Ik ben onlangs begonnen met werken voor een bedrijf dat externe DNS-resolutie van de machines in het netwerk uitschakelt door geen externe doorstuurservers toe te voegen aan de interne DNS-servers – de redenering hierachter zit voor de veiligheid.
Het lijkt me wat hardhandig en het bezorgt me problemen naarmate het bedrijf op weg is naar meer cloudservices.
Kan iemand een manier voorstellen dat ik een compromis kon sluiten om beveiliging te bieden? Ik dacht dat we externe doorstuurservers zouden moeten gebruiken, maar filters zouden moeten toepassen, bijvoorbeeld https://docs.microsoft.com/en-us/windows-server/networking/dns/deploy/apply-filters-on-dns-queries
Opmerkingen
- Het is voor mij niet echt duidelijk wat de setup precies is en wat voor probleem je ermee hebt. Hebben ze een centrale interne NS die alle zoekopdrachten zelf uitvoert (dwz recursieve resolver voor het hele netwerk). Hebben ze zon NS op elke machine of VM-image? En hoe is dit precies een probleem bij het gebruik van cloudservices?
- Het s een active directory-omgeving zodat alle DNS-servers de interne DNS-zones repliceren (bijv. servername.company.local) tussen elkaar, dus zoekopdrachten voor interne bronnen zijn prima en onbeperkt – maar als ik een DNS-adres voor een cloudprovider moet opzoeken, wordt dit momenteel geblokkeerd, bijvoorbeeld een externe zoekopdracht voor office365.com heeft gewonnen ' t oplossen. Mijn idee is om DNS-filtering of een conditonal forwarder te gebruiken voor de DNS-lookups in combinatie met firewallregels die toegang geven tot de juiste IP-bereiken zodat de clientmachines rechtstreeks naar het internet kunnen gaan voor deze services.
- Ten eerste, alsjeblieft verstrek dergelijke essentiële informatie in de vraag en niet alleen in een opmerking. Maar op uw vraag: het beperken van het aanvalsoppervlak is altijd gunstig en het beperken van de toegang naar buiten helpt het aanvalsoppervlak te beperken. Maar in uw specifieke geval lijkt het erop dat het huidige beleid ook afleidt met het werk dat u moet doen. In dat geval moet u het probleem bespreken met uw lokale systeembeheerders. Of uw voorgestelde oplossing mogelijk is en de beste manier in uw specifieke geval onbekend is.
Antwoord
Wanneer firewalls correct zijn geconfigureerd, is DNS onze weg naar en uit het netwerk. Afhankelijk van uw beveiligingsniveau kan het blokkeren van DNS waar dit niet nodig is, nuttig zijn.
Als beveiligingsadviseur is het niet zo ongebruikelijk dat u zich in een systeem bevindt met een beperkte server-side verzoekvervalsing of een andere kwetsbaarheid op de server. Sommige klanten hebben zeer goed geconfigureerde firewalls waardoor we deze niet kunnen gebruiken om veel verder te komen, maar via DNS kunnen we doorgaans nog meer over het netwerk te weten komen en soms nuttige datatunnels opzetten. In zon geval zou het uitschakelen van DNS de laatste spijker in de kist zijn.
het bezorgt me problemen
Dat is het risico: als je DNS uitschakelt en iemand het nodig heeft (bijvoorbeeld voor apt update), loop je het risico dat sysadmins lelijke oplossingen gebruiken, het netwerk minder veilig maken in plaats van veiliger. Als je je werk niet goed kunt doen, dan is DNS helemaal uitschakelen niet de juiste keuze.
Zou een beperkte resolver een oplossing kunnen zijn? Het kan worden uitgevoerd op localhost of misschien op een speciaal systeem, en het kan worden geconfigureerd om alleen een witte lijst met domeinen op te lossen. Aangezien u vermeldt dat u “uw gegevens en applicaties naar de computers van andere mensen verplaatst (” de cloud “), lijkt het erop dat u alleen de domeinen hoeft op te lossen die behoren tot de SaaS / * aaS-service die uw bedrijf gebruikt.
De valkuil is dat het op de witte lijst zetten van zoiets als *.cloudCorp.example.com een aanvaller waarschijnlijk in staat stelt een VPS te kopen bij cloudCorp en een overeenkomende domeinnaam te krijgen. Dat zou iets zijn om op te letten. Maar zelfs als dit onvermijdelijk is (en dat is geen gegeven), is het beter dan alle DNS-zoekopdrachten toe te staan.
Antwoord
DNS is van cruciaal belang voor beveiligingsteams omdat het een primaire manier is om inzicht te krijgen in welke systemen met wie in de buitenwereld praten. Uw beveiligingsteam wil dus alle zoekacties centraliseren en de verzoeken & -antwoorden loggen.
Er zijn tal van aanvalsmogelijkheden, zoals DNS-gegevensonderschepping, DNS-tunneling, DNS-vergiftiging en DNS als commando en controle, dus het beheersen van DNS is van cruciaal belang voor een beveiligingsteam.
Wat betreft wat wordt geblokkeerd of niet wordt geblokkeerd, dat is meer een detail dat u met uw specifieke team zou moeten uitwerken / administrators, maar ja DNS-beveiliging en logboekregistratie is essentieel voor elk bedrijf.