23 junio 2010

Seguridad con DNS de acceso público

El uso de DNS Blackholing es una opción clásica para evitar algunos ataques de dominios conocidos. El CERT de RedIris dispone de una guía muy sencilla donde explica su funcionamiento, básicamente consiste en configurar el servidor DNS de una organización o ISP para que responda con direcciones IP propias a una lista de dominios con malware, pornografía o lo que se desee filtrar.

Hay muchas fuentes que enumeran estos dominios, por ejemplo la ISO que recientementedistribuye SANS con una configuración establecida de DNS Sinkhole, utiliza las siguientes:
Los usuarios domésticos o pequeñas empresas también se pueden utilizar servidores DNS públicos que mantienen estos mismos filtros. Symantec ha presentado hace poco los de Norton, pero no son los únicos, ni tampoco los primeros.

NOMBRE DNS 1 DNS 2
NortonDNS 198.153.192.1 198.153.194.1
Scrubit 67.138.54.100 207.225.209.66
Comodo DNS 156.154.70.22 156.154.71.22
OpenDNS 208.67.222.222 208.67.220.220

Google también tiene los suyos propios, aunque estos no disponen de filtrado en base a dominios, por lo que no entramos a valorarlos. El de Norton es el más nuevo y disponen de una herramienta para madres que configura directamente el DNS. Scrubit es otra alternativa, aunque tiene picos de rendimiento y no funciona siempre tan rápido como se desea. Comodo DNS parece la versión segura de DNS Advantage, o por lo menos están en el mismo direccionamiento, son muy rápidos, aunque tienen menos "firmas" que los de Norton  y por último el archiconocido OpenDNS que se puede utilizar gratuitamente para uso personal o una versión comercial algo más amplia, entre las que permite seleccionar el tipo de contenidos que se quieren eliminar.

Para saber cuál es la configuración óptima en velocidad de respuesta la herramienta namebench ejecuta una serie de pruebas contra cada uno de ellos mostrando los resultados en un archivo HTML con la configuración ideal para la conexión desde la que se ha lanzado.

Utilizando como entrada de dominios las web top (2000) de Alexa, estas gráficas resumen las pruebas:



4 comments :

woezel dijo...

Está genial, mientras no te bloqueen fb o twitter, no me fio yo mucho de estos bloqueos, pero para pcs publicos puede estar muy bien (o para el pc de mi madre xD)

Juan dijo...

Esto no es nada bueno, va contra la neutralidad de la red. ¿Que pasa si una o varias de estas empresas tienen intereses en bloquear otros dominios, por ejemplo de competidores o de organizaciones que sin ser ilegales les perjudican a ellos o sus asociados? Pues que lo harán y el usuario no se enterará. La lucha contra software malicioso en internet no se ha de hacer desde los isp o los gobiernos sino diseñando sistemas operativos y navegadores seguros y estableciendo el uso por defecto en ellos de listas negras públicas pero que en última instancia esté en mano de usuario usarlas o modificarlas, de forma que siempre sea este el que tenga el control de lo que llega o no a su pc, no corporaciones con control sobre la red sobre las que el usuario de la red tiene poca o ninguna influencia.

Alejandro Ramos dijo...

@Juan, gracias por tu opinión. La buena noticia es que actualmente eres libre de usarlos o no, y si piensas que van a filtrarte contenido que deseas ver, no los uses.

La seguridad se combate en cada uno de los frentes. Delegar todo a los usuarios es el error. Los usuarios osn usuarios, tienen derecho a no saber absolutamente nada de malware.

Seguridad por defecto.

Akira Alessi dijo...

"La seguridad se combate en cada uno de los frentes." Esto es verdad.
"Delegar todo a los usuarios es el error. " Ehmmm... No se si es tan así. Algo de responsabilidad tenemos. El mejor antivirus es e USUARIO, no abrir correos de direcciones desconocidas, no clickear cualquier enlace u oferta, no navegar por sitios "non santos" ;D... La lista es larga.
"Los usuarios son usuarios, tienen derecho a no saber absolutamente nada de malware." No estoy de acuerdo, sigo diciendo que el mejor antivirus es el usuario mismo y su conducta. Claro que ayudan mucho los navegadores, ISP, etc.