Nemrég kezdtem el dolgozni egy olyan vállalatnál, amely letiltja a külső DNS-felbontást a hálózaton belüli gépekről, mivel nem ad hozzá külső továbbítókat a belső DNS-kiszolgálókhoz – az érvelés ennek hátterében a biztonság áll.
Kicsit nehéznek tűnik számomra, és problémákat okoz nekem, mivel a vállalat egyre több felhőszolgáltatás felé halad.
Tud valaki javaslatot tenni a módjára hogy kompromisszumra juthatok a biztonság érdekében? Arra gondoltam, hogy külső szállítmányozókat kell használnunk, de szűrést kell alkalmaznunk, pl. https://docs.microsoft.com/en-us/windows-server/networking/dns/deploy/apply-filters-on-dns-queries
Megjegyzések
- Számomra nem igazán világos, hogy mi is pontosan a beállítás, és milyen problémákat okoz vele. Van-e központi belső NS, amely az összes keresést maga végzi (azaz rekurzív felbontó az egész hálózathoz). Van ilyen NS minden maschine vagy virtuális gép képen? És pontosan mi ez a probléma felhőszolgáltatások használatakor?
- egy aktív címtárkörnyezet, így az összes DNS-kiszolgáló replikálja a belső DNS-zónákat (pl. servername.company.local) között, így a belső erőforrások keresése rendben van és korlátlan – de ha egy felhő szolgáltató DNS-címét kell megkeresnem, akkor ez jelenleg le van tiltva, pl. az office365.com külső keresése nyert ' nem oldható meg. Az ötletem az, hogy DNS-szűrést vagy conditonal továbbítót használjak a DNS-keresésekhez, tűzfalszabályokkal kombinálva, amelyek lehetővé teszik a hozzáférést a megfelelő IP-tartományokhoz, hogy az ügyfélgépek közvetlenül az internethez jöhessenek ezekért a szolgáltatásokért.
- Először is, kérem adjon meg ilyen lényeges információkat a kérdésben, és ne csak kommentben. De a kérdésedre: a támadási felület korlátozása mindig előnyös, és a külső hozzáférés korlátozása segít a támadási felület korlátozásában. De konkrét esetben úgy tűnik, hogy a jelenlegi politika a te munkádra is következtet. Ebben az esetben meg kell vitatnia a problémát a helyi rendszergazdákkal. Ha a javasolt megoldás lehetséges, és a konkrét esetben a legjobb módszer nem ismert.
Válasz
Amikor tűzfalak helyesen vannak konfigurálva, a DNS az út a hálózatra és onnan ki. A biztonsági szinttől függően a DNS blokkolása ott, ahol nincs rá szükség, hasznos keményítést jelenthet.
Biztonsági tanácsadóként nem ritka, hogy egy olyan rendszerben találja magát, amelynek korlátozott kiszolgálóoldali kérelemhamisítása vagy valamilyen más kiszolgálóoldali biztonsági rés. Egyes ügyfelek nagyon jól konfigurált tűzfalakkal rendelkeznek, amelyek megakadályozzák, hogy jóval továbblépjünk, de a DNS-en keresztül általában mégis többet tudhatunk meg a hálózatról, és néha hasznos adatalagutakat is beállíthatunk. Ilyen esetben a DNS letiltása jelentené a koporsó utolsó szegét.
Ez problémákat okoz nekem
Ez a kockázat: ha letiltja a DNS-t, és valakinek szüksége van rá (például a apt update esetében), akkor megkockáztathatja, hogy a rendszergazdák csúnya megoldásokat alkalmaznak, a hálózat biztonságosabbá tétele a biztonságosabb helyett. Ha nem tudja megfelelően elvégezni a munkáját, akkor a DNS teljes letiltása nem megfelelő választás.
Lehet, hogy egy korlátozott felbontású megoldás megoldás? Futtatható localhoston vagy esetleg dedikált rendszeren, és konfigurálható úgy, hogy csak a tartományok engedélyezési listáját oldja meg. Mivel megemlíti, hogy “az adatait és az alkalmazásokat más számítógépekre (” felhőre “) helyezi át, úgy hangzik, hogy csak a SaaS / * aaS szolgáltatáshoz tartozó domaineket kell megoldania, amelyeket a vállalat használ.
Az a buktató, hogy a *.cloudCorp.example.com hez hasonló tiltólistára tétele valószínűleg lehetővé teszi a támadó számára, hogy VPS-t vásároljon a cloudCorp-on, és kapjon egy megfelelő domainnevet. Erre érdemes vigyázni. De még ha ez elkerülhetetlen is (és ez nem adott), akkor jobb, mint az összes DNS-lekérdezést engedélyezni.
Válasz
A DNS kritikus fontosságú a biztonsági csapatok számára, mivel elsődleges út a láthatóság szempontjából, hogy a rendszerek kikkel beszélgetnek a külvilágon. Tehát a biztonsági csapata központosítani akarja az összes keresést és naplózza a kérelmek & válaszokat.
Számos támadási lehetőség létezik, például DNS-adatok kiszűrése, DNS-alagút, A DNS-mérgezés, valamint a DNS, mint parancs és vezérlés, így a DNS-vezérlés kritikus fontosságú a biztonsági csapat számára.
Ami le van tiltva vagy nem blokkolva, ami inkább csak részlet, azt ki kell dolgoznia az adott csapattal. / adminisztrátorok, de igen A DNS biztonsága és naplózása kritikus fontosságú minden vállalat számára.