Jag har nyligen börjat arbeta för ett företag som inaktiverar extern DNS-upplösning från maskinerna i nätverket genom att inte lägga till externa vidarebefordrare till de interna DNS-servrarna – resonemanget bakom detta är för säkerhet.
Det verkar lite tungt för mig och det orsakar problem när företaget går mot fler molntjänster.
Kan någon föreslå ett sätt att jag kunde nå en kompromiss för att ge säkerhet? Jag tänkte att vi skulle använda externa vidarebefordrare men tillämpa filtrering t.ex. https://docs.microsoft.com/en-us/windows-server/networking/dns/deploy/apply-filters-on-dns-queries
Kommentarer
- Det är inte riktigt klart för mig vad installationen exakt är och vilken typ av problem du har med det. Har de en central intern NS som alla söker själv (dvs. rekursiv resolver för hela nätverket). Har de en sådan NS på varje maskin- eller VM-avbildning? Och hur exakt är detta ett problem när man använder molntjänster?
- Det är en aktiv katalogmiljö så att alla DNS-servrar replikerar de interna DNS-zonerna (t.ex. servernamn.företag.lokal) mellan varandra så att leta efter interna resurser är bra och obegränsat – men om jag behöver leta upp en DNS-adress för en molnleverantör är detta för närvarande blockerat, t.ex. en extern sökning efter office365.com vann ' t lösa. Min idé är att använda DNS-filtrering eller en villkorlig vidarebefordrare för DNS-sökningar i kombination med brandväggsregler som ger åtkomst till lämpliga IP-intervall så att klientmaskinerna kan gå direkt till internet för dessa tjänster
- Först tack tillhandahålla sådan viktig information i frågan och inte bara i en kommentar. Men till din fråga: att begränsa attackytan är alltid fördelaktigt och att begränsa åtkomsten till utsidan hjälper till att begränsa attackytan. Men i ditt specifika fall ser det ut som att den nuvarande policyn också beror på det arbete du måste göra. I det här fallet måste du diskutera problemet med dina lokala systemadministratörer. Om din föreslagna lösning är möjlig och det bästa sättet i ditt specifika fall är okänt.
Svar
När brandväggar är korrekt konfigurerade är DNS vår väg in och ut ur nätverket. Beroende på din säkerhetsnivå kan det vara användbart att blockera DNS där det inte behövs.
Som säkerhetskonsult är det inte så ovanligt att du befinner dig i ett system med en begränsad förfalskning på serversidan eller någon annan sårbarhet på serversidan. Vissa kunder har väldigt välkonfigurerade brandväggar som hindrar oss från att använda den för att komma mycket längre, men genom DNS kan vi vanligtvis fortfarande lära oss mer om nätverket och ibland ställa in användbara datatunnlar. I ett sådant fall skulle inaktivera DNS vara den sista spiken i kistan.
det orsakar mig problem
Det är risken: om du inaktiverar DNS och någon behöver det (till exempel för apt update) riskerar du att sysadmins använder fula lösningar, göra nätverket mindre säkert istället för säkrare. Om du inte kan göra ditt arbete ordentligt är det inte rätt val att inaktivera DNS helt.
Kan en begränsad lösning vara en lösning? Det kan köras på localhost eller kanske på ett dedikerat system, och det kan konfigureras för att endast lösa en vitlista med domäner. Eftersom du nämner att du flyttar dina data och applikationer till andra personers datorer (”molnet”) låter det som om du bara behöver lösa domänerna som tillhör vilken SaaS / * aaS-tjänst ditt företag använder.
Fallgropen där är att vitlistning av något som *.cloudCorp.example.com antagligen tillåter en angripare att köpa en VPS på cloudCorp och få ett matchande domännamn. Det skulle vara något att se upp för. Men även om detta är oundvikligt (och det är inte givet), är det bättre än att tillåta alla DNS-frågor.
Svar
DNS är avgörande för säkerhetsteam eftersom det är en primär väg för synlighet i vilka system som pratar med vem på omvärlden. Så ditt säkerhetsteam kommer att vilja centralisera alla uppslag och logga förfrågningarna & svar.
Det finns många attackvägar som exfiltrering av DNS-data, DNS-tunnling, DNS-förgiftning och DNS som kommando och kontroll så att kontrollera DNS är avgörande för ett säkerhetsteam.
När det gäller vad som är blockerat eller inte blockerat är det mer av en detalj du behöver träna med ditt specifika team / administratörer, men ja DNS-säkerhet och loggning är avgörande för alla företag.