Recentemente ho iniziato a lavorare per unazienda che disabilita la risoluzione DNS esterna dalle macchine allinterno della rete non aggiungendo forwarder esterni ai server DNS interni – il ragionamento dietro questo cè la sicurezza.
Mi sembra un po pesante e mi sta causando problemi mentre la società si sposta verso più servizi cloud.
Qualcuno può suggerire un modo che avrei potuto raggiungere un compromesso per fornire sicurezza? Pensavo che dovremmo utilizzare server di inoltro esterni ma applicare il filtro, ad esempio https://docs.microsoft.com/en-us/windows-server/networking/dns/deploy/apply-filters-on-dns-queries
Commenti
- Non è molto chiaro per me quale sia esattamente la configurazione e che tipo di problema hai con essa. Hanno una centrale NS interno che esegue tutte le ricerche da solo (cioè resolver ricorsivo per lintera rete). Hanno un NS di questo tipo su ogni macchina o immagine VM? E in che modo esattamente questo è un problema quando si utilizzano servizi cloud?
- è un ambiente Active Directory in modo che tutti i server DNS replichino le zone DNS interne (ad es. servername.company.local) tra di loro quindi le ricerche per le risorse interne vanno bene e senza restrizioni, ma se ho bisogno di cercare un indirizzo DNS per un provider di cloud questo è attualmente bloccato, ad esempio una ricerca esterna per office365.com ha vinto ' t risolvere. La mia idea è di utilizzare il filtro DNS o un forwarder condizionale per le ricerche DNS combinate con le regole del firewall che consentono laccesso agli intervalli IP appropriati per consentire alle macchine client di accedere direttamente a Internet per questi servizi
- Innanzitutto, per favore fornire tali informazioni essenziali nella domanda e non solo in un commento. Ma alla tua domanda: limitare la superficie di attacco è sempre vantaggioso e limitare laccesso allesterno aiuta a limitare la superficie di attacco. Ma nel tuo caso specifico sembra che lattuale politica dipenda anche dal lavoro che devi fare. In questo caso è necessario discutere il problema con gli amministratori di sistema locali. Se la soluzione proposta è possibile e il modo migliore nel tuo caso specifico è sconosciuto.
Rispondi
Quando i firewall sono configurati correttamente, il DNS è il nostro modo di entrare e uscire dalla rete. A seconda del livello di sicurezza, bloccare il DNS dove non è necessario può essere utile rafforzamento.
In qualità di consulente per la sicurezza, non è così raro trovarsi in un sistema con una richiesta lato server limitata o contraffazione qualche altra vulnerabilità lato server. Alcuni clienti hanno firewall molto ben configurati che ci impediscono di usarlo per andare molto oltre, ma attraverso il DNS possiamo in genere ancora saperne di più sulla rete e talvolta impostare utili tunnel di dati. In tal caso, disabilitare il DNS sarebbe lultimo chiodo nella bara.
mi sta causando problemi
Questo è il rischio: se disabiliti il DNS e qualcuno ne ha bisogno (ad esempio per apt update), rischi che gli amministratori di sistema usino soluzioni alternative brutte, rendere la rete meno sicura invece che più sicura. Se non riesci a svolgere il tuo lavoro correttamente, disabilitare del tutto il DNS non è la scelta giusta.
Un risolutore limitato potrebbe essere una soluzione? Potrebbe essere eseguito su localhost o forse su un sistema dedicato e potrebbe essere configurato per risolvere solo una whitelist di domini. Dal momento che dici che stai spostando i tuoi dati e le tue applicazioni sui computer di altre persone (“il cloud”), sembra che potresti dover risolvere solo i domini appartenenti a qualsiasi servizio SaaS / * aaS utilizzato dalla tua azienda.
La trappola è che inserire nella whitelist qualcosa come *.cloudCorp.example.com probabilmente consente a un utente malintenzionato di acquistare un VPS su cloudCorp e ottenere un nome di dominio corrispondente. Sarebbe qualcosa a cui prestare attenzione. Ma anche se questo è inevitabile (e non è scontato), è meglio che consentire tutte le query DNS.
Risposta
Il DNS è fondamentale per i team di sicurezza in quanto è una strada principale per la visibilità di quali sistemi stanno parlando con chi nel mondo esterno. Quindi il tuo team di sicurezza vorrà centralizzare tutte le ricerche e registrare le & risposte.
Ci sono molte vie di attacco come esfiltrazione di dati DNS, tunneling DNS, Avvelenamento DNS e DNS come comando e controllo, quindi il controllo del DNS è fondamentale per un team di sicurezza.
Per quanto riguarda ciò che è bloccato o non bloccato, è più un dettaglio che dovresti risolvere con il tuo team specifico / amministratori, ma sì, la sicurezza e la registrazione DNS sono fondamentali per ogni azienda.