Nedávno jsem začal pracovat pro společnost, která zakazuje externí rozlišení DNS ze strojů v síti nepřidáváním externích serverů pro předávání k interním serverům DNS – důvod za tím stojí bezpečnost.
Zdá se mi to trochu těžké a způsobuje mi to problémy, když se společnost pohybuje směrem k více cloudovým službám.
Může někdo navrhnout způsob že bych mohl dosáhnout kompromisu a zajistit bezpečnost? Myslel jsem, že bychom měli použít externí forwardery, ale použít filtrování, např. https://docs.microsoft.com/en-us/windows-server/networking/dns/deploy/apply-filters-on-dns-queries
Komentáře
- Není mi úplně jasné, co přesně to nastavení je a jaký máte s ním problém. Mají centrální interní NS, který sám vyhledává (tj. rekurzivní resolver pro celou síť). Mají takový NS na každém obrazu stroje nebo VM? A jak přesně to je problém při používání cloudových služeb?
- It s prostředím aktivního adresáře, takže všechny servery DNS replikují interní zóny DNS (např. název_serveru.firma.local) mezi sebou, takže vyhledávání interních zdrojů je v pořádku a neomezené – ale pokud potřebuji vyhledat adresu DNS pro poskytovatele cloudu, je to aktuálně blokováno, např. externí vyhledávání pro office365.com won ' řešení. Moje myšlenka je použít filtrování DNS nebo podmíněný server pro vyhledávání DNS v kombinaci s pravidly brány firewall, které umožňují přístup k příslušným rozsahům IP adres, aby klientské počítače mohly pro tyto služby přejít přímo na internet.
- Nejprve prosím uveďte takové základní informace v otázce, nejen v komentáři. Ale k vaší otázce: omezení útočné plochy je vždy výhodné a omezení přístupu ven pomáhá omezit útočnou plochu. Ale ve vašem konkrétním případě to vypadá, že současná politika také odvozuje práci, kterou musíte udělat. V takovém případě musíte problém prodiskutovat s místními správci systému. Pokud je navrhované řešení možné a nejlepší způsob ve vašem konkrétním případě není znám.
Odpovědět
Když brány firewall jsou správně nakonfigurovány, DNS je naše cesta do a ze sítě. V závislosti na vaší úrovni zabezpečení může být užitečné blokování DNS tam, kde to není nutné.
Jako bezpečnostní konzultant není neobvyklé, že se ocitnete v systému s omezeným paděláním požadavků na straně serveru nebo nějaká další chyba zabezpečení na straně serveru. Někteří zákazníci mají velmi dobře nakonfigurované brány firewall, které nám brání v tom, abychom se dostali mnohem dále, ale prostřednictvím DNS se obvykle můžeme stále dozvědět více o síti a někdy nastavit užitečné datové tunely. V takovém případě by deaktivace DNS byla posledním hřebíkem do rakve.
způsobuje mi to problémy
To je riziko: pokud zakážete DNS a někdo jej potřebuje (například pro apt update), riskujete, že sysadmini použijí ošklivá řešení, aby byla síť méně zabezpečená místo bezpečnější. Pokud nemůžete pracovat správně, není úplné zakázání DNS správná volba.
Může být řešením omezený překladač? Mohlo by to běžet na localhost nebo snad na vyhrazeném systému a mohlo by to být nakonfigurováno tak, aby vyřešilo pouze whitelist domén. Jelikož jste zmínili, že „přesouváte svá data a aplikace do počítačů jiných lidí („ cloud “), zní to, jako byste možná potřebovali vyřešit pouze domény patřící do jakékoli služby SaaS / * aaS, kterou vaše společnost používá.
Úskalí je v tom, že seznam povolených položek jako *.cloudCorp.example.com pravděpodobně umožňuje útočníkovi koupit VPS v cloudCorp a získat odpovídající název domény. To by bylo něco, na co si dát pozor. Ale i když je to nevyhnutelné (a to není dané), je to lepší než povolit všechny dotazy DNS.
Odpovědět
DNS je pro bezpečnostní týmy zásadní, protože je primární cestou k viditelnosti toho, jaké systémy mluví s kým na vnějším světě. Váš bezpečnostní tým tedy bude chtít centralizovat všechna vyhledávání a zaznamenávat odpovědi &.
Existuje spousta možností útoku, jako je například exfiltrace dat DNS, tunelování DNS, Otrava DNS a DNS jako příkaz a řízení, takže ovládání DNS je pro tým zabezpečení zásadní.
Pokud jde o to, co je blokováno nebo neblokováno, je to více podrobností, které byste museli vyřešit se svým konkrétním týmem / administrátoři, ale ano, zabezpečení DNS a protokolování je pro každou společnost zásadní.