Defiéndase de los ataques de inundación de DNS con DNSShield de Nexusguard

En una era en la que los ataques de DNS son cada vez más complejos, DNSShield de Nexusguard ofrece una potente solución para proteger la infraestructura de su dominio. Diseñado para hacer frente a los ataques sigilosos que inundan dominios de nivel 7 (como los ataques de NxDomain y Phantom Domain), DNSShield se integra perfectamente en el marco de proxy inverso de Nexusguard. Proporciona una mitigación continua y proactiva sin depender de la detección o las alertas, lo que garantiza que sus servicios de DNS sigan siendo resilientes y responsivos. Diseñado para proteger los servidores de nombres y los solucionadores de DNS autorizados, DNSShield aprovecha las reglas de filtrado avanzadas para ofrecer una protección sólida y permanente.

Cómo configurar DNSShield

DNSShield ofrece un proceso de configuración flexible e intuitivo, que le permite configurar la protección en un por sitio o por servidor de nombres base. Este control granular garantiza que pueda adaptar las defensas de DNSShield para satisfacer las necesidades específicas de su infraestructura.

DNSShield incluye un interruptor de encendido/apagado independiente para cada perfil, lo que le brinda un control total sobre cuándo y dónde se aplica la protección. Esta función es especialmente útil para probar, solucionar problemas o implementar gradualmente DNSShield en varios sitios o servidores.

DNSShield está diseñado para funcionar en armonía con los servicios de mitigación NetShield y L3-4 de Nexusguard. Una vez que NetShield ha gestionado las amenazas de nivel inferior (L3-4), DNSShield ejecuta sus protecciones avanzadas específicas para el DNS, lo que garantiza una estrategia de defensa integral que cubre todos los niveles del modelo OSI.

‍

‍Cómo funciona DNSShield

DNSShield emplea tres poderosas contramedidas para mejorar la protección del DNS:

1. Filtro de dominio: implementa listas de permitidos y listas de bloqueo a nivel de zona para controlar el acceso a dominios específicos.
2. Filtro NxDomain: monitorea y regula la tasa de consultas para zonas inexistentes, lo que evita la sobrecarga de solicitudes no válidas.
3. Caché de errores de DNS: almacena las respuestas de error de DNS para consultas recurrentes, lo que reduce el procesamiento redundante y mejora la eficiencia.

‍

Filtro de dominio

El filtro de dominio incluye varias reglas de filtrado personalizables, con regla_predeterminada siempre se ejecuta en último lugar. La default_rule sirve como punto de control final, lo que garantiza un filtrado completo una vez que se hayan aplicado todas las demás reglas.

El filtro de dominio está diseñado para proteger los servidores de nombres autorizados al permitir o bloquear las consultas basadas en zonas predefinidas. Esta función es especialmente eficaz cuando se tiene una idea clara de las zonas específicas que se deben permitir o denegar. De forma predeterminada, el filtro de dominio está configurado en Caída, garantizando que las consultas no permitidas explícitamente por las reglas anteriores se bloqueen automáticamente.

‍

Filtro NxDomain

El filtro NxDomain se activa después del filtro de dominio para inspeccionar y mitigar el tráfico que ha pasado por la etapa de filtrado inicial. Esto garantiza una capa adicional de protección al orientar y regular las consultas no válidas en dominios inexistentes.

El filtro NxDomain rastrea la cantidad de consultas de NxDomain que se originan en cada IP de origen. Si una IP de origen supera el umbral predefinido, el filtro bloquea todas las solicitudes de DNS procedentes de esa IP durante un período específico. Una vez que finaliza el período de bloqueo, la IP de origen puede reanudar las consultas, siempre que se mantenga dentro del límite de velocidad aceptable.

‍

Caché de errores de DNS

‍

La caché de errores de DNS es un mecanismo de almacenamiento en caché inteligente diseñado para gestionar las consultas repetitivas de dominios no válidos o inexistentes de forma más eficiente. Si bien no se trata de un filtro en el sentido tradicional, desempeña un papel fundamental a la hora de mejorar el rendimiento y la resiliencia del servidor DNS.

‍

Características principales

• 3 vidas predefinidas
  La caché de errores de DNS funciona con tres duraciones de almacenamiento en caché predefinidas, lo que le permite equilibrar el rendimiento y la eficiencia de los recursos. Estos tiempos de vida determinan durante cuánto tiempo se almacenan las respuestas de error (por ejemplo, NxDomain o SERVFAIL) antes de actualizarse, lo que garantiza una gestión óptima de las consultas repetitivas no válidas.

• Almacena en caché los códigos de retorno de DNS distintos de NOERROR
  La caché almacena específicamente las respuestas de error de DNS, como NxDomain (dominio inexistente) o SERVFAIL (error del servidor), mientras excluye las respuestas correctas (NOERROR). Este enfoque específico garantiza que solo se optimicen las consultas problemáticas, sin afectar al tráfico legítimo.

• Absorbe grandes volúmenes de solicitudes de DNS no válidas
  Al almacenar en caché las respuestas de error, la caché de errores de DNS absorbe y neutraliza eficazmente grandes volúmenes de consultas no válidas. Esto reduce la carga de los servidores DNS y la infraestructura ascendente, lo que evita el agotamiento de los recursos y mantiene la disponibilidad del servicio.

• Aplicable en todas las situaciones como última línea de defensa
  La caché de errores de DNS funciona como la protección final en la cadena de procesamiento de consultas de DNS. Una vez aplicados todos los demás filtros y reglas, este mecanismo de almacenamiento en caché interviene para gestionar las consultas repetitivas de dominios inexistentes o no válidos, lo que garantiza una protección integral en todos los escenarios.

Política de protección para servidores de nombres autoritativos

Cuando tu servidor de nombres autoritativo está bajo protección, es esencial implementar una estrategia de defensa sólida adaptada a las zonas específicas que alberga. Dado que el servidor administra una lista de zonas bien definida, puede aprovechar las funciones de DNSShield para crear una política de protección altamente eficaz.

Política de protección sugerida:

1. Filtro de dominio: zonas de alojamiento permitidas

Acción: Añada todas las zonas alojadas a lista de permitidos.

Resultado: Se permiten las consultas de dominios dentro de estas zonas, mientras que las solicitudes de cualquier otra zona se descartan automáticamente.

‍

2. Filtro NXDOMAIN: regula las consultas de subdominio no válidas

Acción: Habilite el filtro NXDOMAIN para supervisar y controlar las consultas de subdominios inexistentes o no válidos en sus zonas alojadas.

Resultado: El filtro regula la frecuencia de este tipo de consultas, lo que evita que los atacantes abrumen tu servidor con solicitudes repetitivas de subdominios falsos.

‍

3. Caché de errores de DNS: absorbe todas las demás consultas no válidas

Acción: Habilite la caché de errores de DNS para gestionar y almacenar en caché las respuestas de error de las consultas no válidas que se escapan a los dos primeros niveles de defensa.

Resultado: Las consultas repetitivas no válidas se absorben localmente, lo que reduce la carga del servidor y de la infraestructura ascendente.

‍

Política de protección para solucionadores recursivos

Cuando el servidor de nombres under protection funciona como un resolutor recursivo, debe gestionar las consultas de DNS para cualquier zona, lo que lo convierte en el objetivo principal de una amplia gama de ataques. Para proteger su resolución, DNSShield ofrece una estrategia de defensa de varios niveles adaptada a este entorno dinámico.

Política de protección sugerida:

1. Filtro de dominio: bloquear zonas no válidas conocidas

Acción: Utilice el filtro de dominio para eliminar las consultas de zonas conocidas no válidas o malintencionadas identificadas durante los ataques.

Resultado: Esto bloquea inmediatamente el tráfico a los dominios dañinos o no legítimos, lo que reduce la superficie de ataque y conserva los recursos del servidor.

‍

2. Filtro NxDomain: regula las consultas para zonas inexistentes

Acción: habilite el filtro NxDomain para controlar la tasa de consultas en zonas inexistentes o no válidas.

Resultado: El filtro limita o bloquea las consultas excesivas de dominios que no existen, lo que evita que los atacantes abrumen a la resolución con solicitudes falsas.

‍

3. Caché de errores de DNS: absorbe todas las demás consultas no válidas

Acción: Habilite la caché de errores de DNS para gestionar y almacenar en caché las respuestas de error de las consultas no válidas restantes.

Resultado: Las consultas repetitivas no válidas se absorben localmente, lo que reduce la carga de su resolución y de la infraestructura ascendente.

‍

Establezca hoy mismo su estrategia de defensa de ciberseguridad para fortalecer sus servidores de nombres autorizados y sus solucionadores recursivos mediante el uso de DNSShield de Nexusguard. Póngase en contacto con uno de nuestros expertos ahora para empezar.