Gørandns_op_bilde

DNS-sikkerhet blir viktigere og viktigere

Av Gøran Tømte, CISO, Data Equipment

 
 
DNS,Domain Name System har vært en kjent angrepsvektor i flere år, og dette utnyttes fortsatt, i forskjellig grad. I lys av følgende artikkel, har jeg valgt å skrive denne artikkelen om DNS-sikkerhet.
 

Nation-State_850

 

Hva er DNS, hvorfor er DNS viktig og hvordan bruker vi DNS? 

Kommunikasjon på internett skjer med IP-adresser. Brukere går ikke rundt og husker IP-adresser på tjenesten de skal nå. Brukere husker navnet på tjenesten de skal nå, være seg vg.no, eller google.com for å kunne søke etter det man ønsker å se. For at man skal kunne opprette kommunikasjon, må serveren, klienten, PC, Mac, smarttelefon, server, IoT, kamera, smarthus etc, først kommunisere med en DNS server. 
 
DNS, Domain Name System, er en funksjon som oversetter navnet du benytter i internettleseren din, eller som applikasjonen er satt opp til å kommunisere med, til en IP adresse. Ønsker man å finne IP-adressen på en tjeneste, kan man benytte ping eller nslookup:
 
nslookup vg.no
Server: 128.65.66.2
Address: 128.65.66.2#53
 
Non-authoritative answer:
Name: vg.no
Address: 195.88.54.16
Name: vg.no
Address: 195.88.55.16
 
Server: 128.65.66.2 er DNS server adressen man har definert på sin klient. 195.88.54.16 og 195.88.55.16 er IP adressene for tjenesten vg.no, som klienten vil kommunisere imot for å få opp websiden.
 
 
Noen ganger får man én IP-adresse som svar, andre ganger får man flere IP-adresser. En tjeneste kan eksistere flere steder, i flere datasenter, samt flere steder i verden, noe som kan resultere i flere IP-adresser, eller dynamiske IP-adresser. 
 
DNS kan også benyttes for å skape robusthet ved utfall av en tjeneste og/eller lokasjon. Derfor er DNS en veldig viktig del av all kommunikasjon på nettet.
 
Til å være en så viktig del av all kommunikasjon man foretar seg på nettet, være seg på internett, eller på kontoret, vies denne funksjonen ofte lite sikkerhet. Dette blir derfor veldig sårbart. Flere velger en DNS-tjeneste , være seg sin egen internett leverandør sin tjeneste, Google DNS, eller en god gammel DNS-server man har benyttet i alle år, og «stoler» på denne. 
 
I tillegg har flere og flere enheter, som IoT, samt applikasjoner, hardkodede DNS-innstillinger, som ikke tar til seg dynamiske innstillinger fra DHCP.
 
I tillegg har vi sett at IoT-utstyr endrer DNS-innstillinger selv dersom ønsket kommunikasjonsforbindelse ikke kan opprettes.
 
Alt dette skaper sårbarheter. Store sårbarheter.
 
 

Hvorfor misbrukes DNS, og hvordan misbrukes det?

Som nevnt, DNS er en sentral og sårbar komponent i all kommunikasjon på nettet. Dette gjør derfor mekanismen til en effektiv hjelper for å oppnå suksess for uærlige aktører. Her setter kun fantasien begrensninger.  
 
 
DNS4_850

Kilde: https://www.paloaltonetworks.com/products/threat-detection-and-prevention/dns-security

 

 

Operasjonelle DNS-hendelser

Er DNS ute av tjeneste, vil de aller fleste tjenester være ute av drift. Operasjonelle hendelser, som nedetid, forårsaket av DNS problemer, ransomware eller DDoS, oppdages, får fokus, men er fra et informasjonssikkerhet eller datalekkasje ståsted ikke farlig.
 
Eksempel på en operasjonell DNS hendelse er Mirai-hendelen, der IoT-utstyr ble misbrukt for å ta ned store DNS-tjenester, som igjen gjorde at mange kunder mistet all kommunikasjon:
  • https://en.wikipedia.org/wiki/2016_Dyn_cyberattack
  • https://www.csoonline.com/article/3258748/the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-internet.html
  • https://www.wired.com/story/mirai-botnet-minecraft-scam-brought-down-the-internet/
 
 

DNS-hendelser fra et informasjonssikkerhets ståsted

Operative hendelser som Mirai, er i utgangspunktet ikke farlig fra et informasjonssikkerhets ståsted. Informasjonssikkerhet, som datalekkasjer, er noe mange tenker ikke vil ramme dem selv. Datalekkasjer oppdages ofte ikke, og gis dermed lite fokus hos de aller fleste. Ser man på den nylige hendelsen nevnt i starten på artikkelen, ser man at man kan utsettes for hendelser uten å se det. Hvorfor gjøres dette? Som artikkelen nevner, kan man med enkle grep sende en klient til falske websider og tjenester, som utgir seg for å være ekte, og da er det bare fantasien som setter grenser for hva man kan gjøre: 
  • Brukernavn og passord uthenting. 
  • Ta over legitime sesjoner til nettbank og andre sensitive kommunikasjoner, eller kanskje bare avlytte og logge det som skjer, for et utall av årsaker.
 
 

Så hva kan man gjøre?

Data Equipment og Palo Alto Networks har flere funksjoner som kan adressere dette, på enkle og veldig effektive måter
 

Benytt policy for kontroll av DNS-kommunikasjon

Tradisjonell og anbefalt sikkerhet, tilsier at alle interne enheter kun skal snakke med en intern og godkjent DNS-server. Dette er enkelt å styre med policy. Benytter man Zero Trust, eller brannmurens default policy, vil ingenting slippe igjennom uten at det eksplisitt er tillatt. Man lager derfor en regel for all DNS-trafikk fra innsiden, å være tillatt mot intern DNS-server. Enkelt. Deretter må man la DNS-serveren snakke med en ekstern DNS-server, og da helst med en  man har gjort en sikkerhetsvurdering av på forhånd. So far so good. 
 
Men... ny utfordring. IoT og Apps. Flere og flere har hardkodet DNS-konfigurasjon, og vil derfor ikke prøve å kommunisere med intern DNS-tjeneste, men direkte med en annen spesifisert DNS-tjeneste på internett. Dette igjen fører til at den gode DNS sikkerhetspolicyen vil knekke nye og moderne systemer og løsninger, og man må åpne mer i brannmuren sin. Dette kan i de fleste tilfeller være OK, men det åpner også for nye sårbarheter. Hva om noen får tilgang til IoT-utstyret, eller annet utstyr, og endrer DNS innstillinger? Hvordan er sikkerheten på DNS-tjenestene som nå benyttes? Den gamle modellen holder ikke lenger. Data Equipment jobber i dag med kunder som ser DNS-trafikk mot flere hundre forskjellige DNS servere. Dette er for kundene en stor sikkerhetsutfordring, og noe vi hjelper til med å adressere.
 

Benytt NAT policy for kontroll av DNS-kommunikasjon

Palo Alto Networks har funksjonen «Dynamic Destination NAT». Med denne funksjonen kan man se all DNS-trafikk, uavhengig av destinasjons IP-adresse, og endre destinasjons IP-adresse til egen intern DNS-tjeneste. Dermed løser man enkelt den nye utfordringen IoT og diverse apps gir. Denne funksjonen kan forøvrig benyttes på akkurat samme måte for NTP, Network Time Protocol, for å sikre at alt utstyr man har i nettet har eksakt lik klokke. Det er svært viktig at man har lik klokke på alt utstyr, og manipulering tiden kan forårsake store problemer. 
 

Hva gjør man når den eksterne DNS-kommunikasjonen kompromitteres?

Man kan gjøre flere ting internt, på klienter, i nettverket, på brannmuren, og på egen DNS-server. Men hva når noen påvirker den eksterne DNS-aktiviteten? Da må man verifisere den eksterne kommunikasjonen. Palo Alto Networks har derfor lansert DNS Security som en funksjon og tjeneste. Denne validerer alle forespørsler for at de skal komme igjennom, og man får på denne måten et ekstra lag med sikkerhet som alltid vil være der, på alle forespørsler, og ikke bare for monitorering, logging og rapportering.
 
 

DNS Sec_900

 

Les mer her

  • https://www.paloaltonetworks.com/products/threat-detection-and-prevention/dns-security
  • https://docs.paloaltonetworks.com/dns-security

 

 

DNS_900

 

DNS er alfa omega i så og si all kommunikasjon, internt og eksternt. Manipulasjon av DNS vil derfor være veldig effektivt og derfor er sikkerhet for denne kommunikasjonen veldig viktig.

 

DNS 2_850

Kilde: https://www.paloaltonetworks.com/products/threat-detection-and-prevention/dns-security

 

 

Zero Trust, og DNS-kommunikasjon

Zero Trust bygger på konseptet om at du allerede er kompromittert. Det bygger på konseptet om at noen allerede er i nettet ditt, og allerede har kontroll på flere elementer, enten du vet det eller ei. Det samme gjelder for DNS. Hvordan kan du vite om DNS er manipulert, om du ikke merker det? 
 
Helse Sør-Øst og Norsk Hydro har i etterkant av sine hendelser fortalt at aktører har vært i nettverket deres i lang tid før de oppdaget det.
 
Velger man å kjøre med Zero Trust som sikkerhetsstrategi, vil DNS-kommunikasjonen også falle inn under strategien, og man kan ikke stole på DNS, svarene man får, eller den generelle kommunikasjonen. Man må derfor etablere en Zero Trust policy, inkludert NAT, og deretter inspisere all kommunikasjon. Dette er nøkkelkomponenter i Zero Trust.
 
Nasjonal Sikkerhetsmyndighet sine Grunnprinsipper for IKT-sikkerhet og DNS
 
CIS, Center for Internet Security, og DNS
 

Data Equipment og DNS-sikkerhet

Data Equipment er forhandler av Palo Alto Networks, har høyeste partner status, Diamond, har ASC, godkjent support senter, ATC, godkjent kurssenter, CPSP og er Professional Service partner. Vi har 15+ toppsertifiserte og erfarne sikkerhetskonsulenter som jobber med dette fagområdet hver eneste dag, hos store og små, offentlige og private kunder. 
 

Ønsker du å teste DNS-sikkerhet?

Vi kan enkelt og uten nedetid teste DNS-sikkeheten for å gi deg synlighet og rapportering. Dette er gjort på minutter.

Ønsker du å bli kontaktet?