Bezpieczeństwo DNS z Cisco Umbrella

Usługa DNS to jeden filarów działania Internetu. Pozwala posługiwać się przyjaznymi nazwami domen, zamiast zapamiętywać dla każdej strony osobny ciąg liczb przedstawiający adres IP. Niestety „Internetowa książka telefoniczna” nie została zaprojektowana z myślą o bezpieczeństwie.

Zagrożenia w warstwie DNS

DNS jest również wykorzystywany w wielu współczesnych zaawansowanych atakach, dlatego należy zwrócić na niego szczególną uwagę w kontekście bezpieczeństwa. Wykorzystanie DNS przez atakujących można klasyfikować według wykorzystania w poszczególnych fazach ataku. W pierwszym kroku złośliwe oprogramowanie może próbować nawiązać połączenie z serwerem atakującego, zazwyczaj wykorzystując do tego właśnie protokół DNS. Następnym krokiem może być zestawienie kanału komunikacji z serwerem Command and Control (C&C), który umożliwi wydawanie poleceń oprogramowaniu atakującemu oraz przejęcie kontroli nad zainfekowanym systemem. Komunikacja DNS może również zostać wykorzystana do kradzieży danych. Przechwycone dane mogą być przesyłane w zapytaniach DNS do autorytatywnych serwerów, kontrolowanych przez atakującego (DNS Tunneling).

Ochrona warstwy DNS a Next-Generation Firewall

Czy potrzebujemy dodatkowej ochrony DNS posiadając w sieci działające urządzenia Next-Generation Firewall (NGFW)? Okazuje się, że jak najbardziej. Dostępne na rynku rozwiązania NGFW analizują komunikację sieciową różnego rodzaju silnikami bezpieczeństwa (Deep Packet Inspection – DPI). Jednak inspekcja wykonywana na podstawie adresów IP, numerów portów TCP/UDP czy sygnatur aplikacji potrafi poprawnie rozpoznać jedynie rodzaj komunikacji, np. zapytania i odpowiedzi DNS. Wyzwaniem pozostaje wykrywanie szkodliwej zawartości w treści samej komunikacji DNS.

Pracownicy coraz częściej wybierają pracę zdalną, w trakcie której mogą być pozbawieni firmowych środków ochrony, takich jak firewall lub serwery proxy. W tym przypadku ciężar zapewnienia bezpieczeństwa przesuwany jest z firmowych centrów danych na poziom stacji roboczych oraz serwisów chmurowych.

Czym jest Cisco Umbrella?

Cisco Umbrella jest rozwiązaniem zabezpieczającym komunikację DNS oraz HTTP/HTTPS dostępnym w chmurze. Pełni również funkcję firewalla oraz brokera zabezpieczającego ruch do aplikacji firmowych zlokalizowanych w chmurze. Rozwiązanie jest wspierane przez jeden z największych na świecie zespołów analityków bezpieczeństwa – Cisco Talos. Wykorzystując badania zespołu Talos, rozwiązanie Umbrella blokuje zapytania DNS do domen sklasyfikowanych jako złośliwe (malware), wyłudzające dane (phising), działające jako część botnetów czy też zawierające oprogramowanie typu ransomware.

Zaawansowane silniki analizy i bezpieczeństwa DNS, w które wyposażona jest Umbrella, pozwalają wykrywać i blokować kradzieże danych z firmowych sieci przy użyciu DNS Tunneling. Przeciwdziałając phisingowi, rozwiązanie wykorzystuje wskaźniki pochodzące z wielu źródeł, w tym leksykalnego grupowania domen, modelu przetwarzania języka naturalnego i identyfikacji domen homograficznych. Model Spine Rank wykrywa nagłe skoki aktywności do poszczególnych domen.

Metody wdrożenia ochrony DNS

Cisco Umbrella można wdrożyć na wiele dogodnych sposobów, dostosowanych do potrzeb organizacji. Wśród nich możemy wyróżnić:

  • podejście agentowe dla stacji roboczych – oprogramowanie agenta Umbrella Roaming Client lub moduł Umbrella w Cisco Annyconnect,
  • wykorzystując posiadaną infrastrukturę Cisco – routery Cisco ISR 4K, ISR 1100 i Catalyst 8K,
  • wykorzystując posiadane rozwiązanie Cisco SD-WAN – integracja Cisco SD-WAN Edge z Cisco Umbrella przy bezpośrednim dostępie do Internetu,
  • dla infrastruktury wewnętrznej – zastosowanie Umbrella Virtual Appliance – lekka maszyna wirtualna działająca jako warunkowy przekaźnik DNS (DNS forwarder), przesyłający zapytania do Cisco Umbrella lub do wewnętrznych serwerów DNS.

Podsumowanie

Pojedyncze rozwiązanie nigdy nie zapewnia pełnego bezpieczeństwa. Nie bez przyczyny mówi się, że bezpieczeństwo to proces, nie produkt. Posiadany stos zabezpieczeń wymaga ciągłego rozwoju oraz dostosowania do istniejących potrzeb i zagrożeń. Implementując rozwiązanie ochrony DNS, budujemy kolejną warstwę bezpieczeństwa. Podnosząc poziom ochrony, utrudniamy atakującym przeprowadzenie skutecznego ataku.