Come funziona il DNS Filtering

08/06/2021
Curioso di sapere come funziona il DNS filtering? I filtri DNS sono progettati per combattere malware, ransomware, attacchi di spam, pedopornografia e altri siti pericolosi sul Web. Il DNS è sia un interprete che una roadmap per Internet. Il DNS associa i nomi descrittivi agli indirizzi IP. Normalmente, quando il browser interroga un server DNS, viene restituito un indirizzo IP, consentendo al browser di aprire il sito Web all’indirizzo IP specifico. I servizi di filtro DNS sono il processo di utilizzo del Domain Name System per bloccare le minacce dei siti Web dannosi e filtrare i contenuti Web dannosi. Ciò garantisce che i dati di rete rimangano al sicuro e consente alle organizzazioni di avere il controllo su ciò a cui il loro personale può accedere sulle reti gestite dall’azienda.

Il server DNS filtra la richiesta e la blocca piuttosto che restituire un indirizzo IP. È anche utile per le organizzazioni che desiderano proteggere le risorse interne bloccando i siti dannosi noti. Questa funzione viene normalmente svolta a livello di router bloccando gli indirizzi IP o filtrando le porte. Per coloro che non hanno il lusso di router di fascia alta, il DNS filtering è un’alternativa potente ed efficiente.

Quanto è importante il DNS filtering nella sicurezza web nel 2021?

A causa della sua funzione critica sia all’interno di Internet che all’interno dell’azienda, il DNS è un obiettivo primario per gli hacker, quindi è fondamentale proteggerlo. Un’efficace strategia di sicurezza DNS comporta non solo il blocco delle ricerche dannose, ma anche la manutenzione delle ricerche valide. Il DNS svolge un ruolo giudizioso in una strategia di sicurezza della rete a più livelli, in cui sono richiesti molteplici approcci alla difesa informatica. Questo approccio a più livelli riduce la possibilità di un attacco.

Il DNS filtering è davvero la risposta?

Negli ultimi anni, gli enti governativi hanno tentato di introdurre nuovi modi per proteggere le vittime alla fonte del traffico Internet. Sfortunatamente, questi standard sono legiferati da persone che non comprendono appieno le implicazioni delle loro azioni. Internet utilizza già una miriade di opzioni di filtro web e DNS. Le organizzazioni filtrano a livello di router mentre i motori di ricerca utilizzano metodi euristici per rilevare gli indirizzi IP che ospitano contenuti dannosi. Il software di DNS filtering e i programmi antivirus bloccano i siti Web e i contenuti sospetti scaricabili utilizzando impronte eseguibili. Tutti questi metodi hanno funzionato bene in collaborazione, ma gli aggressori sono costantemente alla ricerca di modi per aggirare la protezione.

Il DNS rimane un componente vulnerabile e regolarmente preso di mira da exploit e attacchi informatici. Ad esempio, le risposte DNS possono essere falsificate o create con informazioni false per reindirizzare gli utenti da siti legittimi a siti Web dannosi. Tuttavia, prendere di mira gli exploit dei criminali informatici è una sfida nella migliore delle ipotesi a causa della scalabilità di Internet. Gli aggressori registrano costantemente nuovi nomi di dominio e si spostano in quartieri “puliti”. Non appena un metodo di sicurezza rileva un’attività dannosa e la spegne, questi camaleonti criminali si spostano semplicemente in una nuova posizione che rimane inosservata per un po’ prima che il ciclo si ripeta.

Il DNS filtering dovrebbe essere un componente importante della strategia di sicurezza della rete utilizzata insieme al monitoraggio delle porte, ai sistemi di rilevamento delle intrusioni, ai sistemi di prevenzione delle intrusioni, agli antivirus e ai firewall. Insieme, questi livelli di sicurezza necessari lavorano in modo coerente per creare un sistema di protezione della sicurezza funzionale ed efficace.

Il DNS filtering, tuttavia, non è esente da critiche, che sottolineano alcuni dei suoi svantaggi congeniti:

  • I filtri DNS non sono bulletproof. Gli aggressori maligni sono abbastanza intelligenti da aggirarlo.
  • Gli utenti possono utilizzare i proxy per nascondere il proprio IP originale e ottenere l’accesso all’indirizzo IP richiesto dal DNS.
  • La modifica del protocollo DNS potrebbe portare a problemi di sicurezza imprevisti e bug tecnici.

Per ulteriori informazioni sui miti del filtro DNS, visita questo recente post sul blog: 4 miti sul filtro DNS e alcune verità

Nessun sistema è ovviamente bulletproof e, sebbene sia vero che i criminali informatici cambiano costantemente i nomi di dominio, soluzioni come WebTitan DNS Filter sono molto efficaci nel contrastare i loro sforzi di occultamento. Il filtro DNS di WebTitan lo fa classificando circa 60.000 domini di malware e spyware al giorno, rintracciando i siti pericolosi e bloccandoli.

Esaminiamo la struttura del DNS

Il Domain Name System (DNS) è stato progettato per rendere comodo l’uso di Internet da parte del pubblico. Come accennato in precedenza, traduce i nomi di dominio negli indirizzi IP corrispondenti dei dispositivi ospitati. Il DNS ci consente di utilizzare http://www.google.com invece di http://74.125.224.72/ per avviare una ricerca. In breve, è il servizio di directory principale di Internet.

Il sistema DNS che serve Internet è un sistema distribuito ancorato a un insieme di root name server sparsi in tutto il mondo. Sotto i root server ci sono i domini di primo livello (.com, .org, .net) seguiti da domini di secondo livello (google, TitanHQ, Microsoft). Questi domini formano zone DNS, che possono essere costituite da uno o più domini (ad esempio, google.com è un dominio). A ciascuna zona DNS viene assegnato un insieme di server dei nomi autorevoli. Un server dei nomi autorevole può essere un server master o slave. Un master contiene le copie originali di lettura/scrittura dei record di zona mentre uno slave mantiene solo copie leggibili dei record master che vengono aggiornate tramite la replica.

I server DNS utilizzano la porta TCP 53 per i trasferimenti di zona al fine di mantenere gli slave sincronizzati con il file di zona principale. Gli intrusi possono utilizzare questo meccanismo per scaricare il contenuto del file di zona di un server dei nomi. Per evitare ciò, gli amministratori dovrebbero bloccare le richieste di trasferimento di zona da qualsiasi dispositivo che non sia un server dei nomi slave autorizzato. La porta 53 viene spesso utilizzata per incanalare il traffico non autorizzato e il traffico sospetto dovrebbe essere esaminato.

Che cos’è il Reverse DNS?

Un reverse DNS lookup o risoluzione DNS inversa (rDNS) è l’interrogazione del DNS (Domain Name System) per determinare il nome di dominio associato a un indirizzo IP, l’inverso della ricerca DNS “forward” standard di un indirizzo IP da un dominio nome.

Questo è spesso utile per determinare la legittimità di un IP. Ad esempio, uno dei test sui contenuti eseguiti dal filtro antispam SpamTitan è quello di abbinare le voci DNS in avanti e inverse, assicurando che i record A, IP e PTR corrispondano di conseguenza.

L’Associazione di DHCP e DNS

Per IPv4, il DNS è spesso strettamente integrato con il protocollo DHCP (Dynamic Host Configuration Protocol). Un server DHCP fornisce automaticamente indirizzi IP ai client abilitati DHCP e altre informazioni come l’identità dei server dei nomi DNS. La sicurezza del DNS richiede quindi la protezione dell’infrastruttura DHCP. A seconda della configurazione della rete IPv6, DHCP può fornire o meno informazioni DNS poiché il messaggio Router Advertisement (RA) fornisce invece queste informazioni.

Attacchi DNS

Il DNS è un’arma a doppio taglio in gran parte a causa della natura insicura dell’infrastruttura DNS, che la rende vulnerabile a questi tipi di attacchi:

  • DNS dinamico (DDNS ) – Sebbene il DDNS svolga una funzione legittima di consentire la modifica rapida dell’indirizzo di un nome di dominio e l’hosting di indirizzi temporanei, viene abusato da operatori di botnet e phisher che cambiano rapidamente indirizzo per evitare il rilevamento.
  • DNS a flusso veloce (Fast Flux DNS) – Questo è un altro modo in cui i criminali informatici possono alterare rapidamente gli indirizzi DNS per nascondere malware e siti di phishing dietro una rete in continua evoluzione di host compromessi che fungono da proxy.
  • Packet Amplification – Questa tecnica viene definita attacco Smurf (dal nome del malware DDoS Smurf). Si tratta di un attacco denial-of-service distribuito che coinvolge un gran numero di pacchetti ICMP con l’IP di origine contraffatto della vittima designata che vengono trasmessi a una rete di computer utilizzando un indirizzo di trasmissione IP.
  • DNS Amplification – Questa forma popolare di DDoS si basa sull’uso di server DNS aperti pubblicamente accessibili per sopraffare un sistema vittima con traffico di risposta DNS. Viene anche definito “attacco DRDoS” (riflessione distribuita e negazione del servizio di amplificazione).

Che cos’è un attacco DDoS?

Un attacco DDoS (Distributed Denial of Service) è il sovraccarico intenzionale di un dispositivo per renderlo non disponibile al traffico legittimo. Un DDoS di solito ha origine da un gran numero di bot o PC zombie che sono sotto il controllo di una macchina centrale chiamata botnet. La motivazione alla base di questi attacchi può essere quella di abbattere un concorrente aziendale o una forma di ransomware in cui la vittima deve pagare per fermare l’assalto dei pacchetti. Uno dei più grandi attacchi registrati è stato l’attacco Spamhaus avvenuto nel marzo del 2013 che ha coinvolto oltre 30.000 resolver DNS. I metodi di sicurezza tradizionali sono configurati per limitare i pacchetti da un indirizzo IP designato avviando grandi quantità di traffico. Nel caso di Spamhaus, gli aggressori hanno utilizzato un numero enorme di indirizzi IP diversi, quindi gli sforzi di limitazione non sono mai stati attivati.

Prevenire un attacco DNS

Il DNS può essere configurato per mitigare i problemi di sicurezza DNS comuni. Secondo l’Open Resolver Project, “i resolver aperti rappresentano una minaccia significativa per l’infrastruttura di rete globale”. (http://openresolverproject.org) Evita che il tuo server DNS sia un risolutore aperto e limita la sua capacità di rispondere alle richieste DNS da qualsiasi indirizzo su Internet. Consenti solo server ricorsivi interni alle sottoreti IP utilizzate dalla tua azienda. (Questo include anche gli intervalli di clienti se si utilizza un’extranet.) Tieni presente, tuttavia, che molti (se non la maggior parte) dei resolver DNS su Internet sono risolutori aperti, perché non sono stati protetti o perché essere aperti al pubblico come il servizio Comodo. Per testare il tuo indirizzo IP per i resolver aperti, vai qui.

Sebbene non esista un modo sicuro per escludere un attacco DNS, le seguenti misure possono ridurre al minimo le probabilità:

  • Il blocco DNS utilizzato per la sicurezza contro phishing e spam può aiutare a prevenire gli attacchi DNS. Questo meccanismo rende difficile per le entità individuare domini o siti Web specifici su Internet che sono siti dannosi.
  • Configura i tuoi server DNS autorevoli per utilizzare la limitazione della velocità di risposta DNS.
  • Il traffico DNS dovrebbe essere limitato a seconda del tipo di pacchetto DNS. Ad esempio, una risposta di trasferimento di zona avrebbe una soglia più alta di una risposta per il nome del server DNS.
  • Collabora con il tuo provider Internet per bloccare o limitare il traffico che non desideri sulla rete, se possibile.
  • Monitora la tua rete e prendi nota degli IP dei client utilizzando quantità insolite di larghezza di banda.
  • I siti pubblicamente esposti dovrebbero essere bilanciati dal carico e includere riserve di risorse per larghezza di banda aggiuntiva e cicli di CPU al fine di gestire i carichi aumentati causati da un attacco. Google sostiene questa pratica .

Per qualsiasi organizzazione che prende sul serio la sicurezza della rete, la protezione della propria infrastruttura DNS dovrebbe essere una parte vitale del proprio piano di sicurezza aziendale. Un po’ di tempo e sforzi spesi per la sicurezza DNS possono fornire vantaggi immediati e significativi per la sicurezza.

Cos’è il filtraggio DNS di WebTitan?

Fondamentalmente, WebTitan DNS Filtering è una tecnica utilizzata per limitare o bloccare l’accesso a determinati siti Web o “domini”. In questo modo, in base all’implementazione, WebTitan DNS Filtering fornisce protezioni nel tentativo di creare un ambiente di lavoro più sicuro e produttivo su Internet. WebTitan DNS Filtering ha anche altri usi e può funzionare con protocolli come ftp e smtp, ma per gli scopi di questo articolo, ci concentreremo specificamente sulla sua applicazione per il web filtering.

In termini semplici, ogni server Web, sito Web, ecc., ha un indirizzo o, più precisamente, un indirizzo di protocollo Internet (o IP). Tutte le macchine (ad es. siti Web, server e servizi Web) hanno un indirizzo IP assegnato, che consente ai nostri computer di individuare e connettersi ad altri computer remoti e consente la comunicazione che supporta il nostro World Wide Web. Il Domain Name System lavora per rendere più facile per gli umani l’uso di Internet e rimuove il requisito per noi di ricordare tutti quegli indirizzi IP solo numerici. Piuttosto, il sistema DNS traduce nomi e parole alfanumerici leggibili in un indirizzo IPv4 o IPv6 corrispondente. I server DNS si trovano in tutto il mondo e mappano gli indirizzi IP sui rispettivi nomi di dominio, come un elenco telefonico mondiale per i siti web.

Il filtro DNS di WebTitan consente in modo efficace configurazioni di sicurezza di rete avanzate a livello di dominio. Se provi a visitare un sito Web e il dominio risulta dannoso, una soluzione di filtraggio DNS di WebTitan potrebbe bloccare o reindirizzare tale richiesta a una pagina sicura, a seconda della sua configurazione.

I reparti IT hanno implementato il filtro DNS di WebTitan e configurato le impostazioni DNS a livello di router/gateway su macchine fisiche residenti in sede. Negli anni più recenti, le aziende hanno sempre più esternalizzato questo tipo di attività di amministrazione, facendo affidamento sul supporto esterno di provider di servizi Internet (ISP) e provider di servizi di sicurezza gestiti (MSSP). Al giorno d’oggi, puoi acquistare una soluzione DNS premium o aziendale, configurare la tua rete per elaborare le richieste DNS attraverso quel servizio ed essere subito operativo con una soluzione di filtraggio DNS WebTitan funzionale in pochissimo tempo. Tuttavia, prima di prendere una decisione significativa che potrebbe avere un impatto sulla sicurezza della tua rete e sui futuri piani di protezione informatica, dovresti comprendere i vantaggi, i limiti e i dettagli sulla scalabilità di una soluzione di filtraggio DNS standard di ebTitan per il filtraggio web.

Il filtro DNS di WebTitan è ancora uno dei passaggi di base più importanti verso la creazione di un’infrastruttura IT scalabile e sicura e può fornire una protezione avanzata per qualsiasi cosa, dalla pornografia ai siti di gioco, dalla condivisione di file ai siti Web di notizie, social media, piattaforme di blog e altro ancora.

Vantaggi del DNS filtering di WebTitan

Ci sono una serie di vantaggi critici forniti da  WebTitan DNS Filtering. Il principale è la capacità di bloccare completamente l’accesso a siti Web dannosi e compromessi, nonché a quelli che sarebbero considerati siti “sgradevoli” come quelli che ospitano contenuti relativi alla pornografia, alla violenza, al terrorismo e altro ancora.

I vantaggi secondari rendono WebTitan DNS Filtering una soluzione ideale per un’ampia gamma di aziende e organizzazioni. Il filtro DNS di WebTitan è leggero, veloce e scalabile e con offerte premium e di livello aziendale offre una flessibilità avanzata per la gestione e la personalizzazione delle policy. Ogni organizzazione opera in modo diverso e ha requisiti e norme culturali unici, nonché abitudini di navigazione sul web. Il filtro DNS di WebTitan consente ai team IT di supportare configurazioni personalizzate in tutta tranquillità.

Come accennato, il vantaggio più significativo che WebTitan DNS Filtering offre alle organizzazioni è la capacità di bloccare in modo proattivo l’accesso a siti potenzialmente dannosi, un primo livello critico di sicurezza e difesa informatica. Quando esaminiamo i metodi comuni di consegna del payload e i punti di compromissione dalle varie minacce online (ad es. malware, ransomware, attacchi di phishing, ecc.) troviamo un evidente denominatore comune. E questo è il buon vecchio errore dell’utente.

Con WebTitan DNS Filtering in atto e la corretta configurazione e supporto dai feed forniti da società di sicurezza informatica affidabili, puoi costruire un importante muro di difesa. Quando il traffico di rete e gli utenti hanno limitato l’accesso a siti Web indesiderati (in particolare siti dannosi e discutibili), vengono immediatamente rimossi numerosi rischi per la sicurezza di scarsa entità.

Inoltre, se sei un imprenditore, ottieni l’ulteriore vantaggio di impedire a quegli utenti di accedere ai tipi di materiali che potrebbero ostacolare la loro produttività o offendere gli altri durante il giorno (ad es. social media, siti di blog discutibili, eccetera.).

I provider di sicurezza e filtro come WebTitan offrono opzioni di distribuzione ibride che supportano il filtro DNS standard di WebTitan, nonché il filtro e l’analisi degli URL a percorso completo. Ciò consente a un’organizzazione di sviluppare e implementare soluzioni avanzate che supportano non solo configurazioni avanzate per il blocco, il reindirizzamento o l’inserimento di domini in whitelist, ma anche per la categorizzazione del contenuto del percorso completo, l’analisi, il rilevamento dannoso, l’analisi del traffico e altro ancora. Per le aziende di comunicazione, i fornitori di sicurezza e altri in cui la sicurezza è di primaria importanza, un’infrastruttura scalabile e sicura è fondamentale per la scalabilità, l’agilità e la crescita a lungo termine.

Soluzioni di DNS Filtering di WebTitan

È importante ricordare e comprendere che nessuna singola soluzione di sicurezza informatica è efficace al 100% contro il panorama delle minacce in evoluzione che affrontiamo. Il filtro DNS di WebTitan fa molto per fornirti un’infrastruttura di rete critica per proteggere il tuo traffico Internet e gli utenti, ma richiede anche una strategia solida e partner di sicurezza informatica, feed e altre tecnologie affidabili per fornire la massima protezione. Anche antivirus, filtri antispam, autenticazione a due fattori e criteri di riparazione sono fondamentali per difendere le tue reti.

Tutto sommato, WebTitan DNS Filtering consente alle organizzazioni di applicare politiche di utilizzo di Internet complete, lungimiranti e solide, bloccando l’accesso a contenuti di siti Web dannosi e altre minacce che potrebbero potenzialmente causare danni. Potresti non essere in grado di impedire a te stesso di diventare il bersaglio di un hacker, ma con l’infrastruttura e le tecnologie in atto come il filtro DNS di WebTitan, puoi migliorare significativamente le tue difese contro le minacce note e ridurre le possibilità che la tua rete venga penetrata da un errore accidentale dell’utente.

PUBBLICATO DA:<br>Fabrizio Bressani
PUBBLICATO DA:
Fabrizio Bressani
Managing Director, DotForce

ARTICOLI CORRELATI

Suggerimenti da SpyCloud per password complesse

Suggerimenti da SpyCloud per password complesse

Sì, sappiamo cosa stai pensando... stai già destreggiandoti con più accessi online di quanto avresti mai pensato che si potesse immaginare e preferiresti non passare più tempo a pensarci, è giusto, ma la verità è che le password che scegli e come le gestisci hanno...

Altro breach altro blog

Altro breach altro blog

I nostri cuori vanno al team di Colonial Pipeline che lavora alla risposta all'incidente. L'uso della parola "violazione" o "breach" in un titolo è onnipresente nella maggior parte dei blog delle società di Identity in questo momento. Questo è il modo di fare di...