Jeg har nylig begynt å jobbe for et selskap som deaktiverer ekstern DNS-oppløsning fra maskinene i nettverket ved ikke å legge til eksterne videresendere til de interne DNS-serverne – resonnementet bak dette er for sikkerhet.
Det virker litt tunghendt for meg, og det forårsaker problemer når selskapet går mot flere skytjenester.
Kan noen foreslå en måte at jeg kunne komme på kompromiss for å gi sikkerhet? Jeg tenkte at vi skulle bruke eksterne videresendere, men bruke filtrering, f.eks. https://docs.microsoft.com/en-us/windows-server/networking/dns/deploy/apply-filters-on-dns-queries
Kommentarer
- Det er ikke helt klart for meg hva oppsettet er nøyaktig og hva slags problem du har med det. Har de en sentral intern NS som alle søker selv (dvs. rekursiv resolver for hele nettverket). Har de en slik NS på hver maskin- eller VM-avbildning? Og hvordan er dette akkurat et problem når du bruker skytjenester?
- Det er et aktivt katalogmiljø slik at alle DNS-serverne replikerer de interne DNS-sonene (f.eks. servername.company.local) mellom hverandre så oppslag etter interne ressurser er fine og ubegrensede – men hvis jeg trenger å slå opp en DNS-adresse for en skyleverandør, er dette for øyeblikket blokkert, f.eks. en ekstern oppslag for office365.com vant ' t løse. Tanken min er å bruke DNS-filtrering eller en betinget videresender for DNS-oppslag kombinert med brannmurregler som gir tilgang til de aktuelle IP-områdene slik at klientmaskinene kan gå direkte til internett for disse tjenestene. gi slik viktig informasjon i spørsmålet og ikke bare i en kommentar. Men på spørsmålet ditt: å begrense angrepsoverflaten er alltid gunstig, og å begrense tilgangen til utsiden bidrar til å begrense angrepsoverflaten. Men i ditt spesifikke tilfelle ser det ut som at gjeldende policy også er basert på arbeidet du må gjøre. I dette tilfellet må du diskutere problemet med de lokale systemadministratorene. Hvis den foreslåtte løsningen din er mulig, og den beste måten i ditt spesifikke tilfelle er ukjent.
Svar
Når brannmurer er riktig konfigurert, er DNS vår vei inn og ut av nettverket. Avhengig av sikkerhetsnivå kan det være nyttig å herde å blokkere DNS der det ikke er behov.
Som sikkerhetskonsulent er det ikke så uvanlig å finne deg selv i et system med en begrenset forfalskning på serversiden eller noe annet sårbarhet på serversiden. Noen kunder har veldig godt konfigurerte brannmurer som hindrer oss i å bruke den for å komme mye lenger, men gjennom DNS kan vi vanligvis fortsatt lære mer om nettverket og noen ganger sette opp nyttige datatunneler. I et slikt tilfelle vil deaktivering av DNS være den siste spikeren i kisten.
det forårsaker problemer
Det er risikoen: Hvis du deaktiverer DNS og noen trenger det (for eksempel for apt update), risikerer du at sysadmins bruker stygge løsninger, gjøre nettverket mindre sikkert i stedet for sikrere. Hvis du ikke kan gjøre jobben din riktig, er det ikke det riktige valget å deaktivere DNS helt.
Kan en begrenset resolver være en løsning? Det kan kjøres på localhost eller kanskje på et dedikert system, og det kan konfigureres til å bare løse en hvitliste med domener. Siden du nevner at du flytter dataene og applikasjonene dine til andre personers datamaskiner («skyen»), høres det ut som om du bare trenger å løse domenene som tilhører hvilken SaaS / * aaS-tjeneste bedriften din bruker.
Fallgruven der er at hviteliste noe sånt som *.cloudCorp.example.com sannsynligvis tillater en angriper å kjøpe en VPS på cloudCorp og få et matchende domenenavn. Det ville være noe å passe på. Men selv om dette er uunngåelig (og det er ikke gitt), er det bedre enn å tillate alle DNS-spørsmål.
Svar
DNS er avgjørende for sikkerhetsteam da det er en primær vei for synlighet i hvilke systemer som snakker med hvem på omverdenen. Så sikkerhetsteamet ditt vil ønske å sentralisere alle oppslag og logge forespørslene & svarene.
Det er mange angrepsveier som DNS-dataeksfiltrering, DNS-tunneling, DNS-forgiftning, og DNS som kommando og kontroll, så å kontrollere DNS er avgjørende for et sikkerhetsteam. / administratorer, men ja DNS-sikkerhet og logging er avgjørende for alle selskaper.