O Sistema de Nomes de Domínio (DNS) é um componente fundamental da Internet. O DNS converte nomes de domínio legíveis por humanos, como www.example.com, em endereços de Protocolo de Internet (IP) legíveis por máquina, como 168.192.123.145. O DNS permite que usuários acessem sites usando nomes familiares em vez de longas sequências de números.
Apesar de sua importância, a infraestrutura de DNS não foi inicialmente projetada para resistir aos muitos tipos de ciberameaças que hackers usam para obter acesso a sistemas de TI ou interromper operações de TI. A segurança de DNS é a tarefa de implementar medidas e protocolos de segurança para mitigar as vulnerabilidades no Sistema de Nomes de Domínio.
Os fundamentos do Sistema de Nomes de Domínio
O protocolo DNS é frequentemente chamado de “lista telefônica da Internet” porque corresponde o nome de um site (o nome de domínio) a uma sequência de números (o endereço IP), permitindo que computadores encontrem rapidamente o endereço correto do site.
O nome e o endereço IP de cada site são mantidos por um servidor de nomes autoritativo em algum lugar do mundo. Para acelerar a conectividade e evitar congestionamento em servidores autoritativos, o sistema DNS também usa servidores DNS recursivos, ou resolvedores de DNS, que normalmente são fornecidos por provedores de serviços de internet (ISPs). Quando um usuário digita o nome de um site em um navegador, o dispositivo do usuário primeiro contata um servidor DNS recursivo próximo para solicitar o endereço IP do site.
Como servidores DNS recursivos mantêm um cache de endereços IP para muitos sites frequentemente usados, eles podem frequentemente responder a consultas DNS fornecendo o endereço correto instantaneamente. Se o servidor recursivo não tiver um endereço atual, ele entrará em contato com outros servidores DNS recursivos ou, em última instância, com o servidor de nomes autoritativo para obter um registro DNS preciso. Esse processo normalmente acontece muito rapidamente, de modo que a maioria dos usuários não percebe o processo de DNS.
No entanto, o DNS é suscetível a muitas ciberameaças que podem interromper respostas de DNS e fazer com que servidores travem ou desacelerem, resultando em lentidão no carregamento de páginas ou impossibilidade de acessar sites na Internet.
Principais ameaças à segurança de DNS
Ameaças comuns à segurança de DNS incluem:
- Ataques de DDoS e ataques de inundação: os ataques de negação de serviço distribuída (DDoS) fazem com que servidores de DNS desacelerem ou travem ao sobrecarregá-los com uma quantidade esmagadora de solicitações por registros DNS. Os ataques de DDoS de DNS normalmente usam uma botnet, uma rede de máquinas infectadas por malware que podem ser controladas por atacantes que direcionam enormes quantidades de tráfego para servidores DNS.
- Ataques de DDoS NXDOMAIN: essa abordagem sobrecarrega servidores DNS solicitando registros inexistentes ou inválidos, sobrecarregando o sistema e fazendo com que servidores DNS e a infraestrutura de suporte desacelerem ou travem.
- Tunelamento de DNS: como DNS é um protocolo de comunicação confiável, muitos ambientes de TI permitem que tráfego DNS entre e saia livremente de suas redes. Os agentes de ameaça aproveitam essa confiança usando DNS como um canal de comunicação encoberto para evitar detecção por firewalls. O tunelamento de DNS permite que cibercriminosos exfiltrem dados confidenciais de um ambiente de TI ou se comuniquem e controlem um dispositivo comprometido dentro de um sistema de TI.
- Spoofing de DNS ou envenenamento de cache DNS: esse tipo de ameaça de segurança de DNS insere dados falsificados de DNS no cache de um resolvedor DNS, fazendo com que o servidor DNS retorne um endereço IP incorreto para um domínio. Essa técnica é normalmente usada para distribuir malware e ransomware ou para roubar credenciais de login.
- Sequestro de DNS: essa técnica permite que cibercriminosos usem um servidor DNS comprometido ou malicioso para enviar usuários a um domínio falso e malicioso em vez do endereço que eles procuram.
- Bloqueio do domínio: os agentes de ameaça podem “bloquear” um resolvedor DNS estabelecendo uma conexão baseada em TCP com o servidor e consumindo toda a sua largura de banda enviando continuamente pacotes inúteis ou aleatórios. Isso impede que o servidor responda a solicitações legítimas.
Por que a segurança de DNS é essencial
A segurança de DNS é uma parte crítica de um programa abrangente de cibersegurança. Como o DNS é parte integrante da internet, a falha em fornecer segurança de DNS pode levar a uma ampla gama de ciberataques, desde violações de dados até muitos tipos de ransomware e ataques massivos de DDoS que interrompem negócios e ameaçam a lucratividade. À medida que ambientes de TI se tornam mais distribuídos e milhões de dispositivos IoT expandem a superfície de ataque além do perímetro tradicional da rede, a segurança de DNS se tornou mais importante do que nunca. A segurança de DNS superior permite que organizações se protejam contra perda de dados, ameaças à privacidade e interrupções nos negócios.
Como funciona a segurança de DNS
As soluções de segurança de DNS fornecem várias linhas de defesa para proteger operações de DNS. As soluções avançadas de segurança de DNS utilizam aprendizado de máquina, IA e protocolos de segurança aprimorados para detectar e mitigar ameaças em tempo real. A tecnologia superior de segurança de DNS depende de inteligência avançada contra ameaças que detecta automaticamente anomalias no tráfego DNS, automatiza resposta a incidentes e integra-se com outros sistemas de segurança de rede.
Práticas recomendadas para segurança de DNS
Para aprimorar a segurança do DNS, as organizações e as equipes de TI podem adotar várias práticas importantes.
- Extensões de segurança de DNS (DNSSEC): Esse protocolo de segurança adiciona uma camada de proteção ao sistema DNS permitindo que respostas sejam verificadas quanto à autenticidade. O protocolo Domain Name System Security Extensions (Extensões de segurança do Sistema de Nomes de Domínio) impede que atacantes adulterem ou envenenem dados de DNS usando assinaturas digitais para garantir que registros DNS retornados em uma consulta sejam precisos e não tenham sido maliciosamente modificados.
- Filtragem de DNS: essa tecnologia examina e bloqueia solicitações DNS para sites indesejados ou maliciosos para reduzir o risco de infecções por malware e exfiltração de dados.
- Firewalls de DNS: Os firewalls de DNS podem bloquear solicitações para domínios conhecidos como maliciosos e fornecer recursos de limitação de taxa que interrompem ataques de DDoS ou de amplificação.
- Servidores DNS seguros: os servidores DNS que oferecem suporte a DNS sobre TLS (DoT) ou DNS sobre HTTPS (DoH) permitem que tráfego DNS seja criptografado, impedindo que atacantes manipulem ou espionem o tráfego DNS.
- Atualizações regulares: atualizar regularmente servidores DNS e aplicar patches de segurança pode ajudar a proteger contra vulnerabilidades conhecidas e ameaças à segurança de DNS.
- Conscientização sobre segurança: treinar usuários finais sobre os tipos de ameaças que podem encontrar, especialmente mensagens de phishing, pode reduzir significativamente a incidência de ataques bem-sucedidos.
- Aumentar a capacidade: Para superar ataques de DDoS a DNS, organizações podem adicionar capacidade adicional, estabelecendo vários servidores DNS redundantes que possam lidar com solicitações quando um servidor estiver sob ataque.
Perguntas frequentes
A maioria das ameaças de DNS se enquadra em um dos quatro vetores de ataque. Os ataques volumétricos inundam servidores DNS com um grande número de solicitações, fazendo com que desacelerem ou travem. Os ataques de violação de protocolo usam DNS de maneiras não intencionais para exfiltrar dados ou conduzir campanhas de phishing. Os ataques de DNS furtivos ou de gotejamento lento degradam ou interrompem o serviço ao comunicar um fluxo constante de solicitações específicas que esgotam a capacidade do servidor DNS. As explorações aproveitam falhas ou vulnerabilidades em serviços, protocolos ou sistemas operacionais de DNS.
A exfiltração de dados por DNS é uma técnica que permite que hackers roubem dados de um sistema de TI incorporando-os em pacotes de DNS. Como comunicações de DNS geralmente são confiáveis e não filtradas por serviços de segurança e firewalls, dados ocultos dentro de tráfego DNS dificilmente acionam alertas de segurança.