Negeer DNS op eigen risico

Organisaties moeten goed letten op hun webverkeer, zeker wanneer ze bedrijfsapplicaties naar de cloud migreren. Een belangrijk protocol dat webverkeer mogelijk maakt, is Domain Name System (DNS). Dit is echter een van de minst gecontroleerde protocollen die er bestaat, wat allerlei risico’s met zich meebrengt.

Een vaak gebruikte analogie om DNS uit te leggen, is dat het fungeert als het telefoonboek voor het internet door mensvriendelijke computer hostnamen te vertalen naar IP-adressen. Voor bijna alle gebruikers is de meest voorkomende uitkomst dat de naam correct wordt geconverteerd, ongeacht wie de actie onderneemt of hoe lang het duurt. Echter, wat de meeste eindgebruikers niet weten (en niet interesseert) is wie de naamresolutie uitvoert, wat in de meeste gevallen hun standaard ISP is. En nog minder gebruikers hebben de moeite genomen om zich te registreren bij een dedicated DNS-service.

Helaas geldt hetzelfde in de zakelijke wereld. Alleen heeft de slechte controle van en toezicht op DNS-verkeer een impact op de prestaties en de security.

Verbeteren van de prestaties…

Veel internationale bedrijven vertrouwen op een centrale DNS voor het ‘opzoeken’ van de namen, in plaats van een lokale DNS. Hierdoor kunnen internationale namen worden opgezocht, zonder allerlei lokale servers te hoeven beheren. Alleen betekent dat, dat wanneer werknemers resources opvragen van een Content Delivery Network (CDN), ze naar de dichtstbijzijnde locatie van het hoofdkantoor worden gestuurd, en niet per se waar ze zich op dat moment bevinden. Dit kan leiden tot verminderde prestaties, zeker in het geval van IP-telefonie of videoconferencing, zoals beschreven door Microsoft als onderdeel van hun officiële Skype-documentatie. Om de gewenste prestaties te garanderen, is het noodzakelijk de naamresolutie te kunnen herschrijven op basis van de daadwerkelijke geografische locatie van de gebruiker. Dit is veel eenvoudiger te doen in de cloud dan bij het managen van meerdere lokale DNS-servers.

…en security!

De essentiële rol die DNS speelt in security is duidelijk. De DNS zorgt ervoor dat werknemers worden geleid naar de websites die ze opvragen. Dat betekent dat een aanvaller die controle krijgt over de DNS in staat is perfecte, grootschalige phishing-aanvallen kan uitvoeren via de DNS, alsook via externe bestemmingen op het web en interne applicaties. Om zich te beschermen tegen deze potentiële aanvallen is het handig om technologieën zoals DNS Security Extensions (DNSSEC) te implementeren, die DNS-records van een digitale handtekening voorziet om de data te certificeren. Of DNS over TLS, dat DNS-verkeer versleutelt om de vertrouwelijkheid van de query te beschermen. Deze aanpakken worden echter nauwelijks toegepast in zakelijke netwerken omdat ze meer complexiteit toevoegen aan een eenvoudig systeem dat lang op zichzelf heeft gefunctioneerd. Dit is een gevaarlijke houding die er mogelijk voor zorgt dat een organisatie kwetsbaar is voor phishing en andere aanvallen.

De DNS kan nog op vele andere manieren worden gecompromitteerd. Zo gebruikt bijvoorbeeld steeds meer malware DNS om data te halen uit TXT-velden, waarbij ze misbruik maken van het feit dat dit protocol zelden wordt geïnspecteerd, laat staan gefilterd. Volgens een onderzoek dat is uitgevoerd door EfficientIP in 2018, gebruikt 91 procent van de malware een DNS-resolutie om contact te maken met zijn command & control-server. Toch ziet slechts 38 procent van de organisaties het beschermen van hun DNS als een prioriteit.

Om het nog ingewikkelder te maken, maken sommige antivirusprogramma’s zelf gebruik van DNS-tunnelling voor hun basis signature-updates, zelfs wanneer ze worden geblokkeerd door een firewall. In deze omstandigheden is het lastig om te onderscheiden wat legitiem en kwaadwillend verkeer is. Daarom moeten organisaties hun DNS-servers gaan beschermen en de verkeersstromen inspecteren om ongewilde verrassingen te voorkomen. Deze inspectie is helaas niet onbelangrijk en kan het helpen kunstmatige intelligentie toe te passen op het grote aantal queries om afwijkingen te detecteren die anders onder de radar blijven. Ook bij het uitvoeren van dit soort analyses is de cloud een zeer nuttige tool.

DNS mag niet worden genegeerd. Dit is namelijk de allereerste transactie die plaatsvindt wanneer men verbinding maakt met het internet. Daarom is het belangrijk DNS-controles toe te voegen aan de rest van de security-mogelijkheden. Door gebruik te maken van een cloud die native een proxy-gebaseerde architectuur biedt, zorg je niet alleen voor betere beveiliging, maar tevens voor een geoptimaliseerde gebruikerservaring.

Dit is een ingezonden bijdrage van Yogi Chandiramani, VP of Systems Engineering bij Zscaler. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.