Niedawno rozpocząłem pracę w firmie, która wyłącza zewnętrzne rozpoznawanie nazw DNS z komputerów w sieci, nie dodając zewnętrznych usług przesyłania dalej do wewnętrznych serwerów DNS – powód kryje się za tym bezpieczeństwo.
Wydaje mi się to trochę uciążliwe i sprawia mi to problemy, gdy firma dąży do większej liczby usług w chmurze.
Czy ktoś może zasugerować sposób że mogę osiągnąć kompromis w celu zapewnienia bezpieczeństwa? Pomyślałem, że powinniśmy użyć zewnętrznych usług przesyłania dalej, ale zastosować filtrowanie, np. https://docs.microsoft.com/en-us/windows-server/networking/dns/deploy/apply-filters-on-dns-queries
Komentarze
- Nie jest dla mnie jasne, na czym dokładnie polega konfiguracja i jaki masz z nią problem. Czy mają one centralny wewnętrzny NS, który sam wyszukuje (tzn. rekurencyjny resolver dla całej sieci). Czy mają taki NS na każdej maszynie lub obrazie maszyny wirtualnej? I jak dokładnie jest to problem podczas korzystania z usług w chmurze?
- To jest środowiskiem active directory, więc wszystkie serwery DNS replikują wewnętrzne strefy DNS (np. nazwa_serwera.firma.lokalna) między sobą, więc wyszukiwanie zasobów wewnętrznych jest dobre i nieograniczone – ale jeśli muszę wyszukać adres DNS dla dostawcy usług w chmurze, jest to obecnie zablokowane, np. zewnętrzne wyszukiwanie office365.com wygrał ' t rozwiązać. Moim pomysłem jest użycie filtrowania DNS lub warunkowego przesyłania dalej do wyszukiwania DNS w połączeniu z regułami zapory sieciowej umożliwiającymi dostęp do odpowiednich zakresów adresów IP, aby umożliwić komputerom klienckim bezpośrednie połączenie z Internetem w celu wykonania tych usług.
- Po pierwsze, proszę tak istotne informacje podaj w pytaniu, a nie tylko w komentarzu. Ale jeśli chodzi o twoje pytanie: ograniczenie powierzchni ataku jest zawsze korzystne, a ograniczenie dostępu na zewnątrz pomaga ograniczyć powierzchnię ataku. Ale w twoim konkretnym przypadku wygląda na to, że obecna polityka również wynika z pracy, którą musisz wykonać. W takim przypadku musisz omówić problem z lokalnymi administratorami systemu. Jeśli proponowane rozwiązanie jest możliwe, a najlepszy sposób w danym przypadku jest nieznany.
Odpowiedz
Gdy zapory są poprawnie skonfigurowane, DNS jest naszą drogą do i z sieci. W zależności od Twojego poziomu bezpieczeństwa, blokowanie DNS, gdy nie jest to potrzebne, może być przydatne jako ulepszenie.
Jako konsultant ds. Bezpieczeństwa często zdarza się, że znajdujesz się w systemie z ograniczonym fałszowaniem żądań po stronie serwera lub inna luka po stronie serwera. Niektórzy klienci mają bardzo dobrze skonfigurowane zapory ogniowe, które uniemożliwiają nam korzystanie z niej, aby uzyskać znacznie więcej, ale przez DNS zazwyczaj nadal możemy dowiedzieć się więcej o sieci, a czasami skonfigurować przydatne tunele danych. W takim przypadku wyłączenie DNS byłoby ostatnim gwoździem do trumny.
To powoduje problemy
To jest ryzyko: jeśli wyłączysz DNS i ktoś go potrzebuje (na przykład dla apt update), ryzykujesz, że administratorzy zastosują brzydkie obejścia, czyniąc sieć mniej bezpieczną zamiast bardziej bezpieczną. Jeśli nie możesz wykonywać swojej pracy poprawnie, to całkowite wyłączenie DNS nie jest właściwym wyborem.
Czy ograniczony resolver może być rozwiązaniem? Może działać na hoście lokalnym lub w dedykowanym systemie i można go skonfigurować tak, aby rozpoznawał tylko białą listę domen. Ponieważ wspomniałeś, że „przenosisz swoje dane i aplikacje na komputery innych osób („ chmura ”), wydaje się, że możesz potrzebować tylko rozwiązać domeny należące do dowolnej usługi SaaS / * aaS, z której korzysta Twoja firma.
Pułapka polega na tym, że umieszczenie na białej liście czegoś takiego jak *.cloudCorp.example.com prawdopodobnie pozwala atakującemu na zakup VPS w cloudCorp i uzyskanie pasującej nazwy domeny. To byłoby coś, na co trzeba uważać. Ale nawet jeśli jest to nieuniknione (a to nie jest dane), jest to lepsze niż zezwolenie na wszystkie zapytania DNS.
Odpowiedź
DNS ma kluczowe znaczenie dla zespołów ds. bezpieczeństwa, ponieważ jest głównym sposobem wglądu w to, z kim rozmawiają systemy w świecie zewnętrznym. Twój zespół ds. Bezpieczeństwa będzie chciał scentralizować wszystkie wyszukiwania i rejestrować żądania & odpowiedzi.
Istnieje wiele dróg ataków, takich jak eksfiltracja danych DNS, tunelowanie DNS, Zatrucie DNS i DNS jako polecenie i kontrola, więc kontrolowanie DNS jest krytyczne dla zespołu bezpieczeństwa.
Jeśli chodzi o to, co jest blokowane, a co nie, jest to bardziej szczegółowa kwestia, którą musisz wypracować ze swoim konkretnym zespołem / administrators, ale tak, bezpieczeństwo i logowanie DNS są krytyczne dla każdej firmy.