Ich habe kürzlich begonnen, für ein Unternehmen zu arbeiten, das die externe DNS-Auflösung von den Computern im Netzwerk deaktiviert, indem den internen DNS-Servern keine externen Weiterleitungen hinzugefügt werden – die Begründung Dahinter steht die Sicherheit.
Es scheint mir ein bisschen hartnäckig zu sein und es verursacht mir Probleme, wenn das Unternehmen mehr Cloud-Dienste anbietet.
Kann jemand einen Weg vorschlagen Ich dachte, wir sollten externe Weiterleitungen verwenden, aber Filter anwenden, z. B. https://docs.microsoft.com/en-us/windows-server/networking/dns/deploy/apply-filters-on-dns-queries
Kommentare
- Es ist mir nicht wirklich klar, was das Setup genau ist und welche Art von Problem Sie damit haben. Haben sie eine zentrale Interner NS, der alle Suchvorgänge selbst durchführt (dh rekursiver Resolver für das gesamte Netzwerk). Haben sie einen solchen NS auf jeder Maschine oder jedem VM-Image? Und wie genau ist dies ein Problem bei der Verwendung von Cloud-Diensten?
- ist eine Active Directory-Umgebung, sodass alle DNS-Server die internen DNS-Zonen replizieren (z. servername.company.local) untereinander, sodass die Suche nach internen Ressourcen in Ordnung und uneingeschränkt ist. Wenn ich jedoch eine DNS-Adresse für einen Cloud-Anbieter suchen muss, ist diese derzeit blockiert, z. B. eine externe Suche nach office365.com won ' nicht auflösen. Meine Idee ist es, eine DNS-Filterung oder eine bedingte Weiterleitung für die DNS-Suche in Kombination mit Firewall-Regeln zu verwenden, die den Zugriff auf die entsprechenden IP-Bereiche ermöglichen, damit die Client-Computer für diese Dienste direkt ins Internet gehen können.
- Bitte zuerst Geben Sie solche wesentlichen Informationen in der Frage und nicht nur in einem Kommentar an. Aber zu Ihrer Frage: Die Begrenzung der Angriffsfläche ist immer von Vorteil, und die Einschränkung des Zugangs nach außen hilft, die Angriffsfläche zu begrenzen. In Ihrem speziellen Fall sieht es jedoch so aus, als würde die aktuelle Richtlinie auch die Arbeit beeinflussen, die Sie erledigen müssen. In diesem Fall müssen Sie das Problem mit Ihren lokalen Systemadministratoren besprechen. Wenn Ihre vorgeschlagene Lösung möglich ist und der beste Weg in Ihrem speziellen Fall unbekannt ist.
Antwort
Bei Firewalls richtig konfiguriert sind, ist DNS unser Weg in und aus dem Netzwerk. Abhängig von Ihrer Sicherheitsstufe kann das Blockieren von DNS dort, wo es nicht benötigt wird, eine nützliche Absicherung sein.
Als Sicherheitsberater ist es nicht ungewöhnlich, dass Sie sich in einem System mit einer eingeschränkten Fälschung von serverseitigen Anforderungen befinden oder eine andere serverseitige Sicherheitsanfälligkeit. Einige Kunden haben sehr gut konfigurierte Firewalls, die uns daran hindern, viel weiter zu kommen. Über DNS können wir jedoch in der Regel noch mehr über das Netzwerk erfahren und manchmal nützliche Datentunnel einrichten. In einem solchen Fall wäre das Deaktivieren von DNS der letzte Nagel im Sarg.
es verursacht mir Probleme
Das ist das Risiko: Wenn Sie DNS deaktivieren und jemand es benötigt (zum Beispiel für apt update), riskieren Sie, dass Sysadmins hässliche Problemumgehungen verwenden. Das Netzwerk wird weniger sicher als sicherer. Wenn Sie Ihre Arbeit nicht ordnungsgemäß ausführen können, ist das Deaktivieren von DNS insgesamt nicht die richtige Wahl.
Könnte ein eingeschränkter Resolver eine Lösung sein? Es kann auf localhost oder möglicherweise auf einem dedizierten System ausgeführt und so konfiguriert werden, dass nur eine Whitelist von Domänen aufgelöst wird. Da Sie erwähnen, dass Sie Ihre Daten und Anwendungen auf die Computer anderer Personen („die Cloud“) verschieben, müssen Sie möglicherweise nur die Domänen auflösen, die zu dem von Ihrem Unternehmen verwendeten SaaS / * aaS-Dienst gehören.
Die Gefahr besteht darin, dass eine Whitelist wie *.cloudCorp.example.com es einem Angreifer wahrscheinlich ermöglicht, einen VPS bei cloudCorp zu kaufen und einen passenden Domainnamen zu erhalten. Darauf sollte man achten. Aber selbst wenn dies unvermeidlich ist (und das ist nicht selbstverständlich), ist es besser, als alle DNS-Abfragen zuzulassen.
Antwort
DNS ist für Sicherheitsteams von entscheidender Bedeutung, da es eine wichtige Möglichkeit darstellt, um zu sehen, welche Systeme mit wem in der Außenwelt sprechen. Daher möchte Ihr Sicherheitsteam alle Suchvorgänge zentralisieren und die Antworten & protokollieren.
Es gibt viele Angriffsmöglichkeiten wie DNS-Datenexfiltration, DNS-Tunneling, DNS-Vergiftung und DNS als Befehl und Kontrolle, daher ist die Kontrolle von DNS für ein Sicherheitsteam von entscheidender Bedeutung.
Was blockiert oder nicht blockiert ist, ist ein Detail, das Sie mit Ihrem spezifischen Team ausarbeiten müssten / Administratoren, aber ja, DNS-Sicherheit und -Protokollierung sind für jedes Unternehmen von entscheidender Bedeutung.