DNS Client Query FilteringCómo mejorar el control de acceso a las aplicaciones de cliente

Segmentación de red hasta el usuario final

El filtrado a nivel DNS con una solución DNS Firewall se aplica fundamentalmente para ofrecer una primera línea de defensa contra cualquier tipo de usuario, dispositivo o aplicación. Basándose en una lista de dominios de destino que se puede administrar manual o dinámicamente para permitir o negar el acceso, proporciona una forma muy rápida y sencilla de proteger el software del cliente cuando este se conecta a aplicaciones o servicios, según su nombre o dirección IP.

Pero el filtrado del DNS debe ser más específico. Aplicar el mismo filtro a cualquier dispositivo o usuario de la red lo que tiende es a reducir el nivel de seguridad a las reglas aplicables más corrientes. Algunos grupos de usuarios requieren un nivel más alto de seguridad, mientras que otros necesitan un nivel más bajo para llevar a cabo sus actividades de manera eficaz. Los dispositivos de IoT, además, se beneficiarían de tener acceso únicamente a aplicaciones y recursos autorizados, según la lista de permisos (lista blanca). Y a la mayoría de dispositivos restantes se les aplicarían restricciones basadas en una lista de denegación (lista negra). ¿Cómo se puede realizar este filtrado de DNS sin la posibilidad de diferenciar la parte importante de la transacción que es el propio cliente?

Ya existen opciones en los motores de DNS, como por ejemplo, las vistas que pueden ayudar a distinguir al cliente en función de su dirección IP, pero ¿es eso suficiente? ¿Y es conveniente? ¿Seguro que puede utilizar este enfoque con dispositivos que se desplazan de un sitio a otro, con nuevos dispositivos en la red instalados cada día, quizás directamente por las propias empresas?

Idealmente, hará falta mayor granularidad y una mejor manera de clasificar a los clientes, para poder aplicar el nivel de filtrado adecuado, y como consecuencia el nivel de seguridad requerido. Esta es la ruta para filtrar aplicaciones, para la segmentación necesaria por el enfoque de confianza cero, el control parental para las empresas de telecomunicaciones y también el filtrado por parte de la Administración o de las normativas.

Principales ventajas

1

Filtrado más granular

Mejorar la segmentación de red hasta el cliente individual

2

Mejorar el control de acceso a las aplicaciones

Habilitar el control de acceso de clientes basado en DNS para apps e infraestructuras vitales

3

Barrera de seguridad temprana

Detectar anomalías lo antes posible en el flujo para reducir el riesgo a que se está expuesto

4

Nuevas oportunidades de negocio

Activar nuevas ofertas B2B2C (por ejemplo, el control parental sobre empresas de telecomunicaciones)

5

Ecosistema de seguridad más potente

Permitir modificaciones inmediatas mediante API y manipulando zonas DNS estándar

El proceso de filtrado en Client Query Filtering (CQF)

CQF aporta una nueva faceta al filtrado de DNS mediante seguridad basada en la información del cliente de origen asignada al dominio solicitado, en lugar del filtrado basado únicamente en el dominio. Se podrá aplicar una política de filtrado específica solo a clientes determinados que soliciten acceso a aplicaciones concretas. Esto eleva la seguridad del DNS a un nivel superior, al combinar la información del cliente y el destino con listas de permitir y denegar, mejorando así la seguridad de las aplicaciones.

Los principales componentes que requiere CQF para llevar a cabo un filtrado de DNS enriquecido son: 1) lista de identificadores de clientes 2) lista de dominios para analizar, y 3) la operación a realizar, ya sea permitir, denegar o aplicar contramedidas.

Cada solicitud de DNS se compara con el contenido de la lista de aplicaciones y dominios para aplicar la política pertinente. Las listas pueden ser locales para cada servidor Guardian DNS y administrarse manualmente, lo cual resulta útil para realizar pruebas, o bien pueden ser centralizadas y administradas a nivel mundial, caso idóneo para la aplicación de políticas de seguridad. La lista de dominios es una zona RPZ estándar que se puede mantener en SOLIDserver mediante acciones de GUI y llamadas a API, pero también se puede suscribir con algún proveedor de inteligencia contra amenazas.

DNS Client Query Filtering principles

La distribución de todas las listas a todos los servidores Guardian DNS se realiza mediante mecanismos de repetición estándar, escalables y en tiempo real, permitiendo escenarios de automatización con el ecosistema de seguridad y con soluciones OSS/BSS.

El proceso de filtrado es el núcleo de la función CQF y permite usos de seguridad enriquecidos. Con la capacidad de utilizar y manipular grandes cantidades de información en las listas representa una ventaja real a la hora de aplicar la seguridad a múltiples grupos de clientes que son complejos de identificar. Esta gestión es posible gracias a las elevadas prestaciones del motor Guardian DNS y su integración en todo el ecosistema DDI de SOLIDserver.

Identificación de clientes enriquecidos en CQF

Los clientes DNS se identifican habitualmente mediante su dirección IP, pero en escenarios más complejos, se utiliza otro campo o combinación de campos extraídos de las consultas para dicha identificación. Por ejemplo, podemos usar el campo Subred de cliente DNS ampliado para identificar grupos de clientes en la misma subred o cada individuo cuando se use con máscara de subred completa. Podremos utilizar también como clave de identificación única una combinación de la identificación CPE (Customer Premise Equipment) en la red de telecomunicaciones y de la dirección mac del dispositivo en la red del consumidor. Esta variedad de métodos de identificación hace que CQF se pueda utilizar con servidores DNS en cascada, con motores externos DNS en HTTPS o con relé DNS ISP integrado en CPE. Así que puede utilizarse con la red local de una organización, o también por una red de telecomunicaciones o un proveedor de servicios más complejos.

CQF y el control de acceso a las aplicaciones

Controlar el acceso a las aplicaciones es posible a diversos niveles en función de las políticas de seguridad que se encuentren en vigor dentro de la organización. Para la mayoría, el nivel principal más habitual es la Autenticación y Autorización a nivel de la aplicación mediante credenciales, lo que significa que probablemente no se puede acceder a ninguna aplicación sin filtrar el usuario.

¿Pero es suficiente? ¿Puede un usuario que no tenga acceso a una aplicación acceder a la página de inicio de sesión? Si en una aplicación el autorregistro no es una opción, que es el principalmente el caso en las organizaciones, ¿por qué estar expuesto a que se puede acceder a su infraestructura desde la red?

Algunas aplicaciones muy importantes requieren un acceso específico y se ejecutan en una infraestructura específica sin compartir los componentes principales. Realizar el filtrado a nivel de red es una opción que hay que tener en cuenta, por lo que las listas de acceso al enrutamiento y las reglas de cortafuegos son una solución que está implícita. Al agregar el filtrado a nivel del DNS se eleva aún más el nivel de seguridad. No deja posibilidad alguna de resolver las direcciones técnicas IP de la aplicación, ni el nivel de red, ni las credenciales, por lo que es un enfoque mucho mejor para la seguridad en un entorno de Confianza Cero.

Al tener la posibilidad de actualizar dinámicamente las listas CQF con entradas de la aplicación o del cliente, la seguridad se eleva automáticamente al nivel apropiado, limitándose la exposición de la aplicación y la visibilidad de los datos a usuarios desconocidos o sin autorización.

Gestión de listas CQF sencilla y escalable

El filtrado a nivel de DNS solo será viable si las listas de dominios e identificadores de clientes son fáciles de administrar y son escalables casi sin límites. La solución de cortafuegos de DNS utiliza la transferencia de zona RPZ estándar para su gestión de listas. Así se pueden cargar grandes volúmenes de dominios filtrados con ayuda de la transferencia de zona DNS que es realmente eficaz. Se ha ampliado este principio para el filtrado de consultas de clientes: tanto las listas de identificadores de clientes como de las listas de dominios se pueden gestionar de forma local o mediante el mecanismo de transferencia de zona DNS.

El contenido de ambas listas se puede administrar en un servidor DNS para actualizar el contenido de manera centralizada y automática en los motores Guardian, cuyo resultado es una manera eficaz de adaptar las medidas de seguridad a las políticas globales. Al utilizar el servicio SOLIDserver DNS como base para administrar el contenido de la lista, aprovechará todas las soluciones disponibles y conocidas ofrecidas, incluida GUI Web y el conjunto de API enriquecido. Todo el ecosistema de seguridad y automatización agregará y eliminará registros de las zonas DNS de seguridad que se envían a los motores Guardian y se aplican inmediatamente al tráfico entrante. Así se mejora la seguridad de todos los valiosos componentes dentro del ecosistema de seguridad e IT.

Contenido relacionado

 

Catálogo de producto DNS Guardian

DNS Guardian ofrece su Inspección de transacciones de DNS patentada, con análisis avanzado para detectar amenazas de comportamiento en tiempo real y las correspondientes contramedidas adaptadas para proteger a los usuarios, las apps y otros datos.

 

IDC 2021 GLOBAL DNS THREAT REPORT

Results from a survey of more than 1,114 IT & network professionals, explaining costs and damages of DNS attacks, business impacts, and state of defenses, plus essential guidance for protecting your infrastructure.

 

SOLIDserver DDI para una seguridad de confianza cero

La visibilidad granular del DNS en el tráfico de Internet ofrece información contextual valiosa para detectar amenazas de comportamiento. Su combinación con las funciones de seguridad del DNS y el filtrado inteligente del DNS ayudan a conseguir la Confianza Cero.