• Servicios
• DNS Firewall

Que es un DNS Firewall

La mayoría de las comunicaciones legítimas y no legítimas comienzan con una consulta DNS mediante la que se obtiene la dirección IP de un recurso o servicio en línea.

El objetivo principal de un firewall DNS es supervisar el tráfico DNS para ofrecer protección para:

• Bloquear el acceso de los usuarios a sitios web maliciosos.
• Prevenir ataques de phishing.
• Bloquear comunicaciones desde el interior de nuestra red que usen el DNS como vía de comunicación con el exterior, como el malware o las botnets.
• Detectar maquinas infectadas en nuestra infraestructura.

A veces se denomina RPZ, pero las zonas RPZ son uno de los elementos dentro de un servicio DNS Firewall.

¿Como funciona un servicio DNS Firewall?

Cuando un cliente envía una petición DNS a su servidor DNS Firewall, este realiza una serie de tareas para conocer la peligrosidad de la petición y que acciones debe realizar con ella, entre las que pueden estar permitir, bloquear, descartar, informar...

Estas tareas, que deben ser definidas y mantenidas por equipos o empresas de seguridad especializados pueden incluir:

• Consultar bases de datos con listas de dominios y servidores DNS peligrosos, con información histórica de creación, aparición y malware asociado.
• La lista de dominios y servidores se pueden generar a partir de feeds de seguridad comerciales o libres. Se suelen generar a partir de eventos de seguridad que ya han ocurrido o están ocurriendo.
• Realizar técnicas predictivas para reconocer la peligrosidad de dominios o servidores para los que aún no se tiene información.
• Aplican técnicas de IA, machine learning, reconocimiento de patrones, etc, para identificar dominios generados mediante algoritmos o de nueva creación sospechosos de ser usados para realizar ataques.
• Son capaces de parar incidentes de seguridad que aún no están identificados.

Cada vez que el Firewall DNS identifica una amenaza, aparte de la acción que realice sobre el tráfico DNS, genera un log. Es importante porque sirve para recopilar información de seguridad de nuestra red:

• Máquinas infectadas
• Eventos en marcha
• Integrar y correlacionar con otros orígenes de información

Lo ideal es que para cada entrada del log se identifique porqué se está categorizando esa consulta como una amenaza, cruzando esa información contra una base de datos de amenazas.

Como se implementa

Se implementa redirigiendo las peticiones de nuestros resolvers DNS hacia los resolver del servicio, que se encargan de categorizar la peligrosidad de un dominio y realizar las acciones que hayamos definido para cada categoría.

Más detalles en la Guía de primeros pasos y configuración inicial.

Plataforma del servicio

El servicio DNS Firewall de RedIRIS usa la plataforma Cisco Umbrella que tiene las siguientes características:

• Arquitectura cloud Anycast para garantizar la mayor disponibilidad posible y resiliencia ante fallos, con más de 30 nodos y alta dispersión geográfica.
• Servicio multitenant, de forma que cada institución puede personalizar el funcionamiento del servicio y obtener sus propias estadísticas de uso y alertas.
• Despliegue sencillo, ya que sólo es necesario reencaminar el tráfico DNS hacia los resolvers del servicio.

Servicio de administración y soporte

• Servicio de administración en modalidad 8x5 para consultas, asesoría y altas.
  
  • Contacto vía correo electrónico a dnsfirewall@rediris.es
• Atención de incidencias 24x7 para incidencias:
  
  • Contacto vía correo electrónico a dnsfirewall@rediris.es añadiendo la palabra incidencia en el asunto para mejor atención.
  • A través de contacto telefónica (34 607 359 278) indicando el PIN del servicio entregado al realizar el alta en el servicio.

Alta en el servicio

Para realizar el alta en el servicio es necesario realizar una petición al buzón dnsfirewall@rediris.es adjuntando el siguiente formulario.

Durante el proceso de alta, se pedirá que el PER de la institución firme las condiciones de uso disponibles para el servicio.

Condiciones de Uso

La institución afiliada usuaria del servicio DNS Firewall de RedIRIS:

• Conoce y asume los procedimientos vigentes y requisitos técnicos establecidos para la solicitud del Servicio DNS Firewall de RedIRIS especificados en https://www.rediris.es/dnsfirewall/. El solicitante asume estas condiciones, así como las modificaciones oportunas de las mismas que se lleven a cabo, que serán publicadas con la suficiente antelación en la página web y comunicadas a las Personas de Enlace con RedIRIS (en adelante, “PER”) de su institución.
• Declara que, de acuerdo con su conocimiento, a través del uso que se va a realizar del Servicio DNS Firewall de RedIRIS no se violan derechos de terceros ni se monitorizan sistemas o servicios ajenos a la institución solicitante.
• Asume que RedIRIS, de forma excepcional, y por motivos de urgencia, debidamente justificados, pueda limitar temporalmente el acceso a parte de sus servicios, quedando en esos supuestos RedIRIS obligada a minimizar las consecuencias adversas de esas medidas temporales, y a informar a las instituciones afiliadas sobre la adopción de esas medidas y sobre la evolución de la situación.
• Declara que los datos facilitados en el formulario de solicitud de alta en el servicio DNS Firewall son ciertos, salvo error u omisión de buena fe, y es consciente de que cualquier falsedad o error en los datos consignados en esta solicitud podrán ser causa de desestimación o revocación de la misma.
• Se compromete a mantener siempre actualizada la información facilitada en esta solicitud, comunicando los PERs cualquier cambio que se produzca.
• Asume que el servicio es prestado por RedIRIS en términos no comerciales para sus instituciones afiliadas, y que no cabe reclamar responsabilidad pecuniaria en relación con la prestación del mismo.
• Se compromete a no facilitar a otras instituciones, a través de su conexión, acceso al servicio DNS Firewall de RedIRIS sin aprobación previa expresa de RedIRIS.
• Conoce que el incumplimiento de las disposiciones anteriores podrá suponer la desconexión del Servicio de DNS Firewall de RedIRIS.