Filtrado DNS - Bloqueando amenazas en la capa DNS
Lectura de 2 min aprox.
El filtrado DNS es una técnica que bloquea el acceso a sitios maliciosos y contenido inapropiado en la etapa de consulta DNS, cuando un dispositivo convierte un nombre de dominio en una dirección IP. Como bloquea en el punto más temprano posible, antes de que el navegador abra la URL, puede prevenir de forma anticipada las conexiones a sitios de phishing y a sitios de distribución de malware. Su mayor ventaja es su sencillez: no es necesario instalar software en los endpoints y puede aplicarse a toda una organización o red simplemente cambiando la configuración del servidor DNS.
Cómo funcionan los sumideros DNS
La tecnología central del filtrado DNS es el sumidero DNS (DNS Sinkhole). En la resolución DNS normal, se devuelve la dirección IP correcta en respuesta a la consulta del cliente, pero un sumidero devuelve intencionadamente una dirección IP no válida o la IP de una página de bloqueo para los dominios destinados al bloqueo.
Resolver example.com
Cotejo con lista de bloqueo
Devolver 0.0.0.0
Resolver safe-site.com
Pasa la lista de permitidos
Devolver la IP legítima
La lista de dominios que se deben bloquear se actualiza automáticamente a partir de fuentes de inteligencia de amenazas y listas de bloqueo mantenidas por la comunidad. Con un sumidero DNS autoalojado como Pi-hole, se puede añadir una lista de bloqueo de dominios publicitarios para que funcione también como bloqueador de anuncios en toda la red.
Principales servicios de filtrado DNS
| Servicio | Características | Dirección DNS |
|---|---|---|
| Cloudflare 1.1.1.1 for Families | Dos niveles: bloqueo de malware (1.1.1.2) y bloqueo de contenido para adultos (1.1.1.3) | 1.1.1.2 / 1.1.1.3 |
| OpenDNS (Cisco Umbrella) | Filtrado detallado por categorías para empresas. Dispone de un Family Shield gratuito | 208.67.222.123 |
| NextDNS | Personalización detallada de las listas de bloqueo. Gratuito hasta 300 000 consultas al mes | Basado en un ID personalizado |
| Pi-hole (autoalojado) | Se ejecuta en casa en una Raspberry Pi o similar. También admite el bloqueo de anuncios | IP de la LAN doméstica |
Bloqueo de sitios de phishing y malware
El filtrado DNS es especialmente eficaz para bloquear sitios de phishing y sitios de distribución de malware. Aunque el usuario haga clic en un enlace malicioso incluido en un correo, este se bloquea en la etapa DNS, por lo que puede cortarse antes de que el navegador se conecte al sitio. Mientras que un firewall controla la comunicación por dirección IP y número de puerto, una fortaleza operativa del filtrado DNS es que puede controlar por nombre de dominio, una unidad fácil de entender para las personas.
Sin embargo, no es eficaz si un atacante especifica directamente una dirección IP sin usar un dominio, o si el dispositivo se configura para eludir el filtrado DNS. Es esencial una defensa en profundidad combinada con un firewall y seguridad de endpoints. Consulte también el artículo sobre protección contra el phishing.
Uso en la seguridad de los niños en internet
El filtrado DNS también se utiliza ampliamente como medio para hacer más seguro el uso de internet por parte de los niños en el hogar. Con solo cambiar la configuración DNS del router a Cloudflare 1.1.1.3 o a OpenDNS Family Shield, se puede restringir el acceso a contenido para adultos y a sitios violentos en todos los dispositivos conectados a la red. Elimina la molestia de instalar software de control parental en cada dispositivo y, además, otra ventaja es que a los niños les resulta difícil desactivar la configuración. El artículo sobre la seguridad de los niños en internet explica los pasos concretos de configuración.
Relación con DNS over HTTPS
DNS over HTTPS (DoH) es una técnica que cifra las consultas DNS con HTTPS. Es eficaz para proteger la privacidad, pero existe una tensión entre ella y el filtrado DNS. Esto se debe a que, cuando un navegador usa su propio resolvedor DoH (por ejemplo, Cloudflare 1.1.1.1), el filtrado DNS configurado por el administrador de la red termina siendo eludido.
Para abordar este problema, servicios como NextDNS y Cloudflare Gateway ofrecen filtrado DNS compatible con DoH. Pueden aplicar el filtrado incluso a las consultas DNS cifradas, logrando a la vez privacidad y seguridad. En entornos empresariales, es práctica habitual usar la directiva de grupo para fijar el destino de DoH al filtro DNS de la organización. El artículo sobre la seguridad de las redes Wi-Fi públicas también aborda la protección DNS fuera de casa.
Conceptos erróneos habituales
Es peligroso pensar que «instalar filtrado DNS te hace seguro». El filtrado DNS no es más que una capa de la defensa en profundidad y no ofrece resistencia frente a la suplantación de DNS. Además, los dominios maliciosos recién creados que aún no están registrados en la lista de bloqueo pasan sin problemas. Para la detección de amenazas en tiempo real, debe combinarse con EDR y un firewall de nueva generación.
libros sobre seguridad de redes (Amazon) también.
¿Te resultó útil este artículo?