De curând am început să lucrez pentru o companie care dezactivează rezoluția DNS externă de la mașinile din rețea, neadăugând expeditori externi la serverele DNS interne – raționamentul în spatele acestui lucru este pentru securitate.
Mi se pare cam greu și îmi provoacă probleme pe măsură ce compania se îndreaptă spre mai multe servicii cloud.
Poate cineva să sugereze un mod că aș putea ajunge la un compromis pentru a oferi securitate? Mă gândeam că ar trebui să folosim expeditori externi, dar să aplicăm filtrarea de ex. https://docs.microsoft.com/en-us/windows-server/networking/dns/deploy/apply-filters-on-dns-queries
Comentarii
- Nu este foarte clar pentru mine ce anume este configurarea și ce fel de problemă aveți cu ea. Au o centrală NS intern care efectuează toate căutările în sine (adică rezolvator recursiv pentru întreaga rețea). Au un astfel de NS pe fiecare maschine sau imagine VM? Și cum este exact această problemă atunci când se utilizează servicii cloud?
- este un mediu de director activ, astfel încât toate serverele DNS să replice zonele DNS interne (de ex. servername.company.local) între ele, astfel încât căutările de resurse interne sunt bune și nelimitate – dar dacă trebuie să caut o adresă DNS pentru un furnizor de cloud, aceasta este blocată în prezent, de exemplu, o căutare externă pentru office365.com a câștigat nu se rezolvă. Ideea mea este să folosesc filtrarea DNS sau un forwarder conditonal pentru căutările DNS combinate cu reguli firewall care să permită accesul la intervalele IP adecvate pentru a permite mașinilor client să meargă direct pe internet pentru aceste servicii
- Mai întâi, vă rugăm să furnizați astfel de informații esențiale în întrebare și nu numai într-un comentariu. Dar la întrebarea dvs.: limitarea suprafeței de atac este întotdeauna benefică și limitarea accesului la exterior ajută la limitarea suprafeței de atac. Dar, în cazul dvs. specific, se pare că politica actuală deduce și munca pe care trebuie să o faceți. În acest caz, trebuie să discutați problema cu administratorii de sistem locali. Dacă soluția propusă este posibilă și cel mai bun mod în cazul dvs. specific este necunoscut.
Răspuns
Când firewall-uri sunt configurate corect, DNS este calea noastră de intrare și ieșire din rețea. În funcție de nivelul de securitate, blocarea DNS acolo unde nu este necesară poate fi utilă.
În calitate de consultant de securitate, nu este atât de neobișnuit să vă regăsiți într-un sistem cu o falsificare a cererii de la server limitată sau o altă vulnerabilitate pe partea de server. Unii clienți au firewall-uri foarte bine configurate, care ne împiedică să-l folosim pentru a ajunge mult mai departe, dar prin DNS putem în mod obișnuit să aflăm mai multe despre rețea și, uneori, să configurăm tuneluri de date utile. Într-un astfel de caz, dezactivarea DNS ar fi unghia finală în sicriu.
îmi provoacă probleme
Acesta este riscul: dacă dezactivați DNS și cineva are nevoie de el (de exemplu pentru apt update), riscați că sysadmins utilizează soluții urâte, făcând rețeaua mai puțin sigură în loc să fie mai sigură. Dacă nu vă puteți face treaba corect, dezactivarea DNS completă nu este alegerea corectă.
Ar putea fi un rezolvator limitat o soluție? Ar putea rula pe localhost sau poate pe un sistem dedicat și ar putea fi configurat pentru a rezolva doar o listă albă de domenii. Deoarece menționați că vă mutați datele și aplicațiile pe computerele altor persoane („norul”), se pare că este posibil să aveți nevoie doar de rezolvarea domeniilor care aparțin oricărui serviciu SaaS / * aaS pe care îl folosește compania dvs.
Capătul este că lista albă de genul *.cloudCorp.example.com probabil permite unui atacator să cumpere un VPS la cloudCorp și să obțină un nume de domeniu care să corespundă. Ar fi ceva de care trebuie să fii atent. Dar chiar dacă acest lucru este inevitabil (și asta nu este dat), este mai bine decât să permiți toate interogările DNS.
Răspunde
DNS este esențial pentru echipele de securitate, deoarece este o cale principală de vizibilitate a sistemelor care vorbesc cu cine din lumea exterioară. Deci, echipa dvs. de securitate va dori să centralizeze toate căutările și să înregistreze solicitările &.
Există o mulțime de căi de atac, cum ar fi exfiltrarea datelor DNS, tunelarea DNS, Otravirea DNS și DNS ca comandă și control, astfel încât controlul DNS este esențial pentru o echipă de securitate.
În ceea ce privește ceea ce este blocat sau nu blocat, acesta este mai mult un detaliu, ar trebui să lucrați cu echipa dvs. specifică / administratori, dar da securitatea și jurnalizarea DNS sunt esențiale pentru fiecare companie.