Riesgos a los que expone un Bind inseguro

¿Es realmente necesario preocuparse también por el DNS? Bien, un DNS comprometido puede exponerse a algunos riesgos interesantes:

El Atacante puede obtener información muy interesante si se permiten transferencias de zonas: la lista completa de hosts y encaminadores (del inglés, routers) con sus direcciones IP, nombres y, posiblemente,  comentarios indicando su situación, etc.

Denegación de servicio (del inglés, Denial of service): si todos sus servidores de DNS caen, Su sitio web (del inglés, website) ya no es visible (los otros websites no pueden traducir su dirección IP).

Los correos electrónicos ya no pueden ser enviados (algunos sitios en Internet con los cuales se intercambia información a menudo habrán guardado en su caché los registros de DNS, pero eso no durará más que unos pocos días).

¨

Un atacante podría inciar un falso servidor de DNS que finge ser el suyo y envía información de DNS falsa a Internet acerca de su dominio. Es decir, pérdida de integridad − veáse la siguiente sección.

Pérdida de integridad: si un atacante puede cambiar los datos del DNS o facilitar (mediante spoofing) a otros

sitios falsa información (esto se conoce como envenenamiento de DNS (del inglés, DNS poisoning), la situación se vuelve muy peliaguda:

Falsificar (del inglés, fake) su website, de manera que parezca el suyo, y capturar las entradas de los usuarios que iban destinadas a su sitio, por lo que se estaría hablando de robar cualquier cosa, desde nombres de usuario (del inglés, logins) y contraseñas (en inglés, passwords) hasta números de tarjetas de crédito.

Todo el correo podría ser redirigido a un servidor repetidor (del inglés, relay) que podría copiar, cambiar o borrar correo antes de pasarlo a su sitio.

Si su cortafuegos (del inglés, firewall) o cualquier host accesible desde Internet usa nombres de host de DNS (del inglés, DNS hostnames) para autenticarse o para relaciones de confianza, éstas pueden ser completamente comprometidas, especialmente si un débil filtro de paquetes es quien protege los servidores de Internet y la Intranet. Imagine un proxy web configurado para permitir peticiones proxy sólo desde *.midominio.com. El atacante añade su host al dominio, por lo que el proxy web pasa a permitir peticiones que provengan de él, permitiendo al atacante acceso por HTTP a la Intranet.

Imagine un administrador de sistemas que usa SSH (gran invento criptográfico), pero los hosts cortafuegos tienen un .shosts confiando en admin.midominio.com, donde admin es la estación de trabajo del administrador. Si el atacante puede sustituir la entrada para admin.midominio.com en el DNS, pasa a tener un acceso libre y sin necesidad de contraseña a los hosts del cortafuegos.

El DNS se ha convertido en el objetivo favorito de los hackers, como  prueban las herramientas para realizar ataques automáticos y los gusanos que usan los fallos del DNS que aparecieron durante el invierno de 2001.