image

US-CERT waarschuwt bedrijven voor uitgaand DNS-verkeer

zondag 30 augustus 2015, 09:44 door Redactie, 7 reacties

Het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT) heeft bedrijven en organisaties gewaarschuwd voor verkeer van kantoorcomputers naar openbare DNS-servers, omdat dit organisaties kan blootstellen aan onnodige beveiligings- en systeemproblemen.

Het US-CERT zegt een toename te zien van uitgaand DNS-verkeer waarbij computers openbare DNS-servers benaderen, in plaats van de DNS-servers van de organisatie. DNS-servers laten computers onder andere weten waar ze bepaalde websites of domeinen kunnen vinden. Als werkcomputers verbinding met openbare DNS-servers maken zijn er verschillende risico's, aldus het US-CERT. Zo kunnen ze in het geval van een kwaadaardige DNS-server naar phishingsites worden doorgestuurd of malware aangeboden krijgen.

Daarnaast kan personeel websites bezoeken die door de zakelijke DNS-servers worden geblokkeerd en kan op deze manier de monitoring en logging van DNS-verkeer worden omzeild, wat een belangrijk middel is om kwaadaardig netwerkverkeer te detecteren. Als laatste kan het ook de internetsnelheid verlagen, omdat DNS-caching niet wordt gebruikt. Organisaties krijgen daarom het advies om alleen toegestane DNS-servers op computers in te stellen en het netwerk zo te configureren dat uitgaand UDP- en TCP-verkeer naar poort 53, behalve dat van toegestane DNS-servers, wordt geblokkeerd.

Reacties (7)
30-08-2015, 11:27 door Anoniem
Je doet toch iets niet goed als organisatie als je geen firewall hebt waarop DNS verkeer standaard wordt geblokkeerd behalve naar de eigen DNS servers.
30-08-2015, 14:05 door Briolet - Bijgewerkt: 30-08-2015, 14:05
Zo makkelijk is dat niet dicht te zetten voor medewerkers die bewust de dns blokkade van de firma willen omzeilen. Op mijn laptop kan ik zo dnscrypt aanzetten en dan gaat hij via poort 443 naar een dns server die dat dnscrypt protocol ondersteunt.
30-08-2015, 16:54 door karma4
Door Briolet: Zo makkelijk is dat niet dicht te zetten voor medewerkers die bewust de dns blokkade van de firma willen omzeilen. Op mijn laptop kan ik zo dnscrypt aanzetten en dan gaat hij via poort 443 naar een dns server die dat dnscrypt protocol ondersteunt.
Je kunt veel niet initieel tegenhouden. Dan komt monitoring en analyse om de hoek om de ongewenste gevallen te detecteren. Doen ze dat goed en je wordt gepind, wat dan?
30-08-2015, 20:19 door Anoniem
Okay, je blocked DNS-aanvragen naar openbare DNS'en. Goh, type je toch simpel het IP-adres in.... Omzeil je de zakelijke DNS-servers ook...
31-08-2015, 03:53 door Anoniem
Door Anoniem: Okay, je blocked DNS-aanvragen naar openbare DNS'en. Goh, type je toch simpel het IP-adres in.... Omzeil je de zakelijke DNS-servers ook...

Dan is het gevaar van DNS-poisoning waar het artikel over gaat er ook niet..
Het gaat er gewoon om dat er (te)veel verkeer naar publieke, mogelijk onbetrouwbare DNS servers gespot is, niet over filtering of controle op DNS niveau..
31-08-2015, 11:22 door Anoniem
Door Anoniem: Okay, je blocked DNS-aanvragen naar openbare DNS'en. Goh, type je toch simpel het IP-adres in.... Omzeil je de zakelijke DNS-servers ook...

Uitgaande van de poging om websites te bezoeken ....
Leertip voor vandaag :

name based virtual hosting en de HTTP Host: header .
Bonustip : Nu ook voor SSL - : SNI .
====================================================

Wat je bereikt is dat je de 99% 'gewoon klikken' mensen op kantoor beter kunt beschermen tegen phishing of andere malware sites.

Dat geeft je alle tijd om het ontslaggesprek met de 'l33t' mensen zoals bovenstaand (of mr dnscrypt) , die alle moeite doen om zo'n site toch te bereiken voor te bereiden.
01-09-2015, 14:23 door Anoniem
Okay, je blocked DNS-aanvragen naar openbare DNS'en. Goh, type je toch simpel het IP-adres in.... Omzeil je de zakelijke DNS-servers ook...

Tuurlijk, tik jij lekker het IP in bij een shared webserver met een miljoen websites indien je een site op die server wil bekijken. Veel geluk met het vinden van de website. Denk je dat je alles enkel op basis van IP kunt opvragen ofzo ?

Het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT) heeft bedrijven en organisaties gewaarschuwd voor verkeer van kantoorcomputers naar openbare DNS-servers, omdat dit organisaties kan blootstellen aan onnodige beveiligings- en systeemproblemen.

En, waar vraagt de zakelijke DNS server de domeinen op ? Juist ja, bij andere publieke DNS servers op het internet. Overigens kan je je afvragen of bijvoorbeeld OpenDNS niet juist veiliger is dan de gemiddelde bedrijfs DNS server.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.