7 maneiras para manter o DNS seguro

O Domain Name System (DNS) há muito tempo é um alvo favorito para os atacantes. Independentemente dos criminosos estarem querendo usar o DNS para direcionar o tráfego de forma incorreta a fim de roubar informações, obter acesso ou iniciar ataques que negam acesso aos recursos da vítima, esse é um link crítico que pode se tornar uma enorme vulnerabilidade.

A vulnerabilidade do DNS foi colocada sob os holofotes no ataque do malware Mirai ao serviço DynDNS em 2016. Nesse caso, o ataque a uma única fonte de DNS teve um impacto em diversas organizações. E essa é uma das grandes atrações que o DNS tem como alvo: A interrupção do DNS pode ter um impacto desproporcional na organização (ou organizações) afetadas por um ataque.

Outras qualidades tornam o DNS uma ferramenta favorita para hackers. Como as informações retornadas são consideravelmente maiores do que a consulta e o DNS é um serviço que praticamente todos os firewalls permitem, os servidores DNS são ferramentas úteis de amplificação em ataques DDoS. Essa característica requer que os servidores e serviços de DNS precisem ser protegidos em duas dimensões diferentes.

Primeiro, o DNS deve ser protegido para que continue a resolver nomes de forma consistente e correta para a organização que atende. Em seguida, ele deve ser protegido para que não possa ser usado como arma contra outras organizações e indivíduos. Muitas das etapas para proteger uma também protegerão a outra, mas alguns mecanismos defensivos se concentram em um aspecto ou outro.

Muitas das etapas de proteção nesta matéria do DarkReading podem ser tomadas sem sair correndo para comprar um novo hardware de rede. A pergunta para muitas organizações será como priorizar as etapas defensivas e garantir que todas as etapas executadas funcionem em harmonia para proteger a rede, os aplicativos e os usuários de uma organização.

1.DNSSEC
Em grande parte, proteger o DNS hoje começa com o DNSSEC — DNS Security Extensions — As Extensões de Segurança do DNS lidam com um conjunto de tarefas extremamente importantes. O DNSSEC tem tudo a ver com a certeza de que o servidor (ou serviço) com o qual você deseja conversar é o que você está realmente falando.

O DNSSEC usa um resolvedor de DNS com validação DNSSEC para verificar as assinaturas de DNS e garantir que as informações de resolução não tenham sido alteradas e que o servidor de resposta seja o servidor correto. É importante observar que as assinaturas no DNSSEC não são usadas para nenhum tipo de criptografia — elas são responsáveis apenas pela validação da identidade dos servidores envolvidos.

Também é importante observar que o DNSSEC pode proteger mais do que apenas páginas da Web. Qualquer serviço que use um endereço baseado em DNS, de e-mail a mensagem instantânea, pode se beneficiar da autenticação do servidor fornecida pelo DNSSEC.

2.DNS Distribuído
O DNS é, por sua própria natureza, uma arquitetura distribuída. Desde os servidores raiz, passando pelos servidores com autoridade até os servidores locais que as organizações podem hospedar para agilizar as consultas, o DNS foi projetado para distribuir sua carga de trabalho para um grande número de servidores. Isso é bom, mas pode ser ainda melhor se uma organização otimizar a distribuição de seus servidores de resolução.

A distribuição em serviço da segurança pode significar ter vários servidores DNS ou serviços disponíveis em uma configuração redundante. Por exemplo, se a sua organização gerencia seu próprio servidor DNS, um contrato com um serviço DNS como Oracle Dyn, Edgecast ou Cloudflare pode ser um fator significativo para a resiliência do sistema no caso de um ataque DDoS contra o servidor local.

3.SIEM
Os sistemas de gerenciamento de eventos e informações de segurança (SIEM — Security information and event management) não são específicos do DNS, mas podem ser essenciais para garantir a operação contínua do servidor DNS no caso de um ataque. Como acontece com qualquer outro serviço de rede monitorado, a chave para o uso efetivo do SIEM é vincular a fonte de informações do servidor DNS ao SIEM.

Embora existam elementos da ligação que serão específicos para o SIEM em questão, outros aspectos são comuns a muitos sistemas. Além disso, a equipe precisará decidir quais eventos são apropriados para quais tipos de alertas e respostas automatizadas.

É óbvio que os SIEMs não são os únicos dispositivos de segurança disponíveis para proteger o DNS. Em particular, um firewall de próxima geração (NGFW) pode ser o componente central de uma matriz de segurança que inclui proteção de DNS. Mas, para a maioria das organizações, incluir informações de DNS nas entradas do SIEM será uma importante etapa inicial na proteção de seu DNS.

4.Response Policy Zones (Black List)
Uma das formas mais comuns de DNS usado para um ataque é quando um servidor DNS é alimentado incorretamente ou falsifica dados. Este artigo já apresentou o DNSSEC como um método para combater informações incorretas do servidor. Mas outro método, o RPZ (zona de política de resposta de DNS), pode ser particularmente útil quando servidores ruins ou preferenciais são conhecidos.

O primeiro uso do RPZ é bloquear o acesso a destinos ruins conhecidos através de um black list. Estes podem ser servidores de comando e controle (C & C) reconhecidos para botnets e malwares ou sites que são conhecidos por serem vetores de distribuição de malware. Diversas organizações diferentes mantêm listas desses servidores conhecidos — organizações que incluem Dissect Cyber, Infoblox, Spamhaus e SURBL.

Dependendo da natureza do site ruim, os usuários que entram no link podem ser descartados, redirecionados para o site “real” ou direcionados para uma página de informações explicando que o site escolhido é ruim e não pode ser visitado do equipamento e da rede da organização. Essas respostas demonstram outro conjunto de usos de um recurso RPZ diferente: a lista de desbloqueio ou whitelist.

5.Response Policy Zones (Whitelist)
Assim como os RPZs podem impedir que os usuários visitem sites ruins conhecidos, eles podem garantir que usuários descuidados ou desajeitados acessem sites conhecidos que possam educá-los e protegê-los de criadores de malware e de si mesmos.

O RPZ foi desenvolvido como parte do sistema BIND (Berkeley Internet Name Domain), que faz parte de praticamente todas as distribuições Linux e é o servidor DNS padrão para Linux. Ao bloquear sites, como na lista negra, o RPZ é frequentemente descrito como sendo um firewall do DNS. Quando não apenas bloqueia, mas redireciona o usuário para um site bom ou informativo sintetizado, ele faz parte de um “perímetro” de destinos seguros.

O BIND é de código aberto e neutro de fornecedor. Várias empresas e organizações diferentes fornecem as informações de reputação nas quais as respostas de RPZ são construídas; é possível se inscrever em várias listas de reputação para uma cobertura mais completa ou abrangente.

6.Taxa limite
O DNS se torna uma arma quando um servidor DNS é inundado com solicitações de um endereço falsificado. Quando os dados são retornam, sobrecarregam a vítima inocente. Este ataque pode ser reduzido quando a taxa de respostas a consultas de um único endereço for limitada.

No BIND, a limitação de taxa é relativamente simples de implementar usando um comando padrão. Com isso, um administrador pode especificar quantas consultas de um único endereço por segundo receberão uma resposta. Em outros sistemas DNS, como o servidor DNS do Windows, o processo é semelhante, embora as opções para o ajuste fino dos limites possam variar, de forma que as consultas de endereços ou sub-redes boas conhecidas sejam tratadas de maneira diferente daquelas desconhecidas.

A limitação de taxa, configurada corretamente, pode restringir a capacidade dos atacantes de usar o servidor DNS como uma arma, permitindo que ele atenda às necessidades de DNS dos usuários legítimos da organização.

7.Quad9
O Quad9 é um provedor de DNS semelhante em alguns aspectos ao DNS público do Google, OpenDNS, FreeDNS e vários outros. No entanto, difere de algumas maneiras importantes, e essas diferenças podem representar um futuro específico dos provedores de DNS.

O Quad9 é um projeto conjunto da Global Cyber ​​Alliance (GCA), da IBM e da Packet Clearing House. Além da resolução básica de nomes, o Quad9 (designado por seu endereço, 9.9.9.9) destina-se a bloquear a grande maioria dos sites maliciosos, incluindo aqueles que hospedam e controlam malware, infraestrutura de botnet e muito mais. Para isso, o Quad9 coleta informações de reputação e segurança de 18 parceiros diferentes, incluindo F-Secure, abuse.ch, Cisco, Proofpoint e NetLab.

Além das funções de black list, o Quad9 oferecerá suporte a uma white list dos milhões de domínios mais solicitados e uma “golden list” dos principais sites (como Google, Amazon Web Services e Microsoft Azure) que devem ser sempre considerados “seguros. “ Os dois tipos de listas têm como objetivo manter um alto desempenho, ao mesmo tempo em que fornecem segurança contra agentes mal-intencionados e seus destinos mal-intencionados.

O DNS continua sendo um protocolo crítico para atividades da Internet de todos os tipos. Infelizmente, essas atividades continuarão a incluir atores mal-intencionados no futuro previsível. O uso de serviços e tecnologia disponíveis permitirá que as organizações fiquem mais seguras em seu uso de DNS, mantendo o desempenho e a funcionalidade que seus usuários exigem.

Quer colaborar conosco? Você pode fazer isso enviando artigos, ou assinando nossa newsletter para receber novidades toda a semana. Se quiser, também pode nos seguir no Facebook, Twitter e Linkedin.