¿Qué es el filtrado de DNS? | Servidores de DNS seguros

El filtrado de DNS bloquea los sitios web y las aplicaciones maliciosas o prohibidas a nivel de DNS, para que no puedan cargarse en los dispositivos de los usuarios.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Entender como funciona DNS
  • Más información sobre dónde encaja el filtrado de DNS en el proceso de DNS
  • Explorar los tipos de ataques que pueden bloquear los servicios de filtrado de DNS

Copiar enlace del artículo

¿Qué es el filtrado de DNS?

El filtrado de DNS es el proceso de usar el Sistema de nombres de dominio para bloquear sitios web maliciosos y filtrar el contenido dañino o inapropiado. Esto garantiza que los datos de la empresa permanezcan seguros, y permite que las empresas tengan control sobre aquello a lo que pueden acceder sus empleados en las redes gestionadas por la empresa. El filtrado de DNS suele ser parte de una estrategia más amplia de control de acceso.

¿Qué es el Sistema de nombres de dominio (DNS)?

El Sistema de nombres de dominio, o DNS, relaciona los nombres de dominio, como cloudflare.com, con direcciones IP, como 192.0.2.24. El DNS es necesario para que los usuarios puedan acceder a los sitios web sin tener que memorizar confusas listas de números, del mismo modo que una persona puede almacenar los números de teléfono de sus amigos en la lista de contactos de su teléfono inteligente en lugar de tener que memorizar cada número de teléfono.

Cada vez que un usuario abre un sitio web o accede a una aplicación web, el proceso de carga del contenido solo empieza después de que el dispositivo del usuario haya buscado la dirección IP correcta. Estos son los pasos para descubrir una dirección IP para que un sitio web pueda cargarse:

  1. Una vez que el usuario escribe un nombre de dominio en su navegador, el dispositivo del usuario crea una consulta DNS y la envía a un servidor web especializado llamado solucionador de DNS.
  2. El solucionador de DNS hace coincidir el nombre de dominio consultado con una dirección IP, ya sea mediante la consulta de otros servidores DNS o mediante la comprobación de su caché.
  3. El solucionador de DNS envía una respuesta al dispositivo del usuario con la dirección IP correcta: esto se conoce como "solucionar" el dominio.
  4. El dispositivo del usuario contacta con el servidor en esa dirección IP para abrir una conexión y empezar a cargar el contenido.

El DNS es una parte fundamental del acceso a los contenidos web: no se puede cargar ningún contenido antes de que se produzca el proceso de DNS. Esto convierte al filtrado de DNS en una forma eficaz de ejercer control sobre el contenido al que pueden acceder los usuarios.

¿Cómo funcionan los servicios de filtrado de DNS?

Todas las consultas de DNS van a un solucionador de DNS. Los solucionadores de DNS especialmente configurados también pueden actuar como filtros, al negarse a resolver las consultas de ciertos dominios que se rastrean en una lista de bloqueos, y se evita así que los usuarios lleguen a esos dominios. Los servicios de filtrado de DNS también pueden usar una lista de permitidos en lugar de una lista de bloqueados (más a continuación).

Supongamos que un empleado de la empresa recibe un correo electrónico de phishing y es engañado para que haga clic en un enlace que conduce a malicious-website.com. Antes de que el ordenador del empleado cargue el sitio web, envía primero una consulta al servicio de solucionador de DNS de la empresa, que utiliza el filtrado de DNS. Si el sitio malicioso se encuentra en la lista de bloqueos de la empresa, el servidor de DNS bloqueará la solicitud, impidiendo que se cargue malicious-website.com y frustrando así el ataque de phishing.

El filtrado de DNS puede meter en la lista de bloqueos propiedades web por nombre de dominio o por dirección IP:

Por dominio: El solucionador de DNS no resuelve, ni busca, las direcciones IP de ciertos dominios.

Por dirección IP: El solucionador de DNS intenta resolver todos los dominios, pero si la dirección IP está en la lista de bloqueos, el solucionador no la devolverá al dispositivo que realiza la solicitud.

¿Qué es una lista de bloqueos?

En el contexto del filtrado de DNS, una lista de bloqueos es una lista de dominios o direcciones IP dañinas que se conocen. Los proveedores de filtrado de DNS pueden basarse en listas de bloqueos compartidas por la comunidad de ciberseguridad, generar sus propias listas de bloqueos o hacer ambas cosas. Algunos filtros de DNS incluso evalúan las páginas web y las añaden a una lista de bloqueos de forma automática. Por ejemplo, si se observa que un código de JavaScript malicioso se ejecuta en example.com, se añadirá example.com a la lista de bloqueos.

El filtrado de DNS también puede bloquear dominios que no se usan necesariamente para ataques de malware o phishing, pero que alojan contenido prohibido o inapropiado. Por ejemplo, una empresa puede querer añadir sitios web con contenido para adultos a su lista de bloqueos de filtrado de DNS.

Una lista de permitidos, lo opuesto de una lista de bloqueos, es una lista de dominios o direcciones IP permitidos. Todos los dominios o direcciones IP que no estén en la lista de permitidos, estarán bloqueados.

¿Cómo ayuda el filtrado de DNS a bloquear el malware y los ataques de phishing?

El filtrado de DNS puede ayudar a mantener el malware, o software malicioso, fuera de las redes de la empresa y de los dispositivos de los usuarios. También puede ayudar a bloquear algunos tipos de ataques de phishing.

1. Bloqueo de sitios web maliciosos

Un sitio web que aloja malware puede intentar engañar a los usuarios para que descarguen un programa malicioso o ejecutar una drive-by download: una descarga de un software malicioso que se activa automáticamente al cargar la página web. También hay otros tipo de ataques posibles. Por ejemplo, las páginas web ejecutan código JavaScript, y como lenguaje de programación completo, JavaScript puede utilizarse de diversas maneras para poner en riesgo los dispositivos de los usuarios.

El filtrado de DNS puede evitar este tipo de ataques al impedir que los usuarios carguen las páginas web maliciosas.

2. Bloqueo de sitios web de phishing

Un sitio web de phishing es un sitio web falso que se crea para robar las credenciales de acceso en ataques de phishing. El dominio que se usa puede ser un dominio falsificado o simplemente un dominio de aspecto oficial que la mayoría de los usuarios considerarán que es real. Independientemente del método, el objetivo es engañar al usuario para que dé las credenciales de su cuenta a un atacante. Estos sitios web pueden bloquearse con filtrado de DNS.

Estas capacidades dependen de que el sistema de filtrado DNS sepa identificar como dañinos las direcciones IP o los dominios maliciosos. Aunque el filtrado de DNS puede bloquear esta actividad maliciosa, los atacantes generan dominios nuevos muy rápidamente y es imposible meter a todos en la lista de bloqueos.

¿Cómo bloquea los contenidos prohibidos el filtrado de DNS?

El proceso para restringir el acceso a determinados tipos de contenido es similar al que se ha descrito anteriormente; las direcciones IP o los nombres de dominio que se sabe que alojan contenido prohibido se incluyen en una lista de bloqueos, y los usuarios no tienen acceso a los mismos. Como alternativa, los sitios web aprobados por la empresa pueden añadirse a una lista de permitidos, y el filtro de DNS bloquea el resto de sitios web.

¿Qué son los servidores DNS seguros?

Un servidor DNS seguro es un solucionador de DNS que bloquea los sitios web maliciosos o prohibidos como parte de un servicio de filtrado de DNS. Algunos servidores de DNS seguros también ofrecen una mayor privacidad para proteger los datos de los usuarios; por ejemplo, Cloudflare ofrece un servicio de solución de DNS llamado 1.1.1.1, que purga todos los registros de consultas DNS después de 24 horas.

Junto con el filtrado de DNS, hay otras formas de hacer que el proceso de DNS sea más seguro, pues DNS no se diseñó pensando en la seguridad. El protocolo DNSSEC ayuda a verificar que los solucionadores de DNS ofrecen información precisa y no se han visto comprometidos por un atacante. Los protocolos de DNS sobre TLS (DoT) y de DNS sobre HTTPS (DoH) encriptan las consultas y respuestas de DNS para que los atacantes no puedan acechar las consultas de DNS de un usuario y rastrear los sitios web que visita.

¿Cuál es la diferencia entre el filtrado de DNS y el filtrado web?

El filtrado web es un término genérico que puede hacer referencia a una serie de métodos para controlar el tráfico web. El filtrado de DNS es un tipo de filtrado web. Entre otros tipos de filtrado web están el filtrado de URL, el filtrado de palabras clave y el filtrado de contenido.

¿Ofrece Cloudflare filtrado de DNS además de otros servicios de DNS?

Cloudflare ofrece un servicio de DNS autoritativo, un solucionador de DNS público y, en el caso de las empresas que quieran restringir el acceso de sus empleados a Internet, funciones de filtrado de DNS. Cloudflare Gateway es una pasarela web segura que incluye filtrado de DNS, junto con aislamiento de navegador y otras tecnologías que mantienen a los usuarios internos seguros. Más información sobre Cloudflare Gateway o cómo funcionan las pasarelas web seguras.

Ventas