Jai récemment commencé à travailler pour une entreprise qui désactive la résolution DNS externe des machines à lintérieur du réseau en najoutant pas de transitaires externes aux serveurs DNS internes – le raisonnement derrière cela, cest pour la sécurité.
Cela me semble un peu lourd et cela me cause des problèmes alors que la société évolue vers plus de services cloud.
Quelquun peut-il suggérer un moyen que je pourrais trouver un compromis pour assurer la sécurité? Je pensais que nous devrions utiliser des transitaires externes mais appliquer un filtrage, par exemple https://docs.microsoft.com/en-us/windows-server/networking/dns/deploy/apply-filters-on-dns-queries
Commentaires
- Ce nest pas vraiment clair pour moi quelle est la configuration exacte et quel type de problème vous avez avec elle. NS interne qui effectue toutes les recherches lui-même (cest-à-dire le résolveur récursif pour lensemble du réseau). Ont-ils un tel NS sur chaque image de maschine ou de VM? Et comment est-ce exactement un problème lors de lutilisation de services cloud? est un environnement Active Directory afin que tous les serveurs DNS répliquent les zones DNS internes (par ex. servername.company.local) entre eux, donc les recherches de ressources internes sont correctes et illimitées – mais si jai besoin de rechercher une adresse DNS pour un fournisseur de cloud, cela est actuellement bloqué, par exemple une recherche externe pour office365.com a gagné ' t résoudre. Mon idée est dutiliser le filtrage DNS ou un transitaire conditionnel pour les recherches DNS combiné à des règles de pare-feu permettant daccéder aux plages dadresses IP appropriées pour permettre aux machines clientes daccéder directement à Internet pour ces services
- Premièrement, veuillez fournir ces informations essentielles dans la question et pas seulement dans un commentaire. Mais à votre question: limiter la surface dattaque est toujours bénéfique et limiter laccès à lextérieur permet de limiter la surface dattaque. Mais dans votre cas particulier, il semble que la politique actuelle induit également le travail que vous avez à faire. Dans ce cas, vous devez discuter du problème avec vos administrateurs système locaux. Si la solution que vous proposez est possible et que le meilleur moyen dans votre cas spécifique est inconnu.
Réponse
Quand les pare-feu sont correctement configurés, DNS est notre moyen dentrer et de sortir du réseau. En fonction de votre niveau de sécurité, bloquer le DNS là où il nest pas nécessaire peut être un renforcement utile.
En tant que consultant en sécurité, il nest pas si rare de se retrouver dans un système avec une falsification de requête côté serveur limitée ou une autre vulnérabilité côté serveur. Certains clients ont des pare-feu très bien configurés qui nous empêchent de lutiliser pour aller beaucoup plus loin, mais grâce au DNS, nous pouvons généralement en apprendre davantage sur le réseau et parfois configurer des tunnels de données utiles. Dans un tel cas, la désactivation du DNS serait le dernier clou du cercueil.
cela me pose des problèmes
Cest le risque: si vous désactivez le DNS et que quelquun en a besoin (par exemple pour apt update), vous risquez que les administrateurs système utilisent des solutions de contournement laides, rendre le réseau moins sécurisé plutôt que plus sécurisé. Si vous ne pouvez pas faire votre travail correctement, la désactivation du DNS nest pas le bon choix.
Un résolveur limité pourrait-il être une solution? Il pourrait fonctionner sur localhost ou peut-être sur un système dédié, et il pourrait être configuré pour ne résoudre quune liste blanche de domaines. Puisque vous dites que vous « déplacez vos données et applications vers les ordinateurs dautres personnes ( » le cloud « ), il semblerait que vous nayez à résoudre que les domaines appartenant au service SaaS / * aaS utilisé par votre entreprise.
Le piège est que la liste blanche de quelque chose comme *.cloudCorp.example.com permet probablement à un attaquant dacheter un VPS chez cloudCorp et dobtenir un nom de domaine correspondant. Ce serait quelque chose à surveiller. Mais même si cela est inévitable (et ce nest pas donné), cest mieux que dautoriser toutes les requêtes DNS.
Réponse
Le DNS est essentiel pour les équipes de sécurité car il sagit dun moyen principal de visibilité sur les systèmes qui parlent à qui dans le monde extérieur. Votre équipe de sécurité voudra donc centraliser toutes les recherches et enregistrer les réponses des requêtes &.
Il existe de nombreuses voies dattaque telles que lexfiltration de données DNS, le tunneling DNS, Empoisonnement DNS, et DNS comme commande et contrôle, le contrôle du DNS est donc essentiel pour une équipe de sécurité.
Quant à ce qui est bloqué ou non bloqué, cest plus un détail que vous auriez besoin de travailler avec votre équipe spécifique / administrators, mais oui, la sécurité DNS et la journalisation sont essentielles pour chaque entreprise.