deslizante: un dispositivo de control de flujo en el que
el receptor indica al emisor cuál es su estado de
disponibilidad para recibir datos.
La cabecera AH tiene la siguiente estructura:

• Next header: Identifica el protocolo de los datos

transferidos.

• Payload length: Tamaño del paquete AH.

• RESERVED: Reservado para uso futuro (hasta

entonces todo ceros).
• Security parameters index (SPI): Indica los
parámetros de seguridad que, en combinación con
la dirección IP, identifican la asociación de seguridad
implementada con este paquete.

• Sequence number: Un número siempre creciente,

utilizado para evitar ataques de repetición.

• HMAC: Contiene el valor de verificación de integridad

(ICV) necesario para autenticar el paquete; puede
contener relleno.
Se puede usar tanto en Transport como en Tunnel
mode; pero en ninguno de los dos casos cifra los
paquetes. Si se usa AH no se garantiza la
confidencialidad.

AH se considera el protocolo IP número 51.

• Encapsulating Security Protocol (ESP)

Proporciona confidencialidad y la opción de

autenticación e Integridad. ESP se suele usar en modo
túnel porque sinó ESP no protege la cabecera IP.
Entonces, los problemas con NAT no se presentan con
este protocolo.

En modo túnel, como veremos a continuación, sí

protege la cabecera IP interna pero no la nueva
cabecera IP que encapsula todo el datagrama.

La gran diferencia frente a AH es que sí proporciona

confidencialidad, es decir, encripta el paquete. Los
algoritmos usados son AES con clave de 128 bits o
3DES. No entraremos en detalles pero ambos se
consideran seguros, aunque AES es más rápido y no
requiere de tantos recursos.
La cabecera ESP tiene la siguiente estructura:
• Security parameters index (SPI): Identifica los
parámetros de seguridad en combinación con la
dirección IP.

• Sequence number: Un número siempre creciente,

utilizado para evitar ataques de repetición.

• Payload data: Los datos a transferir.

• Padding: usado por algunos algoritmos

criptográficos para rellenar por completo los bloques.

• Pad length: Tamaño del relleno en bytes.

• Next header: Identifica el protocolo de los datos

transferidos.

• Authentication data: Contiene los datos utilizados

para autenticar el paquete.
• IKE -Internet Key Exchange- (SA)

Para poder empezar la transmisión IPSec primero hay

que crear una Asociación de Seguridad (SA). Antes de
establecer la comunicación ambos extremos se
intercambian una clave privada y el algoritmo a usar
por un método seguro (e.g. IKE o IKEv2). Dicha
asociación se hace constar en la cabecera de los
paquetes con el SPI (Security Parameter Index).

En este intercambio de datos se acuerdan:

• El algoritmo de encriptación: AES, 3DES, etc

• Qué función de hash se usa: MD5 o SHA
• Si se usa Transport o Tunnel Mode y si se usa ESP o
AH
• Qué algoritmo de autentificación usar: pre-shared
key, cifrado asimétrico, clave pública emitida por un
CA, etc.
• La vida útil de la asociación
IKE proporciona un framework para esta negociación e
intercambio de claves que emplea Diffie-Helmann para
establecer el secreto compartido (la clave que
solamente conocerán ambos extremos de la
comunicación).

IKE se implementa a través de un daemon que corre

en modo usuario junto con una pila IPSec en el Kernel,
por lo que tiene fácil acceso a los certificados, claves e
información de configuración, que garantizan un buen
rendimiento. Usa paquetes UDP a través del puerto
500 y en total se envían de 4 a 6 paquetes antes de
establecer una SA.
La negociación IKE consta de 2 fases:

• Fase 1 IKE: Consiste en establecer un canal de

comunicaciones seguro a través de Diffie-Helmann
en el que se genera una sola SA. Se puede realizar
tanto en modo principal (protegiendo la identidad
de los extremos) como en modo agresivo (sin
protegerla).

• Fase 2 IKE: Una vez establecido el canal seguro IKE se

establece otra negociación, esta vez para un SA
IPSec.
Modos de funcionamiento

IPSec puede funcionar en dos modos diferentes:

Transport Mode y Tunnel Mode.

• Transport Mode

En modo transporte solamente los datos del paquete

son encriptados y/o autenticados(en función de si se
usa AH o ESP). La información de enrutamiento, es
decir la cabecera IP del paquete, permanece intacta sin
ser encapsulada por una cabecera IP adicional.

Por eso, la cabecera IPSec, cuyos campos cambiarán en

función de si se usa ESP o AH, se coloca después de la
cabecera IP.
Las capas de aplicación y de transporte están
hasheadas, por lo que se garantiza la integridad de
dichos datos gracias a la cabecera IPSec. Si se usa ESP,
además se le añade cifrado.

Dicha seguridad es extremo a extremo, por lo que se

emplea generalmente en las topologías host-to-host.

Si se usa AH se tiene que usar NAT transversal para que

el cambio de IPs no haga que el hash quede invalidado.
• Tunnel Mode

Este modo de uso incluye una cabecera IP adicional

que encapsula a la original junto con la cabecera IPSec,
situada en medio de las dos cabeceras IP. La cabecera
IPSec variará en función del protocolo usado (AH o
ESP).

En este modo todo el paquete ip (cabecera IP original

incluida) es cifrado y/o autenticado. Para que el
enrutamiento siga funcionando se tiene que añadir
una cabecera IP adicional, que tendrá una IP diferente
que la de la cabecera original.

Se usa generalmente para VPN Gateway-to-Gateway, o

conexiones host-to-gateway.
https://en.wikipedia.org/wiki/File:Ipsec-esp-tunnel-and-transport.svg
Ventajas y Desventajas de IPSec

➢ Ventajas

• Los puertos IPsec son indetectables, por lo que la

conexión será anónima mientras se use. Esta es la
razón principal por la que los usuarios escogen este
protocolo por encima de muchos otros. Al
intercambiar datos, utiliza claves públicas con el fin
aportar confidencialidad.

• Es posible verificar los datos que provienen del host

por medio de este protocolo.
• El protocolo de internet no opera en la capa de
aplicación, sino en la de red. Así podrá gestionarse
desde el sistema operativo mismo de forma total, en
vez de hacerlo individualmente en cada programa.
Como resultado, es un software muy práctico para
los usuarios.

• Debido a la razón anterior, al operar con IPsec desde

la red, no se impacta sobre la capa superior. Además
de que se puede monitorizar el tráfico que se
produce en la conexión de forma transparente e
inmediata.
➢ Desventajas

• Manejar un túnel IPsec puede ser complicado en

comparación con otros protocolos en la web. Esto
dificulta su uso y mantenimiento, a pesar de que es
un protocolo muy completo para los usuarios.

• El protocolo envuelve cada paquete IP con grandes

flujos de información. Esto significa una ralentización
en cuanto a la transmisión de paquetes de datos
más pequeños.
• Al brindarle acceso a un dispositivo, se puede
permitir por accidente que otros equipos tengan el
privilegio. Esto, debido a que el rango de IPsec es
muy amplio y genera un mayor espacio de
vulnerabilidad. Debido a ello, aumenta el riesgo de
que se cuele en la red algún dato a través del túnel.

• Como lleva a cabo gran número de procesos, el

consumo de CPU es muy alto. En consecuencia, a
veces, la red puede disminuir su rendimiento por la
sobrecarga de los paquetes de datos.
VPN IPSec

La VPN, o red privada virtual, es un software de red que

permite a los usuarios navegar por Internet de forma
anónima y segura.

Una VPN IPSec es un software de VPN que utiliza el

protocolo IPSec para crear túneles cifrados en Internet.

Proporciona un cifrado de extremo a extremo, lo que

significa que los datos se codifican en la computadora
y se descifran en el servidor receptor.
VPN SSL

SSL son las siglas de secure socket layer (capa de

conexión segura). Es un protocolo de seguridad que

protege el tráfico web. Una VPN SSL es un servicio de

seguridad de red basado en un navegador que usa el

protocolo SSL incorporado para cifrar y salvaguardar la

comunicación de red.
Diferencia entre la VPN IPSec y la VPN SSL

Ambos protocolos de seguridad funcionan en

diferentes capas del modelo de interconexión de
sistemas abiertos (OSI).

El modelo OSI define la estructura en capas de cómo

las computadoras intercambian datos en una red.

Los protocolos IPSec se aplican a las capas de red y

transporte en el centro del modelo OSI.

Por su parte, SSL cifra los datos en la capa superior de

la aplicación. Puede conectarse a una VPN SSL desde
un navegador web, pero debe instalar un software
independiente para usar las VPN IPSec.
VPN Zero-Trust

Antes de comenzar a pensar en optar por las VPNs

Zero-Trust, hay que tener presente que no existen
estándares o alianzas que delimiten lo que debe
hacerse.

Por supuesto, esto puede cambiar con los años,

facilitando su adopción en masa. Por el momento,
deberás pensar en tu propia estrategia, aquella que te
permita tener máximo control y visibilidad de quienes
se conectan a tu red, y cómo.

No existe una fase final de puesta en marcha de estas

VPNs. Es un camino de mejora continua que no tiene
final.
Durante los próximos años, las VPNs Zero-Trust serán
de uso común. ¿Qué las distingue de las tradicionales?

No sólo provee autenticación al usuario si no también

al dispositivo desde el cual se conectará.

De ahí es donde viene el concepto de «confianza cero»

(Zero-Trust), a todos por igual se les realizará el control
de autenticación y autorización.

Tanto a sus dispositivos como a sus credenciales, sin

importar el status que tú tengas.
No se considera como un producto en sí o una
tecnología, es una manera diferente de pensar en la
seguridad.

Existen numerosos inconvenientes en relación a las

VPNs tradicionales. Especialmente cuando cedemos el
acceso a personas que no están muy próximas a
nosotros. Si algún atacante se apropia de las
credenciales de acceso VPN de alguna persona, sin
mucha dificultad, puede conseguir acceder. Desde
donde sea y desde cualquier dispositivo, aunque fuese
un móvil.

Por otro lado, la dificultad a la hora de configurar una

VPN y administrarla, ha ido aumentando con el tiempo.
Es como si se hubiese reservado la tarea solamente
para aquellos usuarios que son bastante más
avanzados.
https://veepn.com/blog/zero-trust-vs-vpn/
El futuro del Zero-Trust

Poco a poco, a pesar de que la seguridad en todo tipo

de servicios se ve incrementada, y notablemente
mejorada, las amenazas también crecen.

Cada día surgen nuevos ataques pueden poner en

riesgo cualquier sistema, por lo cual las empresas y
grandes corporaciones optan cada vez más por
sistemas mucho más restrictivos pero que garantizan
estándares de seguridad mucho más elevados.
Poco a poco, se ve que la única forma de estar muy
protegidos, es mediante sistemas de confianza cero.
Sobre todo, con el aumento del teletrabajo y las
conexiones remotas.

Por lo cual, se utilizan estos métodos, los cuales no

confían en nada, y todo debe ser correctamente
verificado.

Esto evita la confianza inherente que se brinda a

muchas aplicaciones a las que los usuarios tienen
acceso.

Por lo cual, con estos túneles entre los usuarios y las

aplicaciones, se reduce en gran medida la superficie de
ataque global, y como consecuencia, se reduce el
riesgo de brechas de seguridad.
Algunos estudios indican que, en el año 2023, más de la
mitad de las corporaciones eliminarán sus conexiones
VPN de acceso remoto comunes, a favor de la
instalación de sistemas de cero confianza. Lo cual
conlleva los siguientes beneficios.

• Reducción de los riesgos: El sistema conecta

directamente al usuario correcto con la aplicación
específica. Este no llega a estar en ningún momento
en la red, la cual puede dar cierto poder de
descubrimiento.
• Experiencia del usuario: Estos sistemas proporcionan
accesos rápidos, y que generan pocos problemas.
Funcionan de forma independiente a las
aplicaciones, los dispositivos y por supuesto a la
ubicación del usuario que realiza la conexión. No
tienen la necesidad de generar un retorno del tráfico
al centro de datos, por lo cual son sistemas rápidos.
La productividad también se ve afectada, pues no es
necesario realizar desconexiones de la VPN.
• Agilidad y velocidad empresarial: Como estamos
hablando de servicios en la nube, son fácilmente
escalables. Al no tener necesidad de mantenimiento
de hardware, las preocupaciones de la escalabilidad
se reducen. Normalmente esto sí conlleva un gasto
económico, pero es mucho más sencillo a nivel
logístico y administrativo. Por la contra, si es
necesario disponer de equipo especializado para
poder realizar todas las tareas con garantías.
https://veepn.com/blog/zero-trust-vs-vpn/
Principios de Zero Trust

1. Todas las fuentes de datos y servicios informáticos

se consideran recursos

2. Todas las comunicaciones están protegidas

independientemente de la ubicación de la red
porque cada red, tanto empresarial como remota,
es innatamente hostil y no es fiable.

3. El acceso a los recursos individuales de la empresa

se concede por sesión.

4. El acceso a los recursos se impone mediante una

directiva dinámica que incluye el estado observable
de identidad, dispositivo, aplicación, red y puede
incluir atributos de comportamiento.
5. Dado que ningún dispositivo es inherentemente
fiable, la empresa supervisa los activos para
garantizar que permanezcan en el estado más
seguro posible

6. Toda la autenticación y autorización de recursos son

dinámicos y se aplican estrictamente antes de
permitir el acceso.

7. La empresa recopila tanta información como sea

posible sobre el estado actual de la infraestructura
de red y las comunicaciones. Utiliza los datos para
mejorar su postura de seguridad
https://www.microsoft.com/insidetrack/blog/implementing-a-zero-trust-security-model-at-microsoft/
https://www.forcepoint.com/es/blog/insights/explicit-trust-with-zero-trust-network-access
Empiezo a montar una VPN de confianza cero

Lo primero que debemos conocer antes de proceder

con la implementación, es conocer el enfoque que le
queremos dar.

Existen dos diferentes. El basado en los puntos de

acceso o en los servicios. Estos tienen cualidades
diferentes, por lo cual se debe usar el que mejor se
adapte a nuestras necesidades.
• Puntos de acceso: El usuario es quién inicia los
puntos de acceso de la red desde un dispositivo. Para
ello se utilizan agentes instalados en los equipos, los
cuales se comunican con el controlador ZTNA.

• Por servicio: La conexión es iniciada por un

intermediario que se encuentra entre la aplicación y
el usuario. Esto requiere el uso de un cliente que
actúe como tal entre el ZTNA y los entornos de las
aplicaciones.
La recomendación esencial es no abarcar demasiado si
es la primera vez.

Si la VPN que deseas montar eventualmente

involucrará a muchas personas, puedes empezar con
un pequeño grupo. Incluso, contigo mismo, probando
desde otros dispositivos con credenciales
experimentales.

Ahora bien, si ya apuntas a un entorno corporativo, pon

más foco en proveedores o terceras personas que
colaboran contigo en alguna tarea.
Un punto que ha caracterizado a las VPN desde
siempre es que puedes configurar las instancias o
módulos a los cuales deberían acceder los usuarios. Sin
embargo, las VPN Zero-Trust pueden proveer de lo
necesario para garantizar que efectivamente, las
personas y dispositivos autorizados, tengan acceso a
nuestra red.

Tuvo que pasar cerca de 10 años como para que esta

alternativa sea plausible para muchos.

Un estudio publicado por la compañía suiza Zug,

especializada en proveer oficinas, indica que el 70% de
las personas que trabajan de manera remota, lo hacen
desde localidades particularmente inseguras.
Considera a los aeropuertos, estaciones de trenes,
cafeterías o cualquier lugar que sea concurrido y
atractivo para los atacantes.
Siendo así, debemos asegurarnos de conectarnos a
nuestro entorno de manera segura, confiable y con el
menor riesgo posible.

Si llegas a contar con la oportunidad de conectarte vía

una VPN Zero-Trust, o piensas en montar una, darás un
paso importante y colaborarás a favor de una adopción
en masa que se hace cada vez más necesario.
https://www.facebook.com/sophos.iraq/photos/a.2237276289893582/2866167783671093/?type=3
Servicios de infraestructura
críticos: DNS
https://www.welivesecurity.com/la-es/2012/06/18/dns-spoofing/
El Sistema de Nombres de Dominio o DNS (por su sigla
en inglés) permite asociar cada dirección IP -
identificador numérico que posee cada dispositivo
conectado a la red - con un nombre que sea más fácil
de recordar: un nombre de dominio. Por ejemplo, al
colocar en el navegador ‘gob.mx’, el DNS resuelve esta
consulta haciendo una traducción de nombre
(dominio) a número (IP) para traer el contenido que
está alojado en esa dirección asociada a ese dominio.

Por este motivo cada nombre de dominio es único y

está compuesto por una serie de elementos que lo
categorizan y ubican en la red.
Servidores DNS implicados en la carga de un sitio
web

• Recursor de DNS: es como un bibliotecario al que se

le pide que busque un libro determinado en la
biblioteca. El recursor DNS es un servidor diseñado
para recibir consultas desde equipos cliente
mediante aplicaciones como navegadores web.
Normalmente, el recursor será el responsable de
hacer solicitudes adicionales para satisfacer la
consulta de DNS del cliente.
• Servidor de nombres raíz: es el primer paso para

traducir (solucionar) los nombres de servidor legibles

en direcciones IP. Se puede comparar a un índice en

una biblioteca que apunta a diferentes estanterías

de libros. Generalmente sirve como referencia de

otras ubicaciones más específicas.

• Servidor de nombres TLD: el servidor de dominio de

nivel superior (TLD) se puede comparar con una

estantería de libros en una biblioteca. Es el paso

siguiente en la búsqueda de una dirección IP

específica y aloja la última parte de un nombre de

servidor (en ejemplo.com, el servidor TLD es "com").

• Servidor de nombres autoritativo: se puede
interpretar como un diccionario en una estantería de
libros, en el que se puede consultar la definición de
un nombre específico. El servidor de nombres
autoritativo es la última parada en la consulta del
servidor de nombres. Si cuenta con acceso al registro
solicitado, devolverá la dirección IP del nombre del
servidor solicitado al recursor de DNS (el
bibliotecario) que hizo la solicitud inicial.
https://www.hostinger.com/tutorials/wp-content/uploads/sites/2/2023/01/how-does-dns-work.png
Los Nombres de Dominio de Nivel Superior

Dentro de los Nombres de Dominio de Nivel Superior

(Top Level Domains o TLDs) encontramos distintas
categorías, por un lado los “ccTLDs” o Dominios de
Nivel Superior de Código de País (‘.mx’, ‘.gt’, etc.) y por
el otro los “gTLD” o Dominios de Nivel Superior
Genéricos, de tres o más letras (‘.com’, ‘.musica’, etc.)

Existen cientos de organizaciones encargadas de

administrar los DNS, y una de sus funciones principales
es la de publicar la información de la porción de los
nombres de dominio de la cual son responsables a
través de servidores autoritativos.
En ese sentido, los servidores autoritativos de la raíz
publican la información de delegación que permite
ubicar los servidores autoritativos de cada uno de los
TLD, como por ejemplo NIC México que publica la zona
‘.mx’.

Como la información del DNS está distribuida en

millones de servidores, averiguar la dirección asociada
a un nombre de dominio determinado requiere de un
proceso que consiste en averiguar cuáles son los
servidores autoritativos que contienen la información
de ese nombre y consultar a alguno de ellos para
obtenerla.
El mecanismo para realizar dicha averiguación y
consulta se denomina resolución de nombres de
dominio y normalmente las organizaciones conectadas
a Internet y los proveedores de servicios de Internet
proveen servidores llamados resolutores iterativos de
DNS que realizan esta tarea específica.

Si bien el servicio de publicación autoritativa y el de

resolución iterativa utilizan el mismo protocolo (DNS),
cumplen distintas funciones.
Resolución de nombres de dominio

Cuando un dispositivo (teléfono, computadora, tablet)

necesita conectarse con otro, por ejemplo un servidor
web, se inicia el proceso de resolución de ese nombre.
El dispositivo cuenta con un resolutor básico que
simplemente tiene configurada la dirección IP de uno
o más resolutores iterativos.

Un resolutor iterativo tiene configuradas las

direcciones IP de los servidores autoritativos de la raíz,
de modo de poder comenzar desde la raíz a resolver los
nombres de dominio de la siguiente forma:
https://nic.ar/es/novedades/noticias/como-funciona-el-dns
1. El usuario ingresa el nombre del servidor al que se
quiere conectar. Por ejemplo, en el navegador
ingresa www.unam.edu.ar. Éste le solicita al
resolutor básico - que es interno al dispositivo - la
dirección IP asociada al nombre www.unam.edu.ar.

2. El resolutor básico se conecta a un resolutor

iterativo (del cual ya sabe la dirección IP) y le solicita
que resuelva el nombre www.unam.edu.ar a una
dirección IP.
3. Suponiendo que el resolutor iterativo no tiene
ninguna información más allá de la configuración
inicial, contacta a uno de los servidores raíz (que
tiene configurados) y le solicita la dirección IP del
nombre www.unam.edu.ar en forma autoritativa.

4. Como el servidor raíz no tiene información

autoritativa de ese nombre pero sí conoce los
servidores de los TLD .ar (porque esa zona está
delegada desde la raíz), en su respuesta indica los
nombres de los servidores autoritativos de esta zona
y las direcciones IP de dichos servidores.
5. Conociendo esta información, el resolutor iterativo
contacta a uno de los servidores autoritativos de la
zona .ar, operados por NIC Argentina, y le solicita la
dirección IP del nombre www.unam.edu.ar en
forma autoritativa.

6. El servidor de la zona .ar tampoco tiene información

autoritativa de ese nombre, pero sí sabe de los
servidores de la zona .edu.ar, por ello, al igual que en
el caso anterior responde cuáles son esos servidores
de nombre.
7. Ahora el resolutor iterativo contacta a uno de los
servidores autoritativos de la zona .edu.ar, operados
por la Asociación Redes de Interconexión
Universitaria – ARIU, y le solicita la dirección IP del
nombre www.unam.edu.ar en forma autoritativa.

8. El servidor de la zona .edu.ar tampoco tiene

información autoritativa de ese nombre, pero sí
sabe de los servidores de la zona .unam.edu.ar,
entonces responde indicando cuáles son esos
servidores de nombre.
9. Una vez más, el resolutor iterativo contacta a uno de
los servidores autoritativos de la zona .unam.edu.ar
(operados por la Universidad Nacional de Misiones) y
le solicita la dirección IP del nombre
www.unam.edu.ar en forma autoritativa.

10. Como este servidor conoce la información y es

responsable de ella, contesta con la dirección IP
asociada a ese nombre indicando que la respuesta
es autoritativa.
11. Ahora el resolutor iterativo cuenta con la respuesta
a la consulta recibida en el paso 2, entonces le
responde al resolutor básico del dispositivo del
usuario la dirección IP asociada al nombre
www.unam.edu.ar.
Dado lo largo del proceso y la cantidad de consultas
que debe hacer el resolutor iterativo, normalmente,
dicho servidor incluye una memoria cache local que
utiliza para guardar todas las respuestas obtenidas de
servidores autoritativos, tanto las intermedias como las
finales.

De este modo, cada dato autoritativo que obtiene lo

almacena en dicha memoria con un detalle de la hora
en que se almacenó y el tiempo por el cual será válida
esa respuesta.

En base a esto, el proceso de resolución en una primera

instancia busca la información en la memoria cache, y
de encontrarlo, verifica si la respuesta almacenada aun
es válida, caso contrario, inicia el proceso de consulta.
De esta manera se evidencia que, aunque ingresar a
un sitio web parezca un acto instantáneo e
incorporado con tanta naturalidad en nuestra
cotidianeidad, detrás hay todo un proceso complejo
llevado a cabo por computadoras y servidores que
intervienen e interactúan constantemente.

Y no solo eso, sino que también, detrás de ellos existen

organizaciones y organismos encargados de
administrarlos y asegurar su buen funcionamiento.

El hecho de que al buscar un sitio lleguemos a su

contenido, es un índice de que esa responsabilidad es
llevada adelante eficientemente.
3 tipos de consultas de DNS:

1. Consulta recursiva: en una consulta recursiva, un

cliente DNS requiere que un servidor DNS

(generalmente un solucionador de DNS recursivo)

responda al cliente con el registro del recurso

solicitado o un mensaje de error si el solucionador

no puede encontrar el registro.

2. Consulta iterativa: en esta situación, el cliente DNS
permitirá que un servidor DNS devuelva la mejor
respuesta posible. Si el servidor DNS consultado no
cuenta con un nombre que corresponda con el de la
consulta, devolverá una referencia a un servidor
DNS autoritativo para un nivel inferior del espacio
de nombres de dominio. El cliente DNS hará a
continuación una consulta a la dirección de
referencia. Este proceso continúa con servidores
DNS adicionales que siguen en la cadena de
consulta hasta que se produzca un error o se supere
el tiempo de espera.
3. Consulta no recursiva: generalmente se produce
cuando un cliente solucionador de DNS consulta a
un servidor DNS por un registro al que tiene acceso
porque o bien es autoritativo para el registro o el
registro existe dentro de su caché. Generalmente, el
servidor DNS almacenará en caché registros DNS
para prevenir el consumo de ancho de banda
adicional y la carga en los servidores que preceden
en la cadena.
¿Qué es el almacenamiento en caché de DNS?
¿Dónde se realiza el almacenamiento en caché de
DNS?

El objetivo del almacenamiento en caché es guardar

datos en una ubicación temporalmente para lograr
mejoras en el rendimiento y fiabilidad en las solicitudes
de datos.

El almacenamiento en caché de DNS guarda datos

más cerca del cliente solicitante para que la consulta
DNS se pueda resolver antes y las consultas adicionales
que siguen en la cadena de búsqueda DNS se puedan
evitar, mejorando de este modo los tiempos de carga y
reduciendo el consumo de ancho de banda/CPU.
Los datos de DNS se pueden almacenar en caché en

diversas ubicaciones. Cada una de ellas guardará los

registros DNS durante una cantidad de tiempo

establecida, determinada por el tiempo de vida (TTL).

➢ Almacenamiento en caché del DNS del navegador

Los navegadores web modernos están diseñados de

forma predeterminada para almacenar en la memoria
caché registros DNS por una cantidad establecida de
tiempo.

El objetivo aquí es obvio, cuanto más cerca esté el

almacenamiento en caché del DNS al navegador web,
menos pasos de procesamiento se necesitarán para
verificar la caché y hacer las solicitudes correctas para
una dirección IP.

Cuando se hace una solicitud para un registro DNS, la

memoria caché del navegador es la primera ubicación
que se comprueba para el registro solicitado.
➢ Almacenamiento en caché de DNS a nivel de
sistema operativo

El solucionador de DNS de nivel del sistema operativo

es la segunda y última parada local antes de que una
consulta de DNS deje tu equipo.

El proceso en el interior de tu sistema operativo que

está diseñado para gestionar esta consulta se conoce
como "solucionador stub" o cliente DNS. Cuando un
solucionador stub recibe una solicitud de una
aplicación, revisa en primer lugar su propio caché para
comprobar si tiene el registro.

Si no lo tiene, entonces envía una consulta DNS (con

una marca recursiva establecida) fuera de la red local a
un solucionador recursivo de DNS dentro del
proveedor de servicios de Internet (ISP).
Cuando el solucionador recursivo dentro del ISP recibe
una consulta DNS, como en todos los pasos anteriores,
también verificará si la traducción solicitada de la
dirección IP al servidor ya está almacenada dentro de
la capa de persistencia local.

El solucionador recursivo también tiene una

funcionalidad adicional según los tipos de registros
que tenga en su caché:
1. Si el solucionador no tiene los registros A, pero tiene
los registros NS de los servidores de nombres
autoritativos, consultará a estos servidores de
nombres directamente, omitiendo varios pasos en
la consulta DNS. Este atajo previene las búsquedas
de los servidores de nombres raíz y .com (en nuestra
búsqueda para ejemplo.com) y contribuye a que la
resolución de la consulta DNS sea más rápida.

2. Si el solucionador no tiene los registros NS, enviará

la consulta a los servidores TLD (.com en nuestro
caso), saltándose el servidor raíz.
3. En el caso improbable de que el solucionador no

tenga registros que señalen los servidores TLD,

consultará entonces a los servidores raíz. Esto ocurre

habitualmente cuando se ha purgado una caché de

DNS.
Propagación DNS

Cada vez que se modifique o añada un nuevo registro

DNS, habrá un periodo en el que el registro DNS se
actualizará en todos los servidores del mundo. Esto se
denomina período de propagación DNS.

Además de añadir o modificar un registro DNS,

cambiar los nameservers de un dominio y añadir un
nuevo subdominio también desencadenará la
propagación DNS.

Un registro DNS puede tardar hasta 24 horas en

propagarse completamente. Durante este tiempo,
puede que el sitio no esté disponible. Para comprobar
el progreso de la propagación de los DNS en tiempo
real, se puede introducir el dominio en un
comprobador de DNS como whatsmydns.
Ataques DNS
¿Qué ocurre cuando fallan los servidores DNS?

Si un servidor DNS no responde o incluso falla, el

proceso de resolución de nombres no puede
completarse correctamente. Esto provoca
interrupciones en el servicio.

Dado que siempre puede producirse un fallo en el

servidor DNS, merece la pena utilizar una
infraestructura DNS lo más segura posible.

Se pueden ejecutar dos servidores de nombres para la

misma zona DNS. Uno de estos servidores queda
etiquetado como servidor primario y el otro como
secundario. Los clientes deben realizar sus consultas a
ambos servidores para que, en caso de que falle un
servidor, el otro servidor DNS tome el relevo.
¿Por qué es importante la seguridad de DNS?

Como pasa con muchos protocolos de Internet, el

sistema DNS no se fue para tener en cuenta la
seguridad y tiene varias limitaciones de diseño.

Estas limitaciones, combinadas con los avances

tecnológicos, hacen que los servidores DNS sean
vulnerables a un amplio espectro de ataques, como la
suplantación de identidad, la amplificación, DoS
(denegación de servicio) o la interceptación de
información personal privada.

Y ya que el DNS es una parte integral de la mayoría de

las solicitudes de Internet, puede ser un objetivo
principal de los ataques.
Además, los ataques de DNS se suelen implementar
junto con otros ciberataques para distraer a los equipos
de seguridad del verdadero objetivo.

Una organización debe ser capaz de mitigar con

rapidez los ataques de DNS para no que no esté
demasiado ocupada para gestionar los ataques
simultáneos a través de otros vectores.

A continuación se mencionarán algunos tipos de

ataques a DNS.
➢ Cache poisoning

Imagina que quieres acceder a mail.google.com

(Gmail), prácticamente sin darnos cuenta, un DNS
envenenado (poisoned) nos redirecciona a un sitio
bastante parecido a Gmail en donde nos pide los datos
de usuario y contraseña.

Como vemos, DNS Caché Poisoning es uno de los

puentes más eficaces para otros ataques muy
conocidos como el phishing.

Este ataque nos demuestra qué es muy sencillo poder

vulnerar los registros DNS de un servidor en particular
para redirigir a los usuarios a sitios web que en realidad
ellos no desean acceder.
https://www.redeszone.net/tutoriales/seguridad/tipos-ataques-dns-como-prevenirlos/
Cómo prevenir y mitigar este ataque

• Una de las medidas esenciales consiste en la

configuración de los servidores DNS como para que
confíen lo menos posible en otros servidores DNS al
momento de relacionarse entre sí. De esta manera,
los cibercriminales tendrán menos posibilidades de
alterar las configuraciones y los registros DNS de los
servidores que tendrían como objetivo.

• Otras acciones de configuración son: la restricción de

las queries recursivas, almacenar datos que estén
únicamente asociados con el dominio solicitado y
restringir respuestas de queries a información
únicamente proveniente del dominio solicitado.
• El uso de la herramienta DNSSEC que tiene como
propósito proveer autenticación de datos DNS de
carácter confiable. Una de las ventajas de DNSSEC es
que es posible limitar el número de peticiones DNS.
Así también, es posible prevenir otros ataques
importantes como DDoS.
➢ Ataques DNS basados en botnets

Ten presente que con una pequeña botnet, hay

múltiples posibilidades de ataques. Ni hablar si cuentas
con más de una y a su vez, cada una de ellas cuenta
con miles de computadoras zombies. Básicamente, el
ataque basado en estas redes de computadoras
conectados e infectados consiste en ejecutar DDoS.

Una sola botnet tendría la capacidad suficiente como

para dejar inservible a un servidor DNS regular.
Simplemente, cada zombie debe estar «programado»
para enviar múltiples solicitudes de acceso a un
recurso web reconocido por ese servidor DNS.
Entonces, dicho servidor se verá saturado por tantas
solicitudes, no puede contestarlas y por ende, deja de
operar.
https://www.redeszone.net/tutoriales/seguridad/tipos-ataques-dns-como-prevenirlos/
Cómo prevenir y mitigar este ataque

• Verificar si tus dispositivos en red cuentan con

vulnerabilidades.

• ¿Cuentas con dispositivos IoT en tu red? Revisa los

ajustes de seguridad lo antes posible.

• ¿Existen amenazas de ataques DNS? Es

fundamental contar con soluciones de seguridad
IDS/IPS para identificarlos y actuar en consecuencia.
➢ Ataques DNS Flood

El objetivo principal es sobrecargar al servidor DNS de

manera que no pueda continuar gestionando las
solicitudes DNS porque todas las zonas DNS en
cuestión tienen influencia en el propósito de los
registros de recursos.

Como se puede apreciar en la figura siguiente, un

atacante origina una botnet con muchísimas
computadoras que actúan como zombies, infectados
claro está, con el claro propósito de atacar al servidor
DNS con miles de solicitudes. Este es, probablemente,
el caso más recurrente de un ataque DoS.
https://www.redeszone.net/tutoriales/seguridad/tipos-ataques-dns-como-prevenirlos/
Cómo prevenir y mitigar este ataque

Este tipo de ataques normalmente se controlan de

manera sencilla porque generalmente el origen viene
de una sola dirección IP. Aunque la situación se
complica en gran medida si es que se convierte en un
DoS distribuido, es decir, un DDoS.
➢ Caché Poisoning

Este ataque es una de las vías más efectivas para que

usuarios sean víctimas de ataques phishing. Pues los
usuarios, teniendo la certeza de que están ingresando
a un sitio web legítimo, en realidad están accediendo a
uno que tiene la tarea de recolectar todos tus datos.
Sobre todo las credenciales de acceso y datos
bancarios.

Supongamos que quieres ingresar a la web de tu

banco y, sin prestar demasiada atención, ves que has
accedido efectivamente a la página oficial.
Aparentemente, todo se ve igual y no hay nada de qué
preocuparse. Sin embargo, ingresas tus datos de
acceso y en un determinado momento, te percatas de
que algo anda mal.
Pero, ¿qué es la caché en DNS? Es un proceso en el
cual se involucra un servidor DNS resolver. Su función
es almacenar las respuestas de las solicitudes DNS por
un tiempo determinado. Esto sirve para responder a
todas las solicitudes DNS mucho más rápidamente, sin
pasar por todo el proceso de la resolución de los
nombres de dominio.
https://www.redeszone.net/tutoriales/seguridad/tipos-ataques-dns-como-prevenirlos/
Desafortunadamente, un cibercriminal puede ganar
control del DNS resolver y alterar las respuestas a todas
las solicitudes DNS que tiene almacenadas. Por
ejemplo, si originalmente el sitio www.ejemplo.com
está asociada a la IP 192.0.0.16, el cibercriminal puede
alterar esa respuesta asociando el dominio a una IP
maliciosa: 192.0.0.17. Veamos más abajo un esquema
que ilustra lo que hemos mencionado:
https://www.redeszone.net/tutoriales/seguridad/tipos-ataques-dns-como-prevenirlos/
Cómo prevenir y mitigar este ataque

• Restringir queries (solicitudes) recursivas.

• Almacenar registros DNS únicamente asociados a los

nombres de dominio.

• Limitar las respuestas de las solicitudes DNS a la

información verdaderamente asociada al dominio.
➢ DrDoS (Ataque de Denegación de Servicio
Distribuido por Reflexión)

Esta es otra evidencia de que los ataques DDoS

pueden llegar a grandes escalas. Los servidores que
actúan como reflectores en esta variante de DDoS
podrían pertenecer a redes diferentes. La ventaja para
el atacante es que se hace muy difícil realizar el rastreo
posterior del esquema de ataque.

En consecuencia, múltiples redes pueden participar de

un ataque DrDoS. Si cuento con tres servidores
reflectores que pertenecen a tres redes distintas, el
cibercriminal podría tomar control de esas tres redes
para que todos los dispositivos conectados participen
del ataque.
https://www.redeszone.net/tutoriales/seguridad/tipos-ataques-dns-como-prevenirlos/
Pasemos esto al contexto DNS. Si existen múltiples
dispositivos conectados desde varias redes y a su vez,
todas estas redes cuentan con servidores reflectores,
éstos últimos no se verán afectados por la gran
cantidad de solicitudes DNS que pasan por los mismos.
Justamente, esa característica de reflectores hace que
los mismos directamente redirijan esa gran cantidad
de solicitudes al servidor DNS víctima.

El servidor afectado recibirá tantas solicitudes

ilegítimas, en conjunto con las legítimas. Como su
capacidad ha llegado al límite, comenzará a descartar
paquetes incluyendo aquellos que corresponden a
solicitudes legítimas. Por ende, deja de responder.
Cómo prevenir y mitigar este ataque

A pesar de que es muy difícil mitigar un DRDoS, existen

medidas de prevención que, a largo plazo, te
protegerán ante este tipo de situaciones.
Especialmente, a nivel organizacional:

• Asegúrate de que tus servidores (incluyendo los

DNS) estén localizados en distintos datacenters, así
también, que formen parte de distintas
redes/subredes de la organización.
• Los data centers también deben contar con varias
rutas alternativas de acceso, además de la principal.
• Lo más importante: que tanto los data centers y las
redes/subredes que están relacionadas no cuenten
con agujeros de seguridad de ningún tipo de nivel
de impacto.
➢ Ataque de Dominio Fantasma

Se atacan los DNS resolvers y se abusa del uso de los

recursos para tratar de resolver justamente a esos
dominios fantasma.

En realidad, por más que se intenta una y millones de

veces, nunca se resolverán. Lo que los cibercriminales
buscar lograr es que estos resolvers esperen una
respuesta durante muchísimo tiempo, lo que tiene
como consecuencia a los fallos de rendimiento de los
servicios DNS o bien, un rendimiento bastante
deteriorado.
Cómo prevenir y mitigar este ataque

• Aumentar el número de clientes recursivos

• Restringir las solicitudes recursivas por cada servidor,

además de restringir las peticiones (inquiries) por
zona.
➢ Ataque de Subdominio Aleatorio

A pesar de que no es uno de los ataques más

populares, es bastante difícil de identificar. Por lo que
recomendamos prestar atención.

Es bastante similar a los ataques DoS por su naturaleza

y esquema de funcionamiento.

Este ataque se lleva a cabo mediante el envío de

muchísimas peticiones DNS a un dominio activo.

Sin embargo, estas peticiones maliciosas no tienen

como origen el dominio principal, sino más bien
aquellos subdominios que no existen actualmente.
Es un ataque a subdominios, pero finalmente logra
llevar acabo un ataque embebido de DoS que hace
que el servidor DNS quede sin funcionar y con sus DNS
lookups abajo.

Ya que recibe demasiadas solicitudes y se satura al

momento de intentar resolver el dominio principal.
Medidas de protección ante ataques DNS

• Implementar políticas de seguridad: Las políticas de

privacidad son algo obligatorio para proteger los
sistemas de cualquier organización. Esto afecta a las
contraseñas, con formatos de creación y cambios de
forma periódica. También tendremos que establecer
una gestión de permisos y controles de acceso. Así
como la capacitación de establecer regulaciones a
los usuarios.

• Actualizaciones de software: Mantener todos los

sistemas actualizados es una tarea de seguridad
muy importante. Esto nos proporciona parches de
seguridad y correcciones que pueden afectar a
muchos sectores diferentes dentro del sistema.
• Monitorización: La monitorización continua de todo
el sistema, nos puede dar unos primeros detalles de
posibles problemas que pueden aparecer. Esto hará
que la respuesta ante estos sea más efectiva, o que
directamente no lleguen a ocurrir en ningún
momento.

• Implementación: Se pueden implementar

herramientas como DNSSEC, la cual es una
extensión de seguridad para el DNS. Esta agrega
nuevas capas de seguridad en cuanto a autenticidad
y protección de datos en el sistema. Nos ayudará a
prevenir ataques de suplantación de identidad, entre
otros tipos de ataques.
• Firewall: Contar con un buen firewall es algo básico
para cualquier sistema. Estos se pueden configurar
para muchas acciones diferentes. Entre ellas,
bloquear el tráfico malicioso, y permitir únicamente
el que es totalmente legítimo. Esto puede ayudarnos
a evitar que los atacantes puedan llegar a nuestro
sistema.
¿Qué es DNSSEC?

Las extensiones de seguridad de DNS (DNSSEC) son un

protocolo de seguridad creado para mitigar este
problema. DNSSEC protege contra los ataques
firmando datos digitalmente para asegurar su validez.
Para garantizar una búsqueda segura, la firma debe
hacerse en cada nivel del proceso de búsqueda de
DNS.

Este proceso de firma es similar a cuando alguien firma

un documento legal con un bolígrafo; esa persona
firma con una firma única que nadie más puede crear,
y un tribunal de expertos puede examinar esa firma y
verificar si ese documento lo firmó esa persona. Estas
firmas digitales garantizan que no se hayan
manipulado estos datos.
DNSSEC implementa una política de firma digital
jerárquica en todas las capas de DNS. Por ejemplo, en
el caso de una búsqueda de "google.com", un servidor
DNS raíz firmaría una clave para el servidor de nombres
.COM y el servidor de nombres .COM entonces firmaría
una clave para el servidor de nombres autoritativo de
google.com.

Aunque siempre es preferible la seguridad mejorada,

DNSSEC está diseñado para ser compatible con
versiones anteriores, para garantizar que las búsquedas
tradicionales de DNS se sigan resolviendo
correctamente, aunque sin la seguridad añadida. Se
supone que DNSSEC se combina con otras medidas de
seguridad, como SSL/TLS, como parte de una
estrategia integral de seguridad.
DNSSEC crea una línea de confianza padre-hijo que
recorre todo el trayecto hasta la zona raíz. Esta cadena
de confianza no se puede comprometer en ninguna
capa de DNS, en caso contrario la solicitud se expondrá
a un ataque en la ruta de acceso.

Para cerrar la cadena de confianza, la propia zona de

raíz tiene que ser validada (en caso de que esté libre de
manipulación o fraude) y esto generalmente se hace
usando la intervención humana. En la denominada
ceremonia de firma de zona raíz, personas
seleccionadas de todo el mundo se encuentran para
firmar la raíz DNSKEY RRset de forma pública y
auditada.
¿Qué otras formas de protección hay contra los
ataques basados en DNS?

Además del DNSSEC, el operador de una zona DNS

puede tomar medidas adicionales para proteger sus
servidores.

La acumulación de infraestructura es una estrategia

sencilla para superar los ataques DDoS.

En pocas palabras, si tu servidor de nombres puede

gestionar varias veces más tráfico de lo que esperas,
será más difícil que un ataque basado en volumen lo
sobrecargue.
Las organizaciones pueden conseguir esto al aumentar
la capacidad total de tráfico de su servidor DNS, al
establecer múltiples servidores DNS redundantes y
mediante el uso de load balancing para dirigir las
solicitudes de DNS a servidores en buen estado cuando
uno empiece a funcionar mal.

Otra estrategia sigue siendo un firewall DNS.

¿Qué es DNS Firewall?

Un DNS firewall es una herramienta que ofrece

diversos servicios de seguridad y funcionamiento para
los servidores DNS.

El DNS firewall se ubica entre un solucionador

recursivo del usuario y el servidor de nombres
autoritativo del sitio web o el servicio al que tratan de
acceder.

El firewall puede ofrecer servicios de limitación de

velocidad para cerrar el acceso a los atacantes que
intentan sobrecargar el servidor.

Si el servidor experimenta un tiempo de inactividad por

un ataque o cualquier otro motivo, el DNS firewall
podrá mantener en funcionamiento el sitio o servicio
del operador sirviendo respuestas DNS desde la caché.
Además de sus funciones de seguridad, el DNS firewall
también puede ofrecer soluciones de funcionamiento
tales como búsquedas de DNS más rápidas y costes de
ancho de banda reducidos para el operador de DNS.
DNS como una herramienta de seguridad

Los solucionadores de DNS también se pueden

configurar para ofrecer soluciones de seguridad para
usuarios finales (personas que navegan en Internet).

Algunos solucionadores de DNS ofrecen funciones

tales como filtración de contenidos, que puede
bloquear sitios conocidos de distribución de malware y
spam, y protección ante redes de robots (botnet), que
bloquea la comunicación con redes de robots (botnet)
conocidas.

Muchos de estos solucionadores de DNS protegidos

son de uso gratuito y el usuario puede cambiar a uno
de estos servicios de DNS recursivos modificando una
simple configuración en su enrutador local.
¿Las consultas de DNS son privadas?

Otro problema importante de seguridad de DNS es la

privacidad del usuario.

Las consultas de DNS no están encriptadas. Aunque los

usuarios utilicen un solucionador de DNS como 1.1.1.1
que no rastree sus actividades, las consultas de DNS se
mueven por Internet en texto plano.

Esto significa que cualquiera que intercepte la consulta

puede ver los sitios web que visita el usuario.
Esta falta de privacidad supone un impacto en la
seguridad y, en algunos casos, en los derechos
humanos; si las consultas de DNS no son privadas, es
más fácil para los gobiernos censurar Internet y para
los atacantes acechar el comportamiento en línea de
los usuarios.

DNS sobre TLS y DNS sobre HTTPS son dos estándares

para encriptar las consultas de DNS para evitar que
personas externas puedan leerlas.
Tarea:

➢ De la segunda parte de la clase sobre DNS, elaborar

un mapa conceptual en el que se definan los
diversos conceptos expresados en las diapositivas.

➢ Entrega: 11 Sep. 2023, de forma impresa.

➢ Debe incluir nombre del alumno, matrícula, No. de

lista, curso, materia, fecha.

➢ Se deben consultar fuentes adicionales, debiendo

incluir las referencias consultadas