Seguridad en los dominios web

Seguridad en los dominios web

La seguridad en los dominios web es algo que no deberías tomártelo a la ligera. No son pocos los ataques que puede sufrir nuestras webs, pero un eslabón muy importante en la cadena son los dominios web.

Un dominio web es nombre único que se le asigna a tu página web en Internet. Nuestro dominio es una dirección a un servidor DNS en el cual podemos guardar todos los registros vinculados al mismo asi como las ips de cada subdominio.

Hoy os voy a dar una serie de consejos a tener en cuenta para proteger nuestros dominios de posibles ataques y mejorar la seguridad de los mismos.

Evitar los Ataques Homográficos en las URLs

Hace más de una década la ICANN permitió el registro de dominios con nombres internacionalizados para varios idiomas escritos con caracteres Unicode.

Estos caracteres Unicode son identicos a los caracteres latinos estándar. Esto hace que el usuario crea estar navegando a una web real (ej: "coinbase.com") pero en realidad en el navegador está escrita una cosa muy distinta (ej:"coịnbạse.com" la diferencia se puede ver claramente en los puntos debajo de la 'i" y de la "a") estás web muchas veces cuentan con un certificado de seguridad para hacerlo más creíble de cara al usuario final.

Algunos navegadores para mejorar la seguridad de los han respondido sustituyendo los caracteres Unicode por Punycode.

Los caracteres Punycode son una representación basada en ASCII de caracteres Unicode. Por ejemplo, en lugar de ver "coịnbạse.com", algunos navegadores como Edge o Vivaldi mostrarán "xn--conbse-zc8b7m.com".

Bloquear la transferencia de los dominios

Uno de los "ataques" que pueden ser más frecuentes es que otra persona solicite la transferencia de tú dominio a otro registrador.

Esto se hace con la intención de secuestrar tú dominio, si por ejemplo un tercero llega a solicitar la transferencia de un dominio "es" te llegará un email en el que darán la opción de rechazar o aceptar la transferencia.

Los atacantes podrían intentar recurrir a la ingeniería social para poder secuestrar vuestro correo electrónico o intentaré engañar para que aceptes esa transferencia.

Es importante adquirir tu dominio con un registrador que ofrezca altos estándares de seguridad como son el bloque de transferencia y también que incluyan como medida adicional una clave secreta par permitir/bloquear la transferencia de dominios.

bloquear-transferencia-dominio

Si desactivamos la protección de transferencia a la hora de intentar transferir el dominio se nos solicitará también una clave secreta que nos ofrece una seguridad extra al evitar cualquier intento de transferencia.

Ocultar tus datos del Whois

WHOIS es una gran base de datos que permite determinar el propietario de un nombre de dominio o una dirección IP en Internet.

En el Whois se almacenan datos como el nombre del propietario, su número de teléfono, email, información sobre los DNS y otros datos más técnicos.

Estos datos son visibles para cualquier usuario que desee conocer la titularidad de un dominio.

Existen servicios como Whois Privacy te permite ocultar tus datos públicos en el Whois del dominio. Lo que hacen con este servicio es poner lo datos del proveedor del dominio en vez de los de los usuarios, pero sigues manteniendo la titularidad del dominio sin mostrarlo de forma pública.

Actualmente ya no tenemos ese problema ya que debido a GDPR y a que la ICCAN no buscó una solución para cumplir las nuevas reglas sobre la privacidad. Hasta el momento el servicio ha dejado de estar disponible al no cumplir el plan de privacidad del Whois.

Tener los registros DNS al día

La mayoría de las veces, los nombres de dominio se registran a través de una empresa registradora que los expone a amenazas potenciales.

Un atacante podría acceder a la cuenta que es administrada por su registrador y podría tomar el control del dominio. Por lo tanto, pueden migrar el dominio a otros servidores de su elección y peor que esto, también pueden cambiar la propiedad.

Los atacantes pueden llegar a romper las contraseñas y lograr su objetivo.

Para evitar dicha condición, la mejor práctica es administrar las contraseñas y crear claves seguras.
Además debemos elegir un registrador que tenga las mejores ofertas de seguridad de, como autenticación de dos factores (Por token preferiblemente) o que tenga administradores de cuentas dedicados.

Usar la autenticación en 2 factores en tú registrador de dominios

Una gran mayoría de registrados de dominios ya ofrecen la autenticación de 2 factores, pero muchos de estos registradores están haciendo mal su trabajo debido que siguen ofreciendo la autenticación por SMS a demostrado ser una de las menos seguras debido a la facilidad con la que un atacante puede conseguir un duplicado de SIM.

autentificacion-en-2-pasos

Para poder proteger nuestros datos es recomendable usar la verificación por token en las que basan su funcionamiento apps como Google Authentificador y otras como Authy.

En mi opinión uno de los problemas de Google Authentificador es que no existe la posibilidad de realizar backups de estas configuraciones, por esto recomiendo usar Authy que tiene una mayor seguridad.

DNS Anycast: Acelera tus DNS

DNS Anycast es una potente solución que permite acelerar el funcionamiento convencional de los servidores DNS para entregar en todo el mundo tiempos de respuesta más cortos en las primeras peticiones de páginas web de sus sitios.

anycast-attack

  • DNS Unicast: son los servidores DNS autorizados (ADNS) que se implementan en unidades de servidor único o clusters en ubicaciones geográficas dispersas. Cada nombre de host/dirección de IP se asigna a una sola ubicación física, con uno o más servidores que proporcionan el servicio ADNS.

El equilibrio de carga y la redundancia se logran dentro del sitio utilizando las técnicas tradicionales como el load balance también llamado balanceador de carga. No importa cómo cambies el enrutamiento de Internet o desde dónde te conectas a Internet siempre le llevará a un servidor de nombres específico en una ubicación específica.

  • DNS Multicast: son las "instancias" de ADNS (Authoritative DNS Servers) pero se implementan globalmente con múltiples copias de cada servidor ADNS ubicado en muchas ubicaciones geográficamente dispersas. Al igual que en el caso de los DNS Unicast, a cada instancia se hace referencia por un nombre de host/dirección IP, pero en lugar de tener un solo servidor en una sola ubicación, hay múltiples copias de los servidores ADNS en múltiples ubicaciones en todo el mundo.

Ventajas de DNS AnyCast:

  • Tiempos de respuesta más rápidos
  • Solicitudes enviadas al servidor más cercano
  • Una solución dinámica.

Nada es 100% seguro

Hay que tener en cuenta que la seguridad absoluta por el momento no existe cualquier fallo cometido por uno mismo podría ser un vector de ataque.

Debemos tener una buena política de contraseñas y no repetirlas en ningún otra web. Además de informar de cualquier ataque a nuestros usuarios. A día de hoy con la GDPR hay mucha gente que sigue ocultando los ataques y es algo muy reprochable ya que compromete la seguridad de todos los usuarios de la red.

¿Y vosotros conocíais todo esto sobre los dominios? ¿Qué políticas aplicáis vosotros? Espero vuestras opiniones en los comentarios.

Read more