Ny veiledning i DNS-filtrering

Publisert: 16.11.2017

Internett blir i økende grad misbrukt for å kompromittere bedrifter og hente ut sensitive data. Når en bruker mottar et skadelig dokument eller klikker på en skadelig lenke, skjer det en rekke hendelser som leder til kompromittering av brukerens maskin. DNS-filtrering har potensiale til å stoppe slik aktivitet tidlig i hendelsesforløpet, slik at IT-driftsavdelingen kan identifisere og håndtere problemet før sensitive data kommer på avveie.

Når brukeren åpner den skadelige lenken eller dokumentet, opprettes det kommunikasjon med bakmennenes infrastruktur på Internett. For å unngå deteksjon og filtrering, vil denne infrastrukturen gjerne være basert på botnett. Det innebærer at trusselaktøren først har kompromittert et stort antall maskiner utenfor virksomheten, og satt dem opp til å servere skadelige nettsider (single-flux). For i tillegg å unngå filtrering av IP-adressene, vil det ofte være "skadelige DNS-servere" i det samme botnettet. Fordelen med å bruke botnett sett fra angriperens ståsted, er at det kun er angriperen som kjenner til hvilke IP-adresser som til enhver tid er kompromittert og under angriperens kontroll. Dermed er det ikke lett for IT-avdelingen å filtrere alle disse adressene for å unngå kompromittering. Et botnett består gjerne av tusenvis eller titusenvis av maskiner, og adressene skifter hyppig, både fordi bakmennene administrerer botnettet slik, men også fordi det stadig kommer til og faller fra kompromitterte maskiner.

Vanlig domene- og IP-filtrering i brannmuren evner normalt ikke å holde følge med en slik trusselvektor. Det er fordi brannmuren normalt ikke får løpende oppdateringer av svartelister, men selv må etterspørre dem. Intervallet på dette er normalt mye lengre enn botnettets rotasjonshastighet (ofte mer enn 60:5, målt i minutter), men selv om det skulle vært 1:1, ville forskjellen på pull/push gjort brannmuren lite egnet til en slik oppgave.

En løsning på dette problemet er DNS-filtrering ved bruk av svartelister, i denne sammenhengen kalt "Response Policy Zone" (RPZ). RPZ fungerer ved at virksomheten setter opp en lokal DNS-server som støtter RPZ, tegner et abonnement hos en svarteliste-leverandør, samt omdirigerer all DNS-trafikken gjennom denne serveren. RPZ-svartelister fungerer bra både fordi de leveres forløpende (push-varsel) og fordi de fungerer hierarkisk på samme måten som DNS. Det sistnevnte gjør at man ikke behøver å kjenne alle de skadelige domenenavnene på forhånd, men for eksempel kan blokkere ISP-en eller domeneleverandøren i stedet.

Veiledningen "U-12 DNS Response Policy Zone (RPZ)" beskriver hvordan man går frem for å sette opp en RPZ-server på en sikker måte, samt hvilke lokale vurderinger man bør gjøre før produksjonssetting av løsningen.

RPZ kan benyttes til å forhindre at ikke-kompromitterte maskiner på innsiden av virksomheten oppretter kontakt med uønskede domener, at kompromitterte maskiner "ringer hjem" til angriperen, eller at ondsinnede aktører oppretter kontakt med servere i virksomheten - for eksempel for å spamme dem med epost. Spam-blokkering med RPZ forutsetter "Forward-confirmed reverse DNS" (FCrDNS)-støtte på epost-serveren.

Selv om RPZ filtrerer DNS-protokollen, er den ikke laget for å motvirke tunnelering eller sidekanaler (covert channels). Bruk av DNS-svartelisting kan likevel bidra ved å vanskeliggjøre noen slike aktiviteter.

Kontaktpunkt for denne veiledningen er si@nsm.stat.no. Faglige kommentarer og innspill mottas med takk.

comments powered by Disqus