Bezpieczeństwo usługi DNS. Jak zminimalizować ryzyko ataku?

Domain Name System, czyli System Nazw Domenowych jest jednym z podstawowych założeń i elementów w funkcjonowaniu całego Internetu. Jego rolę można porównać do książki telefonicznej z numerami używanymi przez komputery i serwery do komunikacji. Te numery to adresy IP.
Takie katalogi nazw i adresów IP przechowywane są na serwerach hostujących usługę DNS na całym Świecie. Istnieją zarówno serwery prywatne, do użytku wewnętrznego w organizacji, jak i publiczne przechowujące informacje o witrynach i aplikacjach webowych rozsianych po całym Internecie.

DNS ma więc ogromne znaczenie w funkcjonowaniu sieci publicznej i prywatnej. Jakakolwiek niedostępność tej usługi powoduje, że każde zapytanie o nazwę (strony internetowej, serwera, aplikacji) nie zostanie rozpoznane i nie będzie możliwe nawiązanie połączenia.

Ciekawostka: na Świecie istnieje 13 publicznych serwerów DNS najwyższego rzędu, tzw. root name servers. Każdy z nich kontrolowany jest przez inną niezależną od siebie organizację. Serwery te rozszywają nazwy domen, bez których Internet nie byłby w stanie funkcjonować, np. „com”, „eu”, „pl” i inne. Możecie się domyślić, że udane zaatakowanie któregoś z nich spowoduje niedostępność sporej części Internetu na Świecie. Nie jest to jednak takie proste. Obecnie, fizycznych instancji tych serwerów nie jest tylko 13, a około 900 (fizyczne kopie) i rozsiane są po całym globie, aby wydajność Internetu była wysoka z każdej lokalizacji.

Pomimo znaczenia serwerów i usługi DNS, jest ona często pomijana i traktowana pobłażliwie jeśli chodzi o odpowiednie zabezpieczenie. W organizacjach powszechnie przyjęło się zwracać większą uwagę na zapory sieciowe, serwery proxy, czy ochronę końcówek.

DNS coraz częściej jest celem cyberataków. O zaawansowanych atakach na DNS pisaliśmy w artykule o Malware DNS, a wykorzystaniu protokołu DNS do wykonywania zdalnie złośliwych komend pisaliśmy tutaj.

Jednak to, co cyberprzestępcy robią najczęściej to przejmują serwery DNS i manipulują wpisami powodując, że zgłaszane są inne adresy IP niż jest w rzeczywistości. Pozwala to na oszukiwanie ofiar i wyświetlanie innej witryny niż tą, o którą pyta użytkownik. Co więcej, pozwala na przekierowywanie wiadomości e-mail do innych adresatów, czy nawet wzmacnianie ataku DDoS poprzez przekierowywanie ruchu na jeden konkretny adres w sieci.

Takie działania są prawie niemożliwe do wykrycia. Użytkownik nie będzie znał powodu, dlaczego jego e-mail nie dotarł do adresata, czy dlaczego nie może wyświetlić strony, którą znalazł w Google. Najlepszym sposobem obrony jest jak zwykle prewencja i odpowiednie zabezpieczenie serwerów i usług DNS.

Autor: Kapitan Hack Data dodania: 15 lip 2019 08:37 6 min czytania

Raport z ataków i zagrożeń na DNS z 2018 roku

W 2018 roku ataki na usługi DNS oraz z wykorzystaniem protokołu DNS przyniosły poważne problemy na całym Świecie. Zgodnie z raportem 2018 Global DNS Threat Report organizacji EfficientIP – 77% badanych korporacji doświadczyło ataków DNS w ciągu ostatniego roku od daty opublikowania raportu. Raport pokazał również, że 20% globalnych organizacji padło ofiarą tunelowania DNS, co jest ulubioną techniką wykorzystywaną przez hackerów, ponieważ jest prosta do przeprowadzenia i trudna do wykrycia.

Niektóre z najciekawszych informacji z raportu:

16 latek, który przez 12 miesięcy wyciągał pliki z serwerów Apple poprzez tunel DNS. Uzyskał dostęp do 90 gigabajtów danych, a wszystko zrobił ze swojego domu w Melbourne. Był to doskonały przykład tego, jak hackerzy przechodzą przez firewalle i nie są wykrywani nawet przez największe organizacje.
Ataki DNS dotknęły kilka dużych banków. Na przykład Bank Królewski w Szkocji przyznał się, że był jedną z ofiar.
Gdy organizacja staje w obliczu ataku DNS, może to wiązać się z olbrzymimi stratami finansowymi. W przypadku ataków na organizacje finansowe w 2018 r. koszty wyniosły średnio 934 390 dolarów, nie wliczając w to oczywiście strat związanych z uszkodzeniem wizerunku marki i lokalności klientów.

Kilka porad bezpieczeństwa

Wypisaliśmy kilka najważniejszych porad i najlepszych praktyk odnośnie zabezpieczenia się przed atakami DNS. Kierowanie się poniższymi zaleceniami z pewnością pomoże zmniejszyć ryzyko ataku.

Analizuj ruch sieciowy pod kątem nietypowych zapytań i połączeń. Zwróć uwagę o wewnętrzne zapytania DNS o nietypowe nazwy oraz o przychodzące zapytania DNS z zewnętrznych adresów.
Wykorzystuj publiczne rekordy DNS w celu zobaczenia wszystkich swoich stref i poddomen. Dzięki temu można w prosty sposób przeprowadzić audyt własnych wpisów i sprawdzenie, czy są aktualne. Pozostawienie zaszłości w DNS często powoduje błędy w działaniu aplikacji, ale także pozawala na wykorzystanie podatności w starych wersjach oprogramowania.
Nie ufaj dostawcom chmury, że Twój DNS jest przez nich w pełni chroniony.
Myśl o strategii bezpieczeństwa holistycznie, tzn. wdrażaj wiele warstw zabezpieczeń dla każdego zasobu. Prewencja zawsze jest lepsza niż wykrywanie istniejącego ataku. Jeśli chodzi o DNS, skup się na monitorowanie ruchu sieciowego oraz komend Powershell pytających o rekordy DNS wewnątrz organizacji. Przykład takiego ataku opisywaliśmy tutaj.
Pomyśl o wdrożeniu specjalistycznych narzędzi, takich jak DNS Firewall.
Zapobiegnij atakom typu DNS Poisoning poprzez wyłączenie opcji DNS recursion na swoich serwerach nazw domenowych.

Jeśli padniesz ofiarą ataku DNS może to sparaliżować Twoją sieć, a także doprowadzić o kradzieży poufnych danych z organizacji. Poprzez protokół DNS można przejąć kontrolę nad innymi zasobami w sieci. Jest to niezwykle trudny do wykrycia atak i wymaga wdrożenia specjalistycznych narzędzi do monitorowania anomalii w sieci. Liczba ataków na DNS podwoiła się na przestrzeni roku!