Blog

Security

DNS, is dat secure by design?

13 jul 2016

Vrijwel gelijk nadat het internet zijn intrede deed, is het Domain Name System (DNS) ontwikkeld. Dit indexsysteem zorgt ervoor dat wij websites eenvoudig kunnen opzoeken. We hoeven niet het volledige IP-adres in te geven, maar door simpelweg www.nu.nl in te typen komen we op de plaats van bestemming. Deze domeinnamen zijn veel eenvoudiger om te onthouden dan een IP-adres. Helaas is het Domain Name System (DNS) niet secure by design en hebben kwaadwillenden er een sport van gemaakt om met camouflagetechnieken de gebruikers te misleiden naar een andere site. Hier kunnen zij dan vervolgens gegevens ontvreemden of toegang regelen naar het bedrijfsnetwerk. Wat kun je hier als IT-manager tegen doen? Daarover gaat mijn blog.

Ron Hehemann door Ron Hehemann

Vandaag de dag zijn er miljarden websites. Doordat het zoveel websites zijn, is het beheer voor deze websites onderverdeeld. Dat is terug te zien in de naamgeving van de sites zoals .nl, .de, .es en ook .com, .gov en .edu. Achter één website, laten we www.nu.nl als voorbeeld aanhouden, zitten soms wel meer dan 30 verschillende locaties waar de opgevraagde informatie vandaan wordt gehaald. Hier kunnen soms ook onveilige locaties tussen zitten.

DNS
Het is voor hackers big business geworden om bezoekers van een website naar een andere locatie te leiden en hen daar te verleiden om bepaalde gegevens achter te laten, gegevens te gijzelen (ransomware) of om (malafide) software te downloaden en zichzelf zo toegang te verschaffen tot het (bedrijfs)netwerk. De camouflagetechnieken die toegepast worden zijn vaak zo goed dat men niet eens doorheeft dat er een foute site bezocht wordt.

OpenDNS

Hoewel bewustzijn en gezond verstand een kleine eerste stap zijn richting veiliger internetgebruik, kan alleen de juiste tooling een redelijk hoge graad van veiligheid met zich meebrengen. OpenDNS is een nieuwere DNS-provider waarbij extra gelet wordt op signalen die duiden op de aanwezigheid van hackers. OpenDNS biedt daarbij bescherming tegen malware en phishing. Dus wanneer een kwaadwillend iemand de naam www.nu.nl wil gebruiken en hier vervolgens een verkeerd IP-adres aan koppelt, dan wordt het verkeer naar dat IP-adres geblokkeerd. Kan je met OpenDNS dan ransomware blokkeren? Dat ligt aan een aantal factoren. Hoe komt de ransomware je netwerk in? Gaat dit door middel van een download, een verkeerde websiteklik of komt het ‘old school’ binnen via een USB drive?

In onderstaand schema, zie je de mogelijke stappen die genomen worden om u te voorzien van de Ransomware.

OpenDNS
OpenDNS Umbrella

OpenDNS Umbrella dient als een extra securityversterking zowel binnen als buiten de eigen netwerkgrenzen wanneer er een DNS-verzoek ingegeven wordt. Wanneer iemand onbewust naar een malafide site gaat, kan OpenDNS Umbrella het verzoek van de browser nog blokkeren voordat de site bezocht wordt. Ongeacht of dit nu door een klikactie of een redirect vanuit een besmette site is gebeurd. Als OpenDNS de exploit of phishing domain als malicious heeft bestempeld, dan blokkeert Umbrella die verbinding zodat er geen compromitterende bestanden opgehaald worden. Dit gebeurt eigenlijk op dezelfde manier hoe een Bol.com leert van het koopgedrag en daarop voorstellen doet voor een nieuwe aankoop. OpenDNS leert van het internetverkeer wat oploopt tot meer dan 80+ miljard dagelijkse DNS-verzoeken. Met behulp van statische modellen, is men in staat om automatisch nieuwe patronen te herkennen en verkeer te classificeren. Ook is het mogelijk om de doellocaties te voorspellen waar de exploit kits, phishing- en ransomware-varianten vandaan komen. Op basis van patronen in big data kunnen delen van de site geblokkeerd worden, omdat het afwijkt. Daarnaast is Umbrella uitstekend in staat om command- en controlverbindingen tegen te gaan, ook al wordt er gebruikgemaakt van willekeurige protocollen of poorten.

dnsumbrella
Cybercriminelen zijn slim en zoeken steeds naar nieuwe mogelijkheden om hun slachtoffers om de tuin te leiden. Het is voor de eindgebruiker, maar ook voor de IT-manager onmogelijk geworden om goed in te schatten welke domeinen veilig zijn om te bezoeken. Gelukkig staan we niet alleen in deze strijd en is er tooling en kennis voorhanden om zoveel mogelijk schade te voorkomen. Maak daar gebruik van, want voorkomen blijft natuurlijk altijd beter dan genezen.

Onderzoeksrapport security

Geïnteresseerd?

Ron Hehemann
Neem contact op met onze Security- specialist Ron Hehemann

Ron Hehemann is Security Consultant bij Telindus. Ron heeft meer dan 30 jaar internationaal ervaring op het gebied van besturingssystemen, networking, virtualisatie, informatietechnologie en -beveiliging. Als trainer en consultant op het gebied van CISSP, Ethical Hacking en voorheen Foundstone, heeft beveiliging al sinds het begin van de jaren negentig een grote invloed gehad op zijn manier van denken. Het draait nog veel meer om de mindset dat wat jij triviaal vindt voor de kwaadwillende medemens, een ingangspunt is in jouw organisatie. Vandaag de dag zijn er nog veel gebruikers in kleine en grote organisaties die dat bewustzijn ontberen. Men beseft nog te weinig dat imagoschade heel erg moeilijk te herstellen is en veel tijd kost. De associatie die men heeft met goede en matige merknamen kan je zelf invullen. Na werktijd is Ron actief in de sportschool, op de tennisbaan en is hij duikinstructeur.

geen reacties
Plaats een reactie