你每周的科技小闻-正确的DNS控制

2017年11月17日,
你每周的科技小闻-正确的DNS控制

在本周的Tech Tidbit中,我想谈一下将DNS作为恶意软件保护程序的一部分进行适当控制的重要性.

DNS查找和/或劫持DNS查找是许多恶意软件代理经常使用的工具,以帮助他们的目标攻击成功. 恶意软件可以使用专门设计的DNS查找到特定的基于Internet的DNS服务器,旨在为恶意软件的下载或命令和控制活动返回适当的信息. 钓鱼网站攻击使用DNS中可以看到被抢劫DNS反应的受害者一个网站,乍一看外观和感觉的合法网站,但这事实上是钓鱼网站等待受害者进入他们的凭证或其他机密信息.

加强您的组织并保护它不受使用DNS来促进恶意软件攻击的影响的最简单方法之一是严格控制网络内DNS的配置和使用. 如果恶意软件不能正确解决如何“打电话回家”的问题,预谋的攻击就会被钝化.

CSI在过去几年里分享的一些最佳实践:

1. 分离你的域名的权威DNS服务器(那些告诉互联网你的网络位置的服务器), 邮件和其他服务器)从您的内部设备用于DNS查找的DNS服务器. 您的授权服务器应该只执行该功能,而不执行其他任何查询.

2. 内部设备DNS查找应该被限制为仅在组织内部使用指定的DNS服务器. 对于我们大多数生活在窗户世界的人来说,这意味着将DNS查找限制在您定义的Active Directory域控制器上.

3. 适用于所有内部DNS服务器, 应该禁止使用默认的DNS根服务器进行外部查找.

4. 而不是使用根服务器进行外部查找, 定义DNS转发器的使用, 然后只使用公开可用的Cisco Umbrella(前OpenDNS) DNS解析器作为您的内部DNS服务器的转发器. 这些服务器的IP地址是208.67.222.222年和208年.67.220.200. 顺便说一下,这些IP不是单一的主机,但会自动映射你到最近的运行服务器位置通过anycast路由.

5. 使用您的防火墙禁用所有出站DNS查找请求,这些请求不是来自您定义的内部DNS服务器,也不是两个伞DNS解析器的目的地.

使用保护伞DNS解析器的一个主要优势除了速度之外,是他们不会解析已知恶意软件网站的DNS. 这些服务器不断更新新的信息,以拒绝解析新发现的恶意软件网站在一个持续的基础上.

虽然上面的步骤1 -4已经很容易为我们的大多数客户实现, 真正需要完成保护的是第5步, 但许多地点的完工情况仍不明朗.

你们中的许多人仍然有使用其他外部DNS服务器的独立设备, 例如一直流行的谷歌DNS服务器.8.8.8 or 8.8.4.我怀疑主要是因为它们很容易记住. 在步骤5中实现防火墙块将使DNS在这些设备上停止工作,直到它们被重新配置. 但是完成这个步骤对于提供完整的DNS控制和您可以从中获得的所有保护来说是至关重要的.

我们仍然看到偶尔的DNS请求,而不是伞DNS解析器在许多日常火力IPS报告,我们审查,所以我们知道,在许多情况下,最后一步的过程仍然没有完成.

虽然不是万无一失的方法, 适当的DNS控制是一个经常被忽视的,但相对简单的方法,为您的组织添加一些额外的恶意软件保护. 在今天的互联网上,我们可以利用我们所能得到的一切保护.

鲍勃·克纳普