Veszélyek a DNS körül – hogyan előzzük meg a bajt

A DNS infrastruktúra alapvető jelentőségű az internetes kommunikációban, így nem meglepő, hogy az IT biztonságot veszélyeztető különféle tevékenységek milyen sokféleképpen támaszkodnak rá, illetve élnek vissza vele. Nézzünk pár példát és lehetséges megoldást.

Bizonyos malware-ek, amikor bejutnak egy hálózatba, annyira primitívek, hogy még valódi tevékenységükhöz szükséges kódot sem tartalmazzák – ezt először le kell tölteniük, és mivel a DNS protokollt sok helyen szinte egyáltalán nem korlátozzák, a bot és a command & control (C2) központ közötti adatforgalom álcázható DNS kéréseknek és válaszoknak (DNS tunneling, infiltration).

Egy vállalat belső DNS szerverei kiválóan felhasználhatók adatgyűjtésre is. Ha azt látjuk, hogy egyes kliensek módszeresen kérdezgetnek végig komplett subneteket és sok domainnevet, érdemes gyanakodni. Persze, ha DNS protokollon lehet adatot becsempészni, akkor ez kifele is működik (DNS exfiltration).

Egy jól kifejlett malware alkalmas lehet arra is, hogy DNS szervereink ismert sérülékenységeit célozva okozzon kárt, vagy akár eltérítse a belső klienseket például további veszélyeket rejtő weboldalak irányába.

Ugyancsak jelentős a DNS szerverek szerepe a DDoS támadásokban. Nyilvánvalók a következmények, ha saját publikus szervereinket támadják, de ilyen támadásokban akaratlanul részt venni sem jó dolog. Kedvelt módszer a reflexiós támadás, amikor a forráscímet meghamisítják, így szerverünk nem az eredeti kliensnek, hanem a támadás alatt álló célpontnak küldi el válaszát. Ez feleslegesen foglalja szervereink erőforrásait, és kollégáinkét is, akiknek később mindenféle reputációs listákról kell töröltetnie nevünket és szervereink címeit…

A közelmúlt néhány IT biztonsági incidense során kiderült, hogy bármily szofisztikált is volt az adott malware tevékenysége, néhány tipikus DNS lekérdezés alapján be lehetett azonosítani, és ezeket tiltva meg is lehetett bénítani. (Lehetett volna, ha időben értesülnek az üzemeltetők a teendőkről.) Ez azonban rögtön sokkal nehezebbé válik, ha a malware nem bedrótozott IP címeken vagy domainneveken keresi a C2 központját, hanem egy domainnévgeneráló algoritmus (DGA) állítja elő a használandó domainneveket. Ha az egyiket blokkolják, máris próbálkozik a következővel, míg csak nem sikerül átjutni. Ezzel párhuzamosan persze arról is gondoskodnak, hogy a publikus DNS szolgáltatásban ezek az új és még újabb névbejegyzések rendelkezésre álljanak, amikor szükséges.

Mit tegyünk tehát? Tartsuk ellenőrzésünk alatt a DNS forgalmat!

  • Használjuk next-gen tűzfalunkon a Threat Prevention funkciót; ha belenéz a DNS csomagok tartalmába, a DNS tunneling és in/exfiltration jellegű forgalmak jelentős részét meg tudja fogni. Bizonyos esetekben az ilyen tevékenység mennyiségi alapon is kiszúrható, bár az újabb malware-k már igyekeznek elkerülni, hogy magukra vonják a figyelmet.
  • Ha szükséges, használjunk külön DDoS védelmet is.
  • Hardeneljük a DNS szervereinket. Amennyire lehet, korlátozzuk honnan és milyen lekérdezéseket fogadnak el, zone transfert csak legitim partnerrel engedjünk, ha lehet, titkosítva.
  • Az Internet irányú rekurzív lekéréseket lehetőleg még a DNS szervereken szűrjük vagy irányítsuk tovább egy védelmet is biztosító cloud szolgáltatás felé. Részben ingyenesen, részben fizetős szolgáltatásként számos olyan lista, feed érhető el, amely segíti a nem kívánt DNS forgalom blokkolását.
  • Általában nagyon ritka, hogy egy szervezet friss bejegyzésű (mondjuk 0-72 órás) domainneveket akarjon használni. Ezeket érdemes kifejezetten erre specializálódott listákkal szűrni, az esetleges kivételeket pedig külön engedélyezni.
  • A DGA fogósabb lehet, nem biztos, hogy akár listákkal, akár mennyiségi alapon be tudjuk azonosítani. Létezik azonban olyan kifejezetten DNS security eszköz, amely mintázat és viselkedés alapján blokkolja akár ezeket is.

Mint mindenre az IT biztonságban, a DNS-re is igaz: mérjük fel a potenciális veszélyforrásokat, határozzuk meg, melyiket milyen eszközökkel tudjuk hatékonyan védeni, és ez alapján tervezzük meg a saját igényeinkre szabott, ergonomikusan üzemeltethető védelmi rendszert.