DEV Community

Arcadio Ortega Reinoso
Arcadio Ortega Reinoso

Posted on

Actuando sobre la Seguridad Perimetral: Cómo Implementar un Cortafuegos Dinámico basado en el Comportamiento DNS

#cybersecurity #dns #firewall #perimetral

En el panorama actual de la ciberseguridad, los métodos tradicionales de filtrado a menudo se quedan cortos ante usuarios que utilizan VPNs, túneles o servidores DNS externos para evadir políticas corporativas. Para abordar este reto, he desarrollado un ecosistema de dos herramientas complementarias: Network Sniffer y DNS Traffic Controller, diseñadas para transformar la navegación de los usuarios en reglas de firewall inteligentes y en tiempo real.

El Concepto: "Si no hay consulta DNS, no hay tráfico"

La filosofía central de esta solución es la visibilidad total. La idea base consiste en capturar todas las peticiones DNS de la red y actuar sobre cualquier dirección IP que no haya sido obtenida mediante una resolución previa. Este enfoque de "lista blanca dinámica" asegura que los dispositivos no puedan conectarse a IPs "hardcodeadas" o servidores maliciosos que intenten saltarse la resolución estándar del sistema.

1. Fase de Análisis: Network Sniffer

Antes de bloquear, es vital entender el tráfico. Network Sniffer es una herramienta para Ubuntu que permite capturar y clasificar las conexiones entrantes y salientes.

  • Captura Inteligente: Utiliza tcpdump para monitorizar consultas DNS y Scapy para el análisis de paquetes, extrayendo metadatos clave como el SNI (Server Name Indication) incluso en tráfico cifrado TLS.
  • Clasificación de Riesgo Offline: Una de sus mayores ventajas es que realiza un análisis 100% offline de amenazas utilizando bases de datos como Spamhaus DROP y MaxMind GeoLite2.
  • Generación de Blocklists: Tras el análisis (ya sea en tiempo real o mediante consulta posterior a logs JSON/TXT), la herramienta puede exportar listas de bloqueo automáticas en formatos compatibles con MikroTik, iptables, DNSMasq y BIND.

2. Fase de Control: DNS Traffic Controller

Una vez definido el comportamiento deseado, DNS Traffic Controller se encarga de la ejecución de las reglas. Esta herramienta ofrece dos modos de operación según la infraestructura necesaria.

Modo Router (Filtro Perimetral)

Es la solución ideal para una empresa. Actúa como un gateway/router usando ipset e iptables para una eficiencia máxima.

  1. Proxy DNS Transparente: Intercepta todas las queries DNS (puerto 53) y las redirige a un proxy local.
  2. Autorización Dinámica: Cuando un usuario consulta un dominio legítimo, el sistema obtiene las IPs resueltas y las añade automáticamente al conjunto dns_allowed de ipset.
  3. Filtrado Estricto: El firewall permite el tráfico solo hacia las IPs presentes en ese conjunto, bloqueando todo lo demás de forma predeterminada.

Bloqueos Avanzados y Evasión

Para evitar que los usuarios salten el muro, el sistema incluye reglas específicas para denegar:

  • DNS Externos y Cifrados: Bloquea DNS sobre TLS (puerto 853), DoH (DoH-block) y el uso de QUIC/HTTP3 (puerto 443 UDP).
  • VPNs y Túneles: Detecta y bloquea protocolos de VPN conocidos (OpenVPN, WireGuard, IPsec) y herramientas de tunelización como ngrok o Cloudflare Tunnel.
  • Contenido No Deseado: Incluye soporte para listas negras de control parental, educativo y dominios sospechosos.

Integración en el Flujo de Trabajo Empresarial

Este conjunto de herramientas permite establecer un ciclo de seguridad cerrado:

  1. Monitorización con Network Sniffer: Se analizan los patrones de navegación para identificar qué dominios son necesarios para la actividad empresarial.
  2. Establecimiento de la Entrada del Firewall: Con los datos capturados, se configura el DNS Traffic Controller para que actúe como la barrera de entrada, permitiendo solo lo estrictamente resuelto mediante el DNS corporativo.
  3. Auditoría y Refinamiento: Se generan informes periódicos (en HTML o JSON) para ajustar las listas negras y blancas, detectando posibles intentos de conexión a países de alto riesgo (como KP, IR o SY) o puertos sospechosos de troyanos.

Fortalezas técnicas para destacar en el artículo

  • Eficiencia con ipset: En el modo Router Controller, el uso de ipset es un factor diferencial. Permite manejar grandes listas de IPs permitidas o bloqueadas sin degradar el rendimiento del firewall, algo crucial para entornos empresariales con mucho tráfico.
  • Análisis 100% Offline: Es un gran argumento de venta para la privacidad. Network Sniffer realiza geolocalización (MaxMind) y detección de amenazas (Spamhaus DROP) de forma local, evitando que los metadatos de la empresa salgan a APIs externas durante el análisis.
  • Detección de Evasión Avanzada: Tus herramientas no solo filtran por IP/Dominio; también están preparadas para bloquear DNS sobre TLS (puerto 853), QUIC/HTTP3 (puerto 443 UDP) y herramientas de tunelización como ngrok o Cloudflare Tunnel, que son los métodos habituales para saltarse firewalls tradicionales.
  • Modo "Deep" para Auditoría: El Network Sniffer en su modo profundo aporta un valor forense importante al incluir resolución PTR, WHOIS y detección de proveedores de Cloud/Hosting, lo que permite a un administrador saber exactamente quién es el dueño de la infraestructura a la que se conectan sus usuarios.
  • Versatilidad de Exportación e Integración: Una de las mayores ventajas de este ecosistema es su capacidad para convertir el análisis de red en reglas ejecutables de forma casi instantánea. Network Sniffer no solo identifica amenazas, sino que permite exportar automáticamente listas de bloqueo (blocklists) en formatos nativos para las infraestructuras más comunes. Esto incluye scripts .rsc para MikroTik, configuraciones de zona para BIND y Unbound, directivas para DNSMasq, así como reglas de filtrado para iptables o formatos universales como archivos Hosts y CSV. Esta interoperabilidad garantiza que la inteligencia de seguridad generada pueda integrarse sin fricciones en firewalls y servidores DNS ya existentes, permitiendo a los administradores ajustar el nivel de restricción según un umbral de riesgo personalizado.

Conclusión

Al combinar la capacidad de análisis profundo de Network Sniffer con el control dinámico de DNS Traffic Controller, las organizaciones pueden pasar de un modelo de seguridad pasivo a uno proactivo. Ya no se trata solo de bloquear lo conocido como malo, sino de permitir únicamente lo que el sistema ha validado previamente a través de una consulta legítima.

Si quieres explorar el código o contribuir al proyecto, ambos repositorios están disponibles en mi perfil de GitHub:

Top comments (0)