Recientemente comencé a trabajar para una empresa que deshabilita la resolución DNS externa de las máquinas dentro de la red al no agregar reenviadores externos a los servidores DNS internos: el razonamiento detrás de esto es por seguridad.
Me parece un poco torpe y me está causando problemas a medida que la empresa avanza hacia más servicios en la nube.
¿Alguien puede sugerir una forma que podría llegar a un compromiso para proporcionar seguridad? Estaba pensando que deberíamos usar reenviadores externos pero aplicar filtros, por ejemplo, https://docs.microsoft.com/en-us/windows-server/networking/dns/deploy/apply-filters-on-dns-queries
Comentarios
- No me queda muy claro cuál es exactamente la configuración y qué tipo de problema tienes con ella. ¿Tienen una central NS interno que realiza todas las búsquedas por sí mismo (es decir, un solucionador recursivo para toda la red). ¿Tienen un NS de este tipo en cada máquina o imagen de VM? ¿Y cómo es exactamente esto un problema cuando se utilizan servicios en la nube?
- es un entorno de directorio activo, por lo que todos los servidores DNS replican las zonas DNS internas (p. Ej. servername.company.local) entre sí, por lo que las búsquedas de recursos internos están bien y sin restricciones, pero si necesito buscar una dirección DNS para un proveedor en la nube, esto está bloqueado actualmente, por ejemplo, una búsqueda externa para office365.com ganó ' t resolver. Mi idea es utilizar el filtrado de DNS o un reenviador conditonal para las búsquedas de DNS combinado con reglas de firewall que permitan el acceso a los rangos de IP apropiados para permitir que las máquinas cliente accedan directamente a Internet para estos servicios
- Primero, por favor proporcione dicha información esencial en la pregunta y no solo en un comentario. Pero a su pregunta: limitar la superficie de ataque siempre es beneficioso y limitar el acceso al exterior ayuda a limitar la superficie de ataque. Pero en su caso específico, parece que la política actual también infiere el trabajo que tiene que hacer. En este caso, debe discutir el problema con los administradores de su sistema local. Si la solución propuesta es posible y se desconoce la mejor manera en su caso específico.
Responda
Cuando los firewalls están configurados correctamente, DNS es nuestro camino dentro y fuera de la red. Dependiendo de su nivel de seguridad, bloquear DNS donde no es necesario puede ser útil para reforzar.
Como consultor de seguridad, no es tan raro encontrarse en un sistema con una falsificación limitada de solicitudes del lado del servidor o alguna otra vulnerabilidad del lado del servidor. Algunos clientes tienen cortafuegos muy bien configurados que nos impiden usarlos para llegar mucho más lejos, pero a través del DNS normalmente podemos aprender más sobre la red y, a veces, configurar túneles de datos útiles. En tal caso, deshabilitar el DNS sería el último clavo en el ataúd.
me está causando problemas
Ese es el riesgo: si deshabilita el DNS y alguien lo necesita (por ejemplo, para apt update), corre el riesgo de que los administradores de sistemas utilicen soluciones desagradables, hacer que la red sea menos segura en lugar de más segura. Si no puede hacer su trabajo correctamente, deshabilitar el DNS por completo no es la opción correcta.
¿Podría ser una solución un solucionador limitado? Podría ejecutarse en localhost o quizás en un sistema dedicado, y podría configurarse para resolver solo una lista blanca de dominios. Dado que menciona que «está moviendo sus datos y aplicaciones a las computadoras de otras personas (» la nube «), parece que solo necesita resolver los dominios que pertenecen a cualquier servicio SaaS / * aaS que use su empresa.
El problema es que incluir en la lista blanca algo como *.cloudCorp.example.com probablemente le permita a un atacante comprar un VPS en cloudCorp y obtener un nombre de dominio coincidente. Eso sería algo a tener en cuenta. Pero incluso si esto es inevitable (y no es un hecho), es mejor que permitir todas las consultas de DNS.
Respuesta
El DNS es fundamental para los equipos de seguridad, ya que es una vía principal para la visibilidad de qué sistemas están hablando con quién en el mundo exterior. Por lo tanto, su equipo de seguridad querrá centralizar todas las búsquedas y registrar las solicitudes & respuestas.
Hay muchas vías de ataque como la exfiltración de datos de DNS, tunelización de DNS, Envenenamiento de DNS y DNS como comando y control, por lo que controlar el DNS es fundamental para un equipo de seguridad.
En cuanto a lo que está bloqueado o no bloqueado, es más un detalle que necesitaría trabajar con su equipo específico. / administradores, pero sí, la seguridad del DNS y el registro son fundamentales para todas las empresas.