O vzdělání

Věděli jste, že až 91 % škodlivého kódu začíná svou komunikaci pomocí protokolu DNS?

V dnešní době se společnosti snaží o maximální bezpečnost svého IT prostředí. Perimetr své sítě chrání pomocí různých Firewall a specializovaných bran, které mají za úkol filtrovat provoz a vpustit pouze to, co mají. Zabezpečují svá koncová zařízení a servery, aby nebyly zneužity, aby nedošlo ke ztrátě dat a tak dále. Některé společnosti mají dokonce i svá testovací prostředí, kde se snaží rozebrat neznámé kódy, aby věděly, zda jim neuškodí.

Všechny tyto metody a postupy jsou opravdu důležité a rozhodně bych je nedoporučil opouštět. Je zde však již dlouhou dobu služba, kterou všichni využívají a nevěnují jí moc pozornosti. Tato služba patří i do setu kritické infrastruktury a v případě výpadku může způsobit velké problémy. Jde o DNS (Domain Name System). Protokol je navržen tak, aby byl co možná nejrychlejší. DNS servery mohou sloužit jako perfektní zesilovače útoků a mohou být snadno zneužity. Ale také to, co je předností protokolu, se dá zneužít pro tunelování jiných dat než jen doménových názvů. Zdá se to jako strašení, ale jde o realitu. Zabezpečení tohoto protokolu je často nedostatečné nebo dokonce žádné. Na Firewall je port 53 s pravidlem „allow", tedy povolit. Málokdy se setkávám s kontrolou tohoto provozu. Brány na kontrolu Webu či Emailové brány tento provoz už vůbec neřeší. A tak je tady otázka. Opravdu putuje po DNS jen to, co má, a to doménové názvy? Například logování a zjištění, kolik dotazů server zodpovídá, je otázka pro administrátory často záludná. Který klient v síti žádal přeložení různých domén? Opět se odpovědi moc často nedopátráme. Proč toto všechno píši a zmiňuji? Odpověď je snadná. Až příliš velké množství škodlivého kódu začíná svou komunikaci pomocí protokolu DNS a tedy na nekontrolovaném portu 53. O jak velký „koláč" se jedná? Dle průzkumu společnosti Cisco jde o 91% škodlivého kódu, který komunikuje pomocí DNS. Je touto cestou řízen a může i skrze tuto cestu vynášet citlivá data. Většina bezpečnostních řešení tuto bezpečnostní díru ignoruje. A na to se snažím upozornit v tomto článku.

 

Co tedy dělat pro důkladnější bezpečnost? Jaké máme možnosti? DNS servery nám nabízí pouze DNSSEC. DNSSEC je zabezpečení, které řeší pouze část bezpečnostních hrozeb v rámci DNS. Ve své podstatě pouze zaručuje pravost vašich záznamů a záznamů jiné zabezpečené zóny. Zajištuje, že nikdo nepodsouvá jinou IP adresu doménovém názvu a nepřesměrovává tak komunikaci na sebe. Bohužel ne všechny domény jsou podepsány, a tak nám tato ochrana nestačí. Dalším problémem je struktura a obsah dotazu samotného. Do dotazu se dají zašifrovat i jiná data než adresa oblíbeného serveru. Pomoci různých metod můžete skrze DNS dotazy posílat libovolná data. Například výrobci touto cestou ověřují licence svých produktů, kdy nejde o nelegitimní použití DNS.

 

Společnost Infoblox se této problematice věnuje již dlouhou dobu. Ve svém řešení nabízí množství ochran pro DNS servery. Nejen proti podvržení záznamů nebo zneužití vašeho DNS serveru pro znásobení útoku. DNS komunikaci prohledává a snaží se zjistit pomocí různých metod, zda jde opravdu o legitimní DNS dotazy. Aktivně zabraňuje tunelování protokolu pro vynášení dat anebo pro komunikaci škodlivého kódu se svým centrem. V tomto článku se věnuji hlavně zabezpečení DNS, nicméně to není vše, co Infoblox poskytuje. Infoblox ve svém řešení poskytuje i DDI tedy DNS DHCP a IPAM, a to pro možnost globálního pohledu na všechny provozované sítě. Můžete mít v jednom řešení přehled o všech uzlech v síti, kde jsou umístěné od čísla místnosti a zásuvky, ale i pozice na konkrétním portu switche s dalšími technickými detaily. V případě podezření můžete velice rychle napadenou stanici odpojit. Zjistit a řešit konflikty na síti. Samozřejmostí je centrální správa distribuovaného systému s odolností v případě výpadku. Vysoká dostupnost systému zajišťuje nejen spokojenost uživatelů, ale zabraňuje ztrátám v obchodě z důvodu nedostupnosti. Distribuce konfigurace skrze služby Adresářové služby je jen takovou třešničkou na dortu. Spojením všech informací o síti a schopnosti detekovat malware komunikující skrze DNS tedy dohromady dává správcům sítě velmi mocný nástroj jak zajistit vyšší bezpečnost, ale také lepší kvalitu služeb.

 

Autor: Jan Ryneš, System Engineer, Veracomp s.r.o.

 

V naší Veracomp Academy jsme pro vás na leden nachystali dvě zajímavá školení k řešením Infoblox – mrkněte k nám na web: Core DDI Basic Configuration (CDBC) a Core DDI Intermediate Configuration (CDIC).