Monitorización DNS: Justificación y elementos que debe incluir

Cuando pensamos en DNS (Sistema de Nombres de Dominio), de inmediato vienen a nosotros dos pensamientos que todos asumimos como ciertos y que se convierten en justificaciones naturales para el desarrollo de un esquema de Monitorización DNS:

  • Si falla el sistema DNS que utilizamos para navegar, nuestros usuarios no podrán conectarse a los sitios web deseados.
  • Si falla el sistema DNS que debe suplir información sobre nuestros servicios WEB, nuestros clientes no podrán acceder a estos servicios.

Sencillos y contundentes, de hecho desde el surgimiento de Internet los sistemas DNS han sido y son parte fundamental de nuestras comunicaciones.

banner full pandora fms free demo
banner tablet pandora fms free demo
banner mobile pandora fms free demo

Ahora bien, de una forma simplista podemos decir que un sistema DNS permite que:

  1. Nuestros usuarios finales se conecten a cualquier servidor web sabiendo solo el nombre, sin tener que disponer de la dirección IP.
  2. Nuestros clientes, estén ubicados en cualquier parte del planeta, puedan acceder a nuestros servicios web sin tener que disponer de la dirección IP de nuestro servidor. Solo necesitan el nombre.
  3. Podamos enviar correos electrónicos sabiendo solo las direcciones del tipo [email protected]

Para esto, los sistemas DNS parten de una base de datos, distribuida y jerárquica, que permite entre otras cosas:

  1. Correlacionar cualquier nombre de dominio (pandorafms.com) con una dirección IP válida y homologada (104.24.102.7).
  2. Correlacionar con un nombre de dominio dado, las direcciones IP de los servidores de correo asociados.

Un punto fundamental en el funcionamiento de los sistemas DNS es el tiempo de respuesta, ya que se requiere que los usuarios puedan establecer sus comunicaciones de forma sencilla, y por supuesto rápida.

Por lo que los sistemas DNS implementan un esquema de resolución de nombres que pretende introducir latencias lo más pequeñas posibles, ya que una falla en el rendimiento del sistema DNS repercutirá de forma directa en el rendimiento de la navegación de los usuarios y el rendimiento de las aplicaciones que utilizan nuestros clientes.

Por lo tanto, asegurar un rendimiento óptimo en el funcionamiento del sistema DNS es otra justificación para el desarrollo de un esquema de Monitorización DNS.

Por otra parte, los sistemas DNS tienen un papel muy importante en términos de seguridad, ya que en sus registros se documentan todas las conexiones realizadas a un dominio en particular, información que puede ser utilizada para análisis de vulnerabilidades y análisis forense.

Antes de continuar puedes echar un vistazo a este vídeo, en el que te explicamos de una manera sencilla cómo comprobar un registro DNS en Pandora FMS:

Please accept marketing cookies to watch this video.

Además, en la actualidad debemos enfrentar el hecho de que son muchos los ataques que utilizan la presencia de sistemas DNS para introducirse en las organizaciones, desviar tráfico y robar información.

Así pues, la seguridad es otro elemento que justifica los esfuerzos que en monitorización DNS podamos hacer.

Antes de revisar qué debe abarcar un esquema de monitorización DNS les proponemos revisar aquellos conceptos fundamentales que serán relevantes al momento de definir dicho esquema de monitorización:

Proceso DNS

Utilizamos los sistemas DNS casi de forma transparente; de hecho, luego de la configuración de direcciones de red que muchas veces es suplida por los servicios DHCP, logramos que las aplicaciones de nuestros usuarios, tales como Navegadores, clientes de correo, etc., usen los servicios DNS.

Ahora bien, cuando una de estas aplicaciones requiere resolver un nombre de dominio, realiza en principio una petición de búsqueda a su sistema operativo. Esta petición se intenta resolver buscando la referencia correcta en la memoria caché.

En caso de que la referencia no se encuentre, se pasa la petición de búsqueda a un servidor DNS.

En este punto, el proceso dependerá de la forma en que la red y el servicio DNS se encuentren configurados; por lo general, los administradores de red configuran sus propios servidores DNS internos, los cuales pretenden resolver las peticiones de búsqueda más comunes.

Si los servidores DNS internos no logran resolver las peticiones, se trasladan a los servidores DNS externos. Estos servidores por lo general pueden ser:

  • Servicios gratuitos de DNS
  • Servicios aportados por la empresa proveedora de Internet.
  • Servicios DNS contratados que aportan mayor rapidez y mejores niveles de seguridad.

Aquí el proceso de búsqueda se convierte en un proceso recursivo de consultas a un grupo de servidores, los cuales dependen directamente de una jerarquía que rige la creación de los nombres de dominio.

Revisemos este proceso partiendo de los diferentes tipos de servidores DNS involucrados.

Tipos de servidores DNS

Hay dos tipos de servidores DNS:

  • Servidores Recursivos
  • Servidores Autorizados

Servidores Recursivos

Al recibir una petición de búsqueda lo primero que hará un Servidor Recursivo es validar si tiene o no en caché la información solicitada. De no tenerla pondrá en funcionamiento un proceso de búsqueda que lo llevará, como ya dijimos, a través de la jerarquía DNS.

La jerarquía DNS se refiere a que en todo nombre de dominio está implícita una estructura de servidores responsables de cada parte o zona que conforma dicho nombre.

La búsqueda entonces supone peticiones de resolución en la que se acepta como respuesta la información solicitada o dirección del siguiente servidor al que se debe consultar, hasta llegar el servidor con la información necesaria.

En la siguiente figura se ve un ejemplo de la estructura jerárquica DNS.

Estructura jerárquica DNS

Tal como se aprecia en la figura, la jerarquía DNS parte de una Zona Raíz asociada con el punto con el cual se finaliza todo nombre de dominio y que suele ser omitido (midominio.com.)

Luego se tiene un dominio de nivel superior que compete a los .com, .org, .es, .edu, etc. A partir de allí se tienen dominios de nivel secundario, y si el nombre lo supone niveles de subdominio y host.

Cada uno de estos niveles dispone de servidores con autoridad sobre el nivel en cuestión; estos son los llamados servidores Autorizados o Autoritativos.

Servidores Autorizados

Los servidores Autorizados son responsables de proporcionar respuestas a los servidores recursivos sobre las peticiones de búsqueda y enmarcados en el nivel o zona en la cual tienen inherencia.

Con las consultas que realizan los servidores recursivos y las respuestas ofrecidas por los servidores Autorizados se define el camino de servidores responsables de contener los registros asociados con el nombre de dominio.

Es en estos registros donde se almacena la información sobre nombre de dominio.

Tipos de registros DNS

Existen varios tipos de registros; a continuación mostramos una lista reducida de los mismos, pero el usuario interesado en una lista exhaustiva puede chequear este enlace

Registros de Host A o AAA

Estos registros asocian a un nombre de dominio una dirección IP específica. Se tienen registros A para direcciones IPv4 y registros AAA si se trata de una dirección IPv6.

ejemplo.com A 192.168.5.25

Registros CNAME (Canonical Name)

Este tipo de registro es utilizado para asignar un alias a un nombre de dominio verdadero o canónico.

En la práctica se utiliza cuando disponemos de varios servicios residentes en un mismo servidor físico o cuando disponemos de un servicio web en un dominio que no es el propio.

ftp.ejemplo.com CNAME ejemplo.com

ventaonline.ejemplo.com CNAME otraempresa.com/ejemplo/venta.cgi

Considere que un registro CNAME solo puede apuntar a un registro A o AAA existente. No puede apuntar a otro registro CNAME, de esta manera se evita la posibilidad de ciclos infinitos.

Si la dirección IP de un host cambia, solo es necesario modificar el registro A o AAA y los registros CNAME pueden permanecer sin cambios.

Registros MX (Mail Exchange)

Este tipo de registro especifica cómo debe ser resuelto el nombre asociado con un correo electrónico.

Asocia al nombre del dominio (tomado luego del @ en la dirección de correo) con uno o varios servidores de correo, precisando un nivel de prioridad para cada uno de ellos.

ejemplo.com MX(10) mail.ejemplo.com

Sobre la Monitorización DNS

Habiendo revisado los conceptos básicos sobre DNS podemos definir lo que podría ser un esquema de monitorización DNS y qué podemos esperar del mismo.

Chequeo básico

El chequeo básico puede corresponder a la verificación de conectividad entre nuestra red y el servidor Recursivo configurado (sea este un servidor público, o un servidor contratado a algún proveedor de servicio de Internet o específicamente de servicios DNS).

Además de la conectividad podemos verificar que nuestro nombre de dominio se esté resolviendo de la forma correcta.

Por lo general este tipo de chequeo básico se realiza utilizando las herramientas de validación de Red que nuestra herramienta de monitorización nos aporta.

Con este chequeo podemos obtener información como:

  • La cantidad de veces que el servidor recursivo DNS se encuentra fuera de servicio.
  • Fallas en la resolución de nuestro nombre de dominio.
  • El tiempo de respuesta registrado para resolver un nombre de dominio.

Chequeo del Volumen de tráfico de salida

Podemos monitorizar el volumen de tráfico de salida (usuarios internos navegando a Internet) en función de las solicitudes de resolución de nombres de dominio. Sería interesante también mantener una tabla con la información sobre los dominios más solicitados

La idea puede ser establecer unas cuotas que reflejen los niveles normales en la cantidad de conexiones y programar la emisión de alertas en caso de que algún volumen medido supere la cuota específica.

Chequeo de Registros

Un siguiente nivel puede ser la validación y chequeo sobre los registros asociados con nuestros servicios WEB. La idea es:

  • Monitorizar los cambios que puedan generarse en los registros asociados con nuestros servicios.
  • Conservar una copia actualizada de los registros asociados con nuestra WEB.
  • Generar un historial de los cambios efectuados.

El beneficio principal de este tipo de monitorización es lograr un control sobre nuestro servicio DNS y recibir una alerta cuando algún cambio no deseado se efectúe y poder aplicar los correctivos de manera de mantener nuestro canal de comunicación abierto y disponible.

Hay documentados muchos casos de suplantación de DNS como parte de un proceso de piratería informática que pueden ser resueltos con mayor celeridad si disponemos de este tipo de monitorización.

Chequeo de la seguridad

DNS no es un protocolo especialmente seguro, por lo que es el objetivo de muchos ataques, de hecho en el reporte sobre amenazas DNS 2018 de Coleman Parkers se llegan a mencionar que el 77% del universo de empresas consideradas en el estudio son sensibles a ataques basados en el sistema DNS.

Ahora bien, la responsabilidad de evitar en lo posible estos ataques no es propiedad exclusiva de las herramientas de monitorización, también juegan un papel importante elementos como los Firewalls, los sistemas de detección de intrusos, etc.

Dicho esto, un esquema de monitorización debe incluir entre otras cosas:

-Evaluar la seguridad de los dominios que son accedidos por primera vez, considerando su reputación y si dicho dominio es dinámico o no. Muchos ataques parten de crear dominios dinámicos como centros de comando y control los cuales suelen ser activados por poco tiempo y luego descartados. Se han desarrollados técnicas para lograr una detección temprana de Botnets en función de la monitorización del tráfico DNS. Si el lector está interesado en este tipo de amenazas recomendamos chequear este artículo de este mismo blog.

-Detectar cambios en la configuración de servidores DNS en las estaciones internas. Muchos ataques efectúan cambios en esta configuración de manera de transferir el tráfico de Internet a través de servidores maliciosos y tener la oportunidad de robar información sensible.

Como vemos, los esfuerzos en la monitorización DNS pueden suponer interesantes beneficios. Esperamos que este primer acercamiento logre motivarles a investigar sobre sus opciones en este interesante tema.

Por supuesto, Pandora FMS ha trabajado en función de la monitorización DNS, de hecho existe un plugin especialmente desarrollado para tal fin.

¿Quieres conocer mejor qué es lo que Pandora FMS puede ofrecerte? Descúbrelo entrando aquí: https://pandorafms.com/es

O si tienes que monitorizar más de 100 dispositivos también puedes disfrutar de una DEMO GRATUITA de 30 días de Pandora FMS Enterprise. Consíguela aquí.

Además, recuerda que si tus necesidades de monitorización son más limitadas tienes a tu disposición la versión OpenSource de Pandora FMS. Encuentra más información aquí: https://pandorafms.org/es/

No dudes en enviar tus consultas. ¡El equipo de Pandora FMS estará encantado de atenderte!

Shares