EfficientIP, proveedor de referencia en el mercado DDI (gestión de direcciones IP y servicios DHCP, DNS y VLAN), anuncia el lanzamiento del primer motor DNS híbrido como respuesta al creciente número y ferocidad de los ciberataques del tipo Denegación de Servicio (DoS), Denegación de Servicio Distribuida (DDoS) y envenenamiento del caché.
Si bien la mayoría de los servidores DNS corren sobre un único motor DNS, el motor híbrido SOLIDServer de la compañía diferencia por combinar tres motores DNS, gestionados desde un único appliance. Este acercamiento aporta una mayor protección a las grandes empresas, operadores e ISPs pues elimina el punto de fallo de las alertas de seguridad creando una huella de gran complejidad e intercambiando DNS para enmendar los fallos.
“Las brechas de alto perfil que acapararon titulares el año pasado han mostrado cómo los ataques DNS perjudican notablemente no sólo la reputación de una organización sino también comprometen la protección de datos y reducen los ingresos”, explica David Williamson, CEO de EfficientIP. “Las amenazas DNS evolucionan continuamente por lo que se necesitan nuevas estrategias de defensa. El acercamiento tradicional no es suficiente para acabar con los riesgos actuales. Contar con un motor DNS activo y al menos otro más alternativo listo para funcionar, reduce significativamente el riesgo de ataque sin suponer un coste adicional o una mayor complejidad para los administradores. Es realmente una mantera inteligente para despistar a los hackers que no van a estar seguros del motor que está funcionando, y por tanto, conseguimos que su ataque se convierta en una tarea desalentadora, compleja y prácticamente imposible”.
Los servidores DNS juegan un papel capital en la gestión del acceso de los usuarios a las páginas web, correo electrónico o aplicaciones web, traduciendo las direcciones IP y los nombres de dominios. No obstante, los cibercriminales abusan y manipulan el DNS provocando o bien un atasco de tráfico masivo de red o una redirección del tráfico de Internety cualquiera de estas dos acciones puede derivar en la interrupción del servicio. Debido a la popularidad de ciertos motores DNS y la vulnerabilidad que supone, se recomienda que los propietarios de la red gestionen, y que estén preparados para intercambiarse, al menos dos tecnologías DNS diferentes.
Concretamente, la propuesta de la firma incorpora la tecnología BIND y otras dos tecnologías DNS (Unbound y NSD de NLnet Labs). Unbound es un “DNS Resolver” recursivo diseñado para alto rendimiento. NSD sólo es autoritativo, de alto rendimiento también y ofrece un entorno más robusto para defenderse de ataques DoS y DDoS. Al separar los elementos autoritativos y recursivos del motor DNS se reduce significativamente el riesgo de corrupción.
En el último año se han recrudecido los ataques a gran escala a los servidores DNS tanto en número como en intensidad. Las nuevas técnicas de amplificación y reflexión DNS se han reflejado en un incremento masivo en el volumen de tráfico convirtiéndose en verdaderas dianas del sistema. Un acercamiento híbrido a la seguridad del DNS permite a las organizaciones reforzar los elementos más débiles de su infraestructura internet.
“Las organizaciones deberían invertir en proteger su infraestructura DNS”, confirma Lawrence Orans, Vicepresidente de investigación en el reciente informe de Gartner “Leverage Your Network Design to Mitigate DDOS attacks”. Una infraestructura DNS segura es necesaria para amortiguar el impacto de ataques query loads y de otro tipo contra los motores DNS autoritativos.