Solución temporal para el agujero Kaminsky

NeuStar ha desarrollado un sistema propietario para frustrar los ataques que secuestran el tráfico web. La compañía pretende comercializarlo hasta que el estándar DNSSEC esté adoptado ampliamente en la Red. Por el momento, tres proveedores de Internet ya han desplegado Cache Defender, y otros cuatro ISP lo están probando.

NeuStar afirma que Cache Defender evita los ataques de envenenamiento de cache (cache poisoning), donde un hacker redirecciona el tráfico DNS a un site falso sin que lo sepan los usuarios con el fin de robar los datos de los navegantes. Este ataque explota la vulnerabilidad de DNS descubierta el pasado verano por el investigador en seguridad Dan Kaminsky.

El sistema Cache Defender comprende appliances propietarios desplegados en las redes de los operadores y en cada nodo de la plataforma de servicios UltraDNS de NeuStar. Dichos dispositivos crean un enlace de comunicaciones seguro y autenticado entre los servidores recursivos operados por los ISP –que llevan a los usuarios a los websites proporcionando la dirección IP del nombre de dominio solicitado- y los servidores autoritativos manipulados por NeuStar en nombre de sus clientes empresariales, y que son los que responden a esas peticiones.

En Cache Defender, NeuStar utiliza firmas digitales para autenticar que los servidores DNS autoritativos están ofreciendo datos fiables a los recursivos, sin secuestradores que los redireccionen. “La plataforma de servicios de directorio UltraDNS crea un enlace seguro entre cada servidor recursivo y autoritativo para evitar el envenenamiento de cache”, explica Rodney Joffe, vicepresidente senior y tecnólogo de NeuStar.

Cache Defender es gratuito para los IPS porque los costes están soportados por los clientes empresariales de UltraDNS. Dichos clientes pierden dinero a diario por ataques de pharming y no les importa pagar por los servicios DNS de NeuStar para financiar el coste de sus appliances Cache Defender instalados en las redes de los ISP.

NeuStar da soporte a 4.000 clientes empresariales -entre ellos 550 bancos y sitios de comercio electrónico como Amazon.com- con sus servicios DNS. La empresa afirma que son estos clientes quienes les están impulsando a desarrollar una solución provisional a la brecha Kaminsky hasta que pueda desplegarse DNSSEC.

DNSSEC utiliza firmas digitales para autenticar todas las comunicaciones DNS, si bien aún faltan varios años para su despliegue masivo en la infraestructura de Internet. Varios dominios, incluyendo .org y .gov, ya lo están desplegando; VeriSign se ha comprometido a firmar digitalmente los .com para 2011; y el gobierno federal de Estados Unidos ha anunciado sus planes para tener la zona de ruta DNS firmada para finales de año.

También NeuStar está adoptando DNSSEC en su infraestructura, si bien ofrece Cache Defender como solución temporal al envenenamiento de cache. Según el vicepresidente de la empresa, “el problema es que DNSEEC aún no se ha desplegado en Internet, y eso no ocurrirá de forma real hasta 2011. La realidad es que, por mucho que todos queramos ejecutar DNSSEC, estamos a un largo camino de poder hacerlo”.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper