Recentemente comecei a trabalhar para uma empresa que desativa a resolução DNS externa das máquinas dentro da rede ao não adicionar encaminhadores externos aos servidores DNS internos – o raciocínio por trás disso é a segurança.
Parece um pouco pesado para mim e está me causando problemas à medida que a empresa avança para mais serviços em nuvem.
Alguém pode sugerir uma maneira que eu poderia chegar a um acordo para fornecer segurança? Pensei que deveríamos usar encaminhadores externos, mas aplicar a filtragem, por exemplo, https://docs.microsoft.com/en-us/windows-server/networking/dns/deploy/apply-filters-on-dns-queries
Comentários
- Não está muito claro para mim o que é exatamente a configuração e que tipo de problema você tem com ela. Eles têm uma central NS interno que faz todas as pesquisas em si (ou seja, resolvedor recursivo para toda a rede). Eles têm esse NS em cada máquina ou imagem de VM? E como exatamente isso é um problema ao usar serviços em nuvem?
- s um ambiente de diretório ativo para que todos os servidores DNS replicem as zonas DNS internas (por exemplo servername.company.local) entre si, portanto, as pesquisas por recursos internos são boas e irrestritas – mas se eu precisar pesquisar um endereço DNS de um provedor de nuvem, ele está atualmente bloqueado, por exemplo, uma pesquisa externa para office365.com won ' t resolver. Minha ideia é usar a filtragem de DNS ou um encaminhador condicional para as pesquisas de DNS combinadas com regras de firewall que permitem o acesso aos intervalos de IP apropriados para permitir que as máquinas clientes acessem diretamente a Internet para esses serviços.
- Primeiro, por favor fornecer essas informações essenciais na pergunta e não apenas em um comentário. Mas voltando à sua pergunta: limitar a superfície de ataque é sempre benéfico e limitar o acesso ao exterior ajuda a limitar a superfície de ataque. Mas, no seu caso específico, parece que a política atual também infere com o trabalho que você precisa fazer. Nesse caso, você precisa discutir o problema com os administradores de sistema locais. Se sua solução proposta for possível e a melhor maneira em seu caso específico for desconhecida.
Resposta
Quando firewalls estão configurados corretamente, o DNS é a nossa maneira de entrar e sair da rede. Dependendo do seu nível de segurança, bloquear o DNS onde ele não é necessário pode ser uma proteção útil.
Como consultor de segurança, não é incomum encontrar-se em um sistema com uma falsificação de solicitação limitada do lado do servidor ou alguma outra vulnerabilidade do lado do servidor. Alguns clientes têm firewalls muito bem configurados que nos impedem de usá-los para ir muito mais longe, mas por meio do DNS podemos aprender mais sobre a rede e, às vezes, configurar túneis de dados úteis. Nesse caso, desativar o DNS seria o último prego no caixão.
está me causando problemas
Esse é o risco: se você desabilitar o DNS e alguém precisar dele (por exemplo, para apt update), você corre o risco de que os administradores de sistemas usem soluções alternativas desagradáveis, tornando a rede menos segura em vez de mais segura. Se você não conseguir fazer seu trabalho corretamente, desabilitar completamente o DNS não é a escolha certa.
Um resolvedor limitado pode ser uma solução? Ele pode ser executado no host local ou talvez em um sistema dedicado e pode ser configurado para resolver apenas uma lista de permissões de domínios. Já que você mencionou que “está movendo seus dados e aplicativos para os computadores de outras pessoas (” a nuvem “), parece que você só precisa resolver os domínios pertencentes a qualquer serviço SaaS / * aaS que sua empresa usa.
A armadilha é que colocar algo como *.cloudCorp.example.com na lista branca provavelmente permite que um invasor compre um VPS na cloudCorp e obtenha um nome de domínio correspondente. Isso seria algo a ter em atenção. Mas mesmo que isso seja inevitável (e isso “não é um dado adquirido), é melhor do que permitir todas as consultas DNS.
Resposta
O DNS é essencial para as equipes de segurança, pois é a principal via de visibilidade de quais sistemas estão falando com quem no mundo externo. Portanto, sua equipe de segurança deseja centralizar todas as pesquisas e registrar as & respostas das solicitações.
Existem muitos meios de ataque, como exfiltração de dados DNS, tunelamento DNS, Envenenamento de DNS e DNS como comando e controle, portanto, controlar o DNS é fundamental para uma equipe de segurança.
Quanto ao que está bloqueado ou não bloqueado, é mais um detalhe que você precisa resolver com sua equipe específica / administrators, mas sim a segurança e o registro do DNS são essenciais para todas as empresas.