fbpx

Business

Jen firewall nestačí - hrozba DNS je reálná!

DNS firewall jako nutnost (?)

Server HelpSecurity.com se nedávno zamyslel nad tím, že DNS firewally už nejsou vhodný doplněk, ale naprostá nutnost. Tato myšlenka vznikla v souvislosti se zvýšeným výskytem cílených DNS útoků. Čeká tedy firmy nákup dalšího řešení?

O DNS bezpečnosti už jsme několikrát psali: Posledním článkem byl útok na laboratoř NASA. Jen připomeňme, že jde o jednu z nejčastějších hackerských metod pro zcizení uživatelských dat. Děje se tak proto, že zabezpečení tohoto protokolu je často nedostatečné nebo dokonce žádné. Na Firewallu je port 53, přes který DNS komunikuje, nejčastější s defaultním pravidlem “Allow” – tedy “Povolit”. Pro hackera je to spíš “Vstupte”. A brány na kontrolu webu či email nejsou zpravidla vyřešeny vůbec…

 

Kudy hackeři útočí

V zásadě existují tři způsoby, jak může být DNS hackerem zneužito: První je přímo u uživatele, který si vpustí do svého zařízení malware: Ten pak vesele přepíše konfiguraci DNS zařízení a umožní hackerovi neomezený přístup.

Druhým je veřejné Wi-Fi. Často nijak nezabezpečený přístupový bod, přes který lze relaci snadno unést. Hacker si zajde do kavárny a ke kávě a borůvkovému muffinu si dá i údaje všech ostatních zákazníků: Kam přistupovali, jaké údaje kde vyplňovali…

Třetí hrozbou pro DNS jsou pak samotné záznamy: Ukradením přihlašovacích údajů mohou útočníci přistupovat ke konkrétním účtům DNS a přesměrovat provoz na web, který ovládají. Nebo ve větším měřítku mohou napadat registrátory DNS a měnit více záznamů.

 

Co dělá hacker potom

Výše popsané techniky mohou být použity pro řadu účelů: Lze například odeslat uživatele na „špatný“ web, který stahuje malware nebo odcizuje přihlašovací údaje. Mohou být použity proti SaaS aplikaci – například CRM programu – za účelem exfiltrace dat. A mohou být použity při cíleném útoku proti konkrétní organizaci k získání přístupu k firemním e-mailům nebo soukromým síťovým prostředkům. To nezní úplně hezky, že?

Existuje řešení? Ve zkratce: Ano, ale… Rozhodně nejde o univerzální krabičku, kterou admin připojí do sítě a má vystaráno. Každá organizace si musí stanovit priority a určit úroveň zabezpečení, které potřebuje. A podle toho následně implementovat jeden nebo více produktů.

 

Jak to zabezpečit?

Aby byli uživatelé chráněni před škodlivými doménami, mohou podniky použít bezpečnostní řešení, které kontroluje reputaci DNS, blokuje přístup ke známým špatným doménám a proxy přístup k podezřelým doménám. Avšak – aby to bylo efektivní na i noteboocích mimo firemní síť, bude třeba nasadit také agenta koncových bodů. Důkladný přístup zpravidla zabrání uživatelům přejít na špatný nebo podvodný web v případech, kdy došlo k ohrožení vyhledávání DNS nebo jeho záznamu.

Pokud jde o ochranu vašich aplikací před cíleným útokem, první linií obrany je použití zabezpečené, spravované registrační služby DNS. Ale to není konec: Přestože služby jako DNSSEC významně snižují riziko, nechrání se před všemi formami útoků. V tomto ohledu je dobré prozkoumat nabídku specializovaných společností v oblasti DNS zabezpečení – my doporučujeme řešení z portfolia Infoblox.

Sdílet:
PŘEDCHOZÍ ČLÁNEK

Posted by -
DALŠÍ ČLÁNEK
Posted by -

Chcete dostávat měsíční přehled toho nejzajímavějšího z ICT Blogu?