Ochrona DNS

Jak się chronić przed phishingiem, malware i podejrzanymi domenami?

Ochrona DNS, czyli jak się chronić przed phishingiem, malware i podejrzanymi domenami

Kategoria: Podcast


09.06.2021

Wpis powstał na podstawie cyklu Próba Połączenia, podcastu, w którym inżynierowie rozmawiają z inżynierami na tematy związane z sieciami, bezpieczeństwem i DevOps.

Ochrona DNS, co to jest?

DNS, czyli Domain Name System to system, którego zadaniem jest tłumaczenie adresów URL stron internetowych na język zrozumiały dla komputerów. Kiedy chronimy DNS, nie pozwalamy niepożądanym domenom na przekazywanie informacji do naszych użytkowników. W ten sposób możemy chronić ich przed atakami typu phishing lub ransomware. Gdy dodamy do tego coraz większy poziom cyfryzacji przedsiębiorstw, okaże się, że DNS jest kolejną cegiełką cyber-muru, który tworzą między innymi firewall w data center lub na styku z Internetem czy rozwiązania antywirus i anty-malware instalowane na urządzeniach końcowych. 

Wspomniane już firewalle czy antywirusy, choć stanowią solidny fundament bezpieczeństwa, nie obejmują wszystkich potencjalnych zagrożeń. Jednym z nich jest np. złośliwe oprogramowanie wgrane na pendrive, który podłączamy do firmowego komputera.

Aby atak został przeprowadzony, takie oprogramowanie musi połączyć się ze swoimi serwerami, do czego zazwyczaj używa zapytań DNS.

Dashboard z kategoriami zapytań DNS
Kategorie zapytań DNS

Czy DNS uchroni nas przed phishingiem?

Ochrona DNS świetnie się sprawdza też w odniesieniu do phishingu (fałszywych linków).Tu warto wspomnieć, że atakujący coraz lepiej potrafią podszywać się pod strony, do których chcą uzyskać dostęp. Wystarczy, że wyślą fałszywy mail do zmęczonej po całym dniu pracy osoby i zachęcą do logowania na stronę banku czy do mediów społecznościowych. 

System DNS security weryfikuje, czy link przychodzący w wiadomości email kieruje do zaufanej, czy podejrzanej strony www. W tym drugim przypadku, blokuje zapytanie DNS do takiego linku.

Ale DNS ma swoje zastosowanie i w pracy, i w codziennym korzystaniu z Internetu, kiedy nawet możemy nie zdawać sobie sprawy z zagrożenia dla naszych danych.

Gdy dodamy do tego coraz większy poziom cyfryzacji przedsiębiorstw, okaże się, że DNS jest kolejną cegiełką cyber-muru, który tworzą między innymi firewall w data center lub na styku z Internetem czy rozwiązania antywirus i anty-malware instalowane na urządzeniach końcowych. 

Jan Ćwierk, Security Engineer, Ingram Micro

Czy zabezpieczenia DNS sprawdzą się w pracy zdalnej?

Mimo, że służbowe laptopy, a razem z nimi dane firmowe, nie są zgrupowane w jednym miejscu, a coraz częściej znajdują się w środowisku rozproszonym, nadal możemy je chronić. Jak to się dzieje w przypadku Cisco Umbrella?

Możemy realizować ochronę DNS na dwa sposoby:

  1. Poprzez spięcie z sesją VPN. W takim przypadku ochrona DNS (np. Cisco Umbrella) jest już skonfigurowana wewnątrz naszej sieci i działa automatycznie.
  2. Możemy też zainstalować endpoint na naszym komputerze – Roaming Client, który wymusza ruch DNS przez serwery Umbrelli, a nasze dane są cały czas chronione.

W drugim scenariuszu użytkownik nie musi się już łączyć z VPN i kierować ruchu przez infrastrukturę organizacji.

Czy jest możliwe grupowanie użytkowników w Cisco Umbrella? 

Tak, jest to możliwe. Najlepszym sposobem jest integracja z Active Directory, co wymaga zainstalowania dodatkowego wirtualnego modułu on-premise i integracji Active Directory z tym modułem.

Wymagania techniczne spełnia każdy ze smartfonów, których używamy na co dzień. 

Dodatkowo możemy połączyć Roaming Client z Active Directory, a dzięki temu widzieć informacje o urządzeniu, które wysyła żądania DNS od zalogowanego użytkownika oraz informację nt. wewnętrznego ID. Jest to pokaźny zestaw informacji o użytkowniku i jego ruchach.

Czy mamy dostęp do innych funkcji?

Umbrella to prężnie rozwijający się produkt, regularnie uzupełniany o nowe funkcjonalności, Jedną z ciekawszych nowości jest Cloud Access Security Broker (CASB), który chroni użytkowników przy połączeniach z aplikacjami chmurowymi.

CASB i Secure Internet Gateway są dostępne w najwyższej możliwej opcji licencyjnej Umbrelli, co również pozwala na uzyskanie proxy. Możemy przekierowywać ruch przez serwery Umbrelli, zaimplementować rozszywanie SSL i zaglądać w ruch szyfrowany, a także korzystać z funkcjonalności cloudowego firewalla.

A co w sytuacji, gdy możemy potrzebować centralnego ISG?

Jest to idealna opcja dla klienta, który ma wiele lokalizacji, czyli jego środowisko pracy jest rozproszone. Dzięki ISG klient nie musi kupować osobnego firewalla do każdej lokalizacji. Zyskuje dzięki temu ogromna wygodę i bezpieczeństwo. Jest to gotowy produkt, który bardzo łatwo skalować i którym bardzo łatwo można zarządzać.

Jak się zabrać do wdrożenia? W jaki sposób skaluje się Cisco Umbrella?

Trzeba wziąć pod uwagę kwestie licencyjne – ilu pracowników potrzebuje tego oprogramowania? (ilu użytkowników będzie go używać?) – to decyduje o ilości licencji, które trzeba kupić. Umbrella jest licencjonowana na użytkownika, a nie firmę (prócz wyjątków licencjonowania na router czy Access Point).

Czego tak naprawdę potrzebujemy? Jaką funkcjonalność? Umbrella oferuje trzy plany subskrypcyjne:

  1. DNS Security Essentials.
  2. Advanced.
  3. Secure Internet Gateway.


Plany różnią się niektórymi funkcjonalnościami i stopniem ochrony. 
Podstawowa opcja to też podstawowa ochrona przed zagrożeniami wynikającymi z domen, która umożliwia tworzenie polityki bezpieczeństwa, integrację z Active Directory i daje możliwość korzystania z Roaming Client.

Wyższy poziom ochrony, czyli licencja Advanced, to dodatkowa możliwość selective proxy – czyli proxy wykorzystywanego połowicznie. W tym rozwiązaniu ruch, którego Umbrella jeszcze nie zna przechodzi przez selective proxy, po czym Umbrella analizuje go i daje odpowiedź. Przykład? Jeśli mamy nową nieoznaczona domenę, Umbrella przepuści ruch na tę domenę przez proxy, przeanalizuje go i odpowie nam, czy wpuszcza użytkownika czy nie.

Dodatkową opcją w Advanced jest Umbrella Investigate, czyli dodatkowy panel, w którym możemy śledzić i analizować domenę pod kątem zagrożeń i jej historii oraz Risk Score, czyli liczby punktów bezpieczeństwa przydzielonych domenie.

Najwyższa opcja ochrony to licencja Secure Internet Gateway. Tu w pakiecie dostajemy proxy, Gatsby czy firewall internetowy as a Service – czyli pełen pakiet ochrony, który chroni już całościowo pod każdym kątem.

Czy system ma jakieś ograniczenia?

Rozwiązanie jest uniwersalne i nie ma przeciwwskazań do wdrożeń Umbrelli w organizacji dowolnego typu i rozmiaru. Również istniejące polityki bezpieczeństwa nie stanowią przeciwwskazania do używania Umbrelli, ponieważ jedyny ruch, który wysyłamy przez Umbrellę to zapytania DNS, które i tak byśmy z naszych komputerów wysłali. Program więc nie kłóci się z lokalnymi rozwiązaniami systemu.

Jak można go przetestować Umbrellę?

Najlepiej przeprowadzić testy na własnej infrastrukturze, żeby sprawdzić jak produkt działa i czy spełnia nasze oczekiwania. Wdrożenie jest bardzo intuicyjne i, co ważne, nie koliduje z obecną infrastrukturą. Tutaj bardzo dobrze sprawdza się to na własnym systemie.

Standardowy czas trwania testu to 14 dni. Dostajemy wtedy dostęp do dashboardu, w którym możemy obserwować, co Umbrella wykrywa i reagować na to. 

Samo wdrożenie Cisco Umbrella przebiega łatwo i szybko. Wystarczy się zarejestrować, odpowiednio ustawić adresy DNS i… to wszystko. Jedyne czego potrzebujemy to połączenie z Internetem.

Pracownicy mogą się w ogóle nie zorientować, że nowe zabezpieczenie zostało wprowadzone, bo w ich systemach nic się nie zmieni. Dodatkowo możemy decydować, przed czym chcemy się chronić. Najczęściej bronimy się przed niepożądanymi stronami, phishingiem itp.

Artykuł został napisany na podstawie podcastu Próba Połączenia. O DNS security rozmawiali Marcin Biały z Grandmetic i Jan Ćwierk, który pracuje w Ingram Micro, a specjalizuje się we wdrożeniach i licencjonowaniu środowiska Cisco Umbrella. W swojej pracy wspiera partnerów w doborze rozwiązań i uaktualnia technologie pod kątem funkcjonalności u klientów.

Autor

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Sign up to our newsletter!


 

Newsletter