Jeg er for nylig begyndt at arbejde for en virksomhed, der deaktiverer ekstern DNS-opløsning fra maskinerne inde i netværket ved ikke at tilføje eksterne videresendere til de interne DNS-servere – ræsonnementet bag dette er af sikkerhedshensyn.
Det virker lidt hårdhændet for mig, og det forårsager problemer, når virksomheden bevæger sig mod flere skytjenester.
Kan nogen foreslå en måde at jeg kunne nå et kompromis for at give sikkerhed? Jeg tænkte, at vi skulle bruge eksterne videresendere, men anvende filtrering, f.eks. https://docs.microsoft.com/en-us/windows-server/networking/dns/deploy/apply-filters-on-dns-queries
Kommentarer
- Det er ikke rigtig klart for mig, hvad opsætningen nøjagtigt er, og hvilken slags problem du har med det. Har de en central intern NS, som alle søger i sig selv (dvs. rekursiv resolver for hele netværket). Har de sådan en NS på hver maskine eller VM-billede? Og hvordan er dette nøjagtigt et problem, når man bruger cloud-tjenester?
- Det er et aktivt katalogmiljø, så alle DNS-servere replikerer de interne DNS-zoner (f.eks. servername.company.local) mellem hinanden, så opslag på interne ressourcer er fine og ubegrænsede – men hvis jeg har brug for at finde en DNS-adresse til en skyudbyder, er dette i øjeblikket blokeret, f.eks. en ekstern opslag til office365.com vandt ' t løsning. Min idé er at bruge DNS-filtrering eller en betinget videresender til DNS-opslag kombineret med firewallregler, der giver adgang til de relevante IP-intervaller, så klientmaskinerne kan gå direkte til internettet for disse tjenester
- Først bedes give sådanne vigtige oplysninger i spørgsmålet og ikke kun i en kommentar. Men til dit spørgsmål: at begrænse angrebsoverfladen er altid gavnligt, og at begrænse adgangen udefra hjælper med at begrænse angrebsoverfladen. Men i dit specifikke tilfælde ser det ud til, at den nuværende politik også følger det arbejde, du skal udføre. I dette tilfælde skal du diskutere problemet med dine lokale systemadministratorer. Hvis din foreslåede løsning er mulig, og den bedste måde i dit specifikke tilfælde er ukendt.
Svar
Når firewalls er korrekt konfigureret, er DNS vores vej ind og ud af netværket. Afhængigt af dit sikkerhedsniveau kan blokering af DNS, hvor det ikke er nødvendigt, være nyttig hærdning.
Som sikkerhedskonsulent er det ikke så ualmindeligt at finde dig selv i et system med en begrænset forfalskning på serversiden eller en anden sårbarhed på serversiden. Nogle kunder har meget velkonfigurerede firewalls, som forhindrer os i at bruge det til at komme meget længere, men gennem DNS kan vi typisk stadig lære mere om netværket og nogle gange opsætte nyttige datatunneler. I et sådant tilfælde ville deaktivering af DNS være det sidste søm i kisten.
det forårsager problemer
Det er risikoen: Hvis du deaktiverer DNS, og nogen har brug for det (for eksempel til apt update), risikerer du, at sysadmins bruger grimme løsninger, at gøre netværket mindre sikkert i stedet for mere sikkert. Hvis du ikke kan udføre dit arbejde korrekt, er det ikke det rigtige valg at deaktivere DNS helt.
Kan en begrænset opløsning være en løsning? Det kunne køre på localhost eller måske på et dedikeret system, og det kunne konfigureres til kun at løse en hvidliste over domæner. Da du nævner, at du “flytter dine data og applikationer til andre menneskers computere (” skyen “), lyder det som om du muligvis kun behøver at løse de domæner, der hører til den SaaS / * aaS-tjeneste, din virksomhed bruger.
Den faldgrube der er, at hvidliste noget som *.cloudCorp.example.com sandsynligvis tillader en hacker at købe en VPS på cloudCorp og få et matchende domænenavn. Det ville være noget at passe på. Men selvom dette er uundgåeligt (og det er ikke en given), er det bedre end at tillade alle DNS-forespørgsler.
Svar
DNS er afgørende for sikkerhedsteam, da det er en primær vej til synlighed af, hvilke systemer der taler med hvem på omverdenen. Så dit sikkerhedsteam vil ønske at centralisere alle opslag og logge anmodningerne & svar.
Der er masser af angrebsmuligheder såsom DNS-dataeksfiltrering, DNS-tunneling, DNS-forgiftning og DNS som kommando og kontrol, så det er vigtigt at kontrollere DNS for et sikkerhedsteam.
Hvad der er blokeret eller ikke blokeret, det er mere af en detalje, skal du træne med dit specifikke team / administratorer, men ja DNS-sikkerhed og logning er afgørende for alle virksomheder.