Defensas efectivas contra el ataque de Kaminsky. En riesgo de simplificarse en exceso, el ataque de Kaminsky se puede usar para atacar a clientes DNS que no usan la asignación aleatoria de puertos de origen. La defensa inmediata contra el ataque de Kaminsky es activar la aleatorización del puerto de origen. En estos días, la mayoría del software de DNS moderno realiza la asignación aleatoria de puertos de origen.
(Si no lo ha hecho desde hace tiempo, le recomiendo que actualice su software DNS, tanto en los clientes como en los servidores, para obtener los beneficios de esta defensa).
El estado actual. Afortunadamente, la mayoría de Internet ya ha actualizado su software de DNS a versiones más recientes que incorporan defensas contra el ataque de Kaminsky. Estas defensas hacen que el ataque de Kaminsky sea bastante difícil. (No son 100% imposibles, pero requerirían una gran cantidad de recursos: miles de millones de paquetes). Por lo tanto, es probable que la mayoría de los sitios en la actualidad estén razonablemente bien protegidos contra el ataque de Kaminsky. Por ejemplo, las probabilidades son muy buenas de que su ISP y su banco estén protegidos.
Si hay algún rezagado que no haya actualizado su software de DNS a una versión reciente que incorpore defensas contra el ataque de Kaminsky (por ejemplo, aleatorización de puertos de origen), es probable que sean muy vulnerables. El ataque de Kaminsky es bastante fácil de montar y altamente efectivo, si el servidor no incorpora defensas contra él.
¿Qué pasa con DNSSEC? DNSSEC es un acuerdo por separado. Está diseñado para brindar seguridad, incluso en situaciones en las que sus servidores DNS están comprometidos o cuando un interlocutor está atacando el tráfico de su red. Por lo tanto, en teoría, DNSSEC proporcionaría una defensa alternativa aceptable contra el ataque de Kaminsky.
Sin embargo, en la práctica, confiar en DNSSEC para protegerse del ataque de Kaminsky sería una mala idea. Hay dos problemas:
-
Primero, DNSSEC no se implementa ampliamente hoy. Hoy en día, muy pocos dominios están firmados con DNSSEC. Esto hace que sea imposible implementar DNSSEC con una validación estricta. En cambio, en las implementaciones actuales de DNSSEC, si se recibe una respuesta para un dominio sin firmar, la respuesta se acepta sin realizar ninguna verificación criptográfica. Esto significa que un cliente que es vulnerable al ataque de Kaminsky aún puede ser atacado, incluso si usa DNSSEC.
-
En segundo lugar, la aleatorización del puerto de origen es muy fácil de implementar, mientras que DNSSEC es más difícil (operacional y logísticamente) de implementar. Tendrías que estar loco para continuar usando las antiguas versiones vulnerables del software DNS. La implementación de la asignación aleatoria del puerto de origen es bastante fácil (solo actualice a la última versión de su software de DNS, en la mayoría de los casos), por lo que sería una locura no aprovechar la defensa de asignación aleatoria del puerto de origen.
DNSSEC sigue siendo una muy buena idea, y el ataque de Kaminsky subraya la importancia de implementar DNSSEC ampliamente. Entonces, no me malinterpretes. Le animo a habilitar DNSSEC en sus máquinas. Simplemente no lo vea como un sustituto de la aleatorización de puertos de origen.
En conclusión. Todos deberían usar la aleatorización de puertos de origen. Es una obviedad, y actualmente es la defensa más efectiva contra el ataque de Kaminsky. Afortunadamente, mi impresión es que la asignación aleatoria del puerto de origen ya se usa mucho, por lo que la mayoría de Internet debería estar razonablemente bien defendida contra el ataque de Kaminsky.
Teniendo una vista más larga, DNSSEC es importante porque brinda protecciones robustas contra una gran clase de posibles ataques contra DNS, incluso aquellos que no hemos pensado o no conocemos, pero que podrían descubrirse en el futuro. . Es el mejor profiláctico que tenemos, para prevenir proactivamente futuros incidentes como el ataque de Kaminsky. Por lo tanto, sería mejor que los operadores de red y otros hagan lo que puedan para implementar DNSSEC a toda velocidad.