PAN DNS

DNS sikkerhet med Dynamic Destination NAT

#TekniskeTips. Pan-OS.
DNS er sentralt og elementært i all kommunikasjon. Misbruk av DNS for å oppnå suksess for kriminelle er kjent.

Det er viktig å ta kontroll på all DNS kommunikasjon, samt sjekke innholdet hele tiden. Hvem snakker med hvilke DNS servere? I en bedrift eller et foretak vil det eksistere kommunikasjon mot et utall DNS servere ute på internett. Skulle du bli infisert, kan dine DNS innstillinger være noe som blir endret, for på den måten å kunne lure deg. Det er derfor viktig å gjøre et par tiltak:

  • Alle interne enheter styres mot egen DNS server
  • Dine egne DNS servere styrer du mot et sett med valgte offentlige DNS servere, basert på en sikkerhetvurdering. (Vi i Data Equipment kan hjelpe deg med disse vurderingene)
  • All annen DNS kommunikasjon sperres.

Vel, det er en relativt vanlig anbefaling, men vil for de aller fleste stoppe mye legitim kommunikasjon, grunnet IoT, OT, og andre løsninger med spesialkonfigurerte DNS innstillinger. Anbefalingen gjelder fortsatt, men man må være i stand til å håndtere unntakene. Enheter som ikke benytter standard DNS innstilling er å betrakte som avvik. Skyldes dette at man ikke kan endre innstillingene, at noen med administrator rettigheter har endret, eller er det en kompromittert enhet? Dette må man finne ut. Skulle man ville ønske å tillate enheter som ikke benytter standard DNS innstilling, kan man få til dette på en mer kontrollert måte.

Ta kontroll på all DNS ut av ditt nettverk

Palo Alto Networks har en funksjon som heter «Dynamic Destination NAT», med egenskapen å fange opp bl.a all DNS kommunikasjon, og deretter sende denne til en valgt destinasjon.

Les mer

Eksempel:

NAT policy origin

NAT policy translated

 

Generell DNS sikkerhet, med innsyn i DNS kommunikasjon, for å stoppe uønskede forespørsler

 

DNS sikkerhet som en del av Threat Prevention

En DNS sikkerhet er knyttet til Threat Prevention lisensen, og Anti Spyware. Denne oppdateres regelmessig med nye signaturer. Beskyttelsen legges i en Anti-Spyware profil, som igjen legges på alle regler som har med internettbasert DNS kommunikasjon

 

Anti Spyware Threat Prevention

 

DNS sikkerhet som en del av DNS Security

Den andre er knyttet til en egen DNS Security lisens. Denne konfigureres og brukes på akkurat samme måte som den første, men kommuniserer hver eneste ukjente forespørsel med skyen, for umiddelbar evaluering, med uendelig kapasitet i antall FQDNs

 

Anti-Spyware DNS Security

 

Data Equipment anbefaler at du sjekker ditt ACC for de siste 7 dager, filtrerer ut applikasjonen DNS og ser på hvilke destinasjoner som kommer opp. Du vil ha alle de kjente, men kanskje du også finner mange ukjente destinasjoner som du kanskje ikke vil føle deg så komfortabel med:

 

ACC DNS 7 dager

 

Ønsker du bistand til dette arbeidet, ta kontakt med oss i Data Equipment 

For mer informasjon 

Gøran Tømte-WEB_150x150

Gøran Tømte
CISO, Data Equipment
Mobil: 930 40 018
E-post: goran@dataequipment.no

 

 

Ønsker du å bli kontaktet?