Column


Bart Verhaar over...

DNS: Achilleshiel of kloppend hart van het internet?

De grootste bedrijven hebben te maken met ‘DNS-problemen’ waardoor de dienstverlening niet of slechts gedeeltelijk beschikbaar is. Niet voor niets wordt DNS ook wel de ‘achilleshiel van het internet’ genoemd. Maar wel een onmisbare achilleshiel. Hoe voorkomt je dat de dienstverlening door DNS-problemen door de knieën gaat en de bezoekers van je website gevaar lopen?

Eerst terug naar de basis. Wat is DNS?
DNS staat voor Domain Name System. Dit systeem koppelt al sinds 1983 domeinnamen  aan IP-adressen. Het werkt als het ware als een ‘postcodesysteem’. Zoals een postcode verwijst naar een straat in een bepaalde plaats, zo lokaliseert het DNS-systeem de fysieke computer die een applicatie of website host. Als je bijvoorbeeld in je browser www.motiv.nl intikt, dan zoekt een ‘nameserver’ in een tabel op welk IP-adres hoort bij de opgegeven domeinnaam. Is het IP-adres bekend, dan is ook de server die de website host getraceerd en wordt de bezoeker daar naartoe geleid.

Is DNS belangrijk?
Jazeker. Er is namelijk geen alternatief voor DNS beschikbaar. Het protocol is dus cruciaal voor de werking van het internet. Zonder DNS is er geen communicatie tussen computers mogelijk, gaan e-mailberichten niet van a naar b en is het niet mogelijk om websites op te zoeken.

Deze grote afhankelijkheid van DNS zorgt ook voor een kwetsbaarheid. Als je de externe DNS-infrastructuur van een bedrijf aanvalt, dan ‘mep’ je dat bedrijf als het ware van het internet af. Het bedrijf is dan niet meer vindbaar op internet. Klanten kunnen dan de website niet meer bezoeken en ook geen e-mail meer naar je sturen. Gemiste inkomsten en imagoschade kunnen het gevolg zijn.

Wordt DNS vaak aangevallen?
Voor cybercriminelen zijn DNS-infrastructuren aantrekkelijk om aan te vallen, want een aanval heeft direct een enorme impact. DNS ligt dan ook regelmatig onder vuur. Zo blijkt uit onderzoek dat drie kwart van de bedrijven in de Verenigde Staten en het Verenigd Koninkrijk wel eens te maken heeft gehad met een DNS-aanval. Daar komt bij dat je een externe DNS-infrastructuur niet kunt verbergen; het is een ‘public resource’ die eenvoudig te vinden moet zijn.

Aan wat voor soort aanvallen staat DNS bloot?
De lijst met DNS-dreigingen is helaas lang. Zo zijn er de DDoS-aanvallen die als doel hebben om de ‘externe DNS-server’ en daarmee de website of dienstverlening van een bedrijf onbereikbaar te maken. Zo’n 20 procent van alle DDoS-aanvallen is gericht op DNS, zo blijkt iedere keer weer uit de State of the Internet Security-rapporten van Akamai.

Andere voorbeelden van bedreigingen voor DNS zijn:

  • DNS-hijacking. Hierbij neemt een aanvaller de externe DNS-server over, maakt een kopie van de website en installeert die op een eigen server. Vervolgens worden slachtoffers naar de valse website geleid. Op die manier kunnen de criminelen de argeloze bezoeker bijvoorbeeld inloggegevens ontfutselen of besmetten met een virus.
  • DNS-cache-poisoning (of DNS-spoofing). Hierbij ‘vergiftigen’ hackers de cache van DNS-tabellen waardoor een bezoeker van een website naar een verkeerd IP-adres wordt geleid. Hij of zij krijgt daar een vervalste website voorgeschoteld.
  • DNS-tunneling. Hierbij wordt poort 53 –  de poort die wordt gebruikt voor het DNS-verkeer – misbruikt om data naar buiten te sluizen. Een bekend voorbeeld is de geavanceerde aanval op de Amerikaanse winkelketen Target. Malware die zich had genesteld in de Point-of-Sale-systemen slaagde erin om data via poort 53 te ‘exfiltreren’. Ook zien we steeds vaker dat de interne DNS-infrastructuur wordt misbruikt voor de ‘call home’ door malware. Of om documenten in stukken gehakt naar buiten te sluizen.

Zijn infrastructuren gebaseerd op een ruim 30 jaar oud protocol eigenlijk wel te beschermen?
DNS en de oplossingen voor DNS hebben sinds de eerste ontwikkeling in de jaren ’80 niet stilgestaan. Er zijn inmiddels meerdere mechanismen om aanvallen af te slaan. Een voorbeeld daarvan is ‘Response Rate Limiting’. Hiermee voorkom je dat ‘bad guys’ DNS-servers misbruiken om een DDoS-aanval te versterken. Dit wordt ook wel DNS-amplificatie genoemd.

Een bekendere uitbreiding op DNS is DNSSEC. Het gebruik van ‘DNS Security Extensions’ is voor overheidsorganisaties zelfs verplicht gesteld. Dit beveiligingssysteem voegt een digitale handtekening toe aan de vertaling van domeinnaam naar IP-adres. Hiermee zijn hijacking en cache poisoning te voorkomen. De digitale handtekening is voor bijvoorbeeld de bezoeker van www.motiv.nl het bewijs dat hij of zij de legitieme en niet een frauduleuze website bezoekt.

Ook zijn er steeds meer securityoplossingen op de markt die de interne en externe DNS-infrastructuur kunnen beschermen. Zo heeft een leverancier als Infoblox de afgelopen jaren krachtige DNS-appliances geïntroduceerd die het inkomende verkeer aan een inspectie kunnen onderwerpen en kunnen controleren met behulp van slimme technologie. DNSSEC zit hier standaard in.

Waar te beginnen met DNS-security?

1. Inventariseer kwetsbaarheden
De eerste stap is inventariseren of jouw DNS-infrastructuur beschermd is tegen bijvoorbeeld hijacking en DDoS-aanvallen, en of datalekken via DNS worden opgemerkt. Dit zijn zaken die tijdens reguliere pentesten vaak niet aan het licht komen, maar met special tooling is bijvoorbeeld data-exfiltratie eenvoudig boven tafel zijn te krijgen.

2. Inspecteer configuraties
Ook is het belangrijk om configuraties regelmatig aan een inspectie te onderwerpen. Als bijvoorbeeld de naam van een server is gewijzigd maar niet het record dat naar die server verwijst, dan komt er op een DNS-verzoek geen reactie terug. Ook kan het pijnlijk zijn als een intern IP-adres terechtkomt in externe DNS-zones. Vertrouwelijke informatie is dan van buitenaf benaderbaar.

3. Gebruik de bevindingen voor het nemen van maatregelen
Op basis van de bevindingen die voortvloeien uit de assessment kun je de te nemen maatregelen bepalen. Heb je nog helemaal geen DNS-beveiliging ingeregeld, ga dan eerst na welke maatregelen je beschikbaar hebt in je bestaande oplossingen zoals je IPS. Beveilig DNS minimaal zo goed als dat wat ervan afhankelijk is. Dit is niet de heilige graal, maar een goede eerste stap voor het meest basale. Ga vervolgens aan de slag met specifieke oplossingen zoals Infoblox Advanced DNS Protection.

Bart Verhaar is Product Manager bij Motiv.

Dit artikel is eerder verschenen op Hét Ondernemersbelang.

Verder lezen?

Log in en lees verder of maak hier uw persoonlijk profiel aan en ontvang als eerste het laatste securitynieuws. Speciaal voor u geselecteerd!

Dit veld is verplicht
Vul een geldige e-mailadres in
Dit veld is verplicht