Olen hiljattain aloittanut työskentelyn yrityksessä, joka poistaa verkon sisäisten koneiden ulkoisen DNS-tarkkuuden käytöstä lisäämättä ulkoisia huolitsijoita sisäisiin DNS-palvelimiin – perustelut tämän takana on turvallisuus.
Minusta se tuntuu hieman raskaalta ja se aiheuttaa minulle ongelmia, kun yritys siirtyy kohti enemmän pilvipalveluita.
Voiko kukaan ehdottaa tapaa ajattelin, että meidän pitäisi käyttää ulkoisia kuormatraktoreita, mutta soveltaa suodatusta, esim. https://docs.microsoft.com/en-us/windows-server/networking/dns/deploy/apply-filters-on-dns-queries
Kommentit
- Minulle ei ole oikeastaan selvää, mikä asennus on tarkalleen ja millainen ongelma sinulla on siinä. Onko heillä keskeinen sisäinen NS, joka tekee kaikki hakutoiminnot itse (ts. rekursiivinen resolveri koko verkolle). Onko heillä sellainen NS jokaisessa koneessa tai virtuaalikoneessa? Ja kuinka tämä tarkalleen on ongelma pilvipalveluja käytettäessä?
- Se on aktiivinen hakemistoympäristö, joten kaikki DNS-palvelimet kopioivat sisäiset DNS-vyöhykkeet (esim. servname.company.local) keskenään, joten sisäisten resurssien haku on hieno ja rajoittamaton – mutta jos minun täytyy etsiä pilvipalvelun DNS-osoite, tämä on tällä hetkellä estetty, esim. ulkoinen haku osoitteeseen office365.com voitti ' ei ratkaise. Ajatukseni on käyttää DNS-suodatusta tai conditonal forwarderia DNS-hakuihin yhdistettynä palomuurisääntöihin, jotka antavat pääsyn sopiville IP-alueille, jotta asiakaslaitteet voivat siirtyä suoraan Internetiin näiden palvelujen vuoksi
- antaa tällaisia olennaisia tietoja kysymyksessä eikä vain kommenteissa. Mutta kysymykseesi: hyökkäyspinnan rajoittaminen on aina hyödyllistä ja ulkopuolelle pääsyn rajoittaminen auttaa rajoittamaan hyökkäyspintaa. Mutta sinun tapauksessasi näyttää siltä, että nykyinen käytäntö päättelee myös tekemäsi työn. Tässä tapauksessa sinun on keskusteltava asiasta paikallisten järjestelmänvalvojien kanssa. Jos ehdotettu ratkaisu on mahdollinen ja parasta tapaa tapauksessasi ei tunneta.
Vastaa
Kun palomuurit on määritetty oikein, DNS on tapa päästä verkkoon ja ulos verkosta. Turvallisuustasostasi riippuen DNS: n estäminen siellä, missä sitä ei tarvita, voi olla hyödyllistä kovettumista.
Turvakonsulttina ei ole niin harvinaista, että löydät itsesi järjestelmään, jossa on rajoitettu palvelinpuolen pyyntöjen väärentäminen tai jokin muu palvelinpuolen haavoittuvuus. Joillakin asiakkailla on hyvin määritetyt palomuurit, jotka estävät meitä käyttämästä sitä paljon pidemmälle, mutta DNS: n kautta voimme yleensä silti oppia lisää verkosta ja joskus määrittää hyödyllisiä tietotunneleita. Tällöin DNS: n poistaminen käytöstä olisi arkun viimeinen kynsi.
se aiheuttaa minulle ongelmia
Tämä on riski: jos poistat DNS: n käytöstä ja joku tarvitsee sitä (esimerkiksi apt update), saatat vaarassa, että sysadminit käyttävät rumia kiertotapoja verkon tehostaminen vähemmän turvalliseksi turvallisemman sijasta. Jos et voi tehdä töitäsi oikein, DNS: n poistaminen kokonaan käytöstä ei ole oikea valinta.
Voisiko rajoitettu resolveri olla ratkaisu? Se voi toimia localhostilla tai ehkä omistetussa järjestelmässä, ja se voidaan määrittää ratkaisemaan vain verkkotunnusten sallittujen luettelo. Koska mainitset, että siirrät tietojasi ja sovelluksiasi muiden tietokoneisiin (”pilvi”), kuulostaa siltä, että sinun on ehkä ratkaistava vain yrityksesi käyttämälle SaaS / * aaS -palvelulle kuuluvat verkkotunnukset.
Ongelmana on, että sallittujen luetteloon lisääminen esimerkiksi *.cloudCorp.example.com antaa hyökkääjälle todennäköisesti mahdollisuuden ostaa VPS CloudCorpista ja saada vastaava verkkotunnus. Se olisi jotain varoa. Mutta vaikka tämä on väistämätöntä (ja se ei ole annettu), se on parempi kuin sallia kaikki DNS-kyselyt.
Vastaa
DNS on kriittinen tietoturvaryhmille, koska se on ensisijainen tapa nähdä, mitkä järjestelmät puhuvat kenen kanssa ulkomaailmassa. Joten tietoturvaryhmäsi haluaa keskittää kaikki hakut ja kirjata pyynnöt &.
On olemassa useita hyökkäysmahdollisuuksia, kuten DNS-tietojen suodatus, DNS-tunnelointi, DNS-myrkytys ja DNS komentona ja kontrollina, joten DNS: n hallinta on kriittinen tietoturvaryhmälle.
Mitä on estetty tai estetty, mikä on enemmän yksityiskohtia, sinun on selvitettävä tiimisi kanssa / administraattorit, mutta kyllä DNS-suojaus ja loki on kriittinen jokaiselle yritykselle.