V tomto článku se podíváme na DNS(nové okno) bezpečnost, co znamená pro vaše podnikání a jak používání Proton VPN poskytuje vaší firmě DNS bezpečnost(nové okno), kterou potřebuje.

Domain Name System (DNS) překládá pro člověka srozumitelná doménová jména na číselné IP adresy(nové okno), které počítače používají k identifikaci webů a dalších internetových zdrojů. Hraje tedy zásadní roli v tom, jak všichni používáme internet, včetně práce.

Bohužel DNS bylo vynalezeno v roce 1983, dávno předtím, než byla vůbec zvažována potřeba online bezpečnosti. Ve výchozím nastavení jsou požadavky DNS odesílány jako prostý text, který může kdokoli vidět, a lze je snadno unést a přesměrovat na škodlivé domény. Tato situace je dostatečně nebezpečná pro jednotlivé uživatele internetu, ale v obchodním kontextu je potenciálně katastrofální.

Co je DNS?

Počítače identifikují každé zařízení, které se připojuje přímo k internetu, pomocí jedinečné číselné IP adresy. Starší systém IPv4 používá osmimístné adresy (například 185.159.159.140), ale ty docházejí, takže novější standard IPv6 používá hexadecimální systém (obsahující číslice i písmena), který může být dlouhý až 45 znaků (například 2001:db8::8a2e:370:7334).

To je skvělé pro počítače, ale ne pro lidi, kteří si mnohem lépe pamatují adresy založené na písmenech (doménová jména), jež nám dávají smysl (například protonvpn.com). DNS umožňuje lidem zadávat doménová jména, kterým rozumíme, a mapuje je na číselné adresy, kterým rozumí počítače. V podstatě se chová jako telefonní seznam, který odkazuje na doménová jména a IP adresy.

Když zadáte doménové jméno (například do vyhledávacího pole prohlížeče), odešle se dotaz DNS na DNS server, který dotaz vyřeší. To znamená, že přeloží doménové jméno na odpovídající IP adresu.

Více informací o tom, jak funguje DNS (nové okno)

DNS a soukromí pro firmy

DNS je užitečné, ale vytváří velký bezpečnostní problém: Kdokoli, kdo má přístup k dotazům DNS vaší společnosti, efektivně zná celou její historii procházení, včetně historie všech zaměstnanců, kteří používají kancelářskou síť k připojení k internetu.

DNS a ISP vaší společnosti

Ve výchozím nastavení jsou DNS dotazy řešeny vaším poskytovatelem internetových služeb(nové okno) (ISP). Bohužel, ochrana soukromí jednotlivců nebo firem není v zájmu poskytovatelů internetu. Většina vládních programů hromadného sledování spoléhá na to, že vyžadují od ISP uchovávání logů historie prohlížení jejich zákazníků. A protože je to snadné a levné, většina poskytovatelů internetu plní tyto právní povinnosti pouze uchováváním DNS logů.

V některých zemích (například ve Spojených státech) mají ISP dokonce povoleno používat nebo prodávat DNS záznamy zákazníků(nové okno) pro reklamní a analytické účely.

DNS a firemní dohled

Většina DNS dotazů je odesílána na DNS server jako prostý text, což znamená, že jakákoli entita, která je může zachytit, bude znát celou historii prohlížení vaší firmy. To zahrnuje kontakty vaší firmy, obchodní partnery, dodavatele, zákazníky, vládu, orgány pro zdravotní a bezpečnostní regulace, se kterými komunikuje, a mnoho dalšího.

Všechna tato data jsou potenciálně velmi cennými informacemi pro konkurenci.

DNS a bezpečnost pro firmy

Kromě pasivního slídění v historii prohlížení vaší firmy mohou hackeři zneužít DNS k provádění různých aktivních útoků. Mnoho z nich cílí na samotný DNS server (obvykle různé formy útoku odepření služby(nové okno) zaměřeného na přetížení serveru), ale pokud vaše společnost neprovozuje vlastní DNS servery (a některé ano), je nepravděpodobné, že by takové útoky představovaly hrozbu pro vaši firmu.

Mezi útoky založené na DNS, které mohou být hrozbou pro většinu firem, patří:

Podvržení DNS

Pro urychlení procesu vyhledávání a snížení zátěže DNS serverů jsou časté dotazy často ukládány (ukládány do mezipaměti) lokálně na DNS serveru. K provedení útoku podvržení DNS (známého také jako otrava DNS), útočník vloží falešné DNS záznamy do mezipaměti DNS serverů.

To lze provést pomocí útoku man-in-the-middle(nové okno) (zachycení dotazu mezi zařízením uživatele a DNS serverem) nebo prostřednictvím otravy mezipaměti(nové okno) (zneužití zranitelností v softwaru DNS serveru k vložení škodlivých záznamů do jeho mezipaměti).

Jakmile je mezipaměť DNS otrávena a uživatel se pokusí navštívit legitimní web, poškozený DNS záznam jej přesměruje na jinou IP adresu ovládanou útočníkem. Stejně jako u phishingových útoků to obvykle vede ke krádeži hesel a informací o platebních kartách a/nebo nahrání malwaru do počítačů vaší společnosti.

DNS tunelování

DNS tunelování, často používané jako nástroj firemního dohledu pro obcházení firewallů a dalších bezpečnostních opatření zaměřených na prevenci exfiltrace (krádeže) citlivých dat, kóduje data tak, aby mohla být přenášena v rámci DNS dotazů a odpovědí, čímž efektivně využívá infrastrukturu DNS jako skrytý komunikační kanál.

Může být také použito útočníky k udržování komunikace s kompromitovanými systémy, odesílání příkazů a přijímání výstupů bez detekce. DNS tunelování využívá skutečnosti, že síťový provoz DNS je často méně kontrolován bezpečnostními zařízeními ve srovnání s jinými typy provozu, což z něj činí efektivní metodu obcházení firewallů a filtrů.

Řešení zabezpečení DNS

Většina ISP neimplementuje žádná opatření pro zabezpečení DNS (a obecně nemají zájem chránit soukromí vaší firmy). Nicméně poskytovatelé DNS třetích stran, jako jsou Cloudflare 1.1.1.1, Quad9 a OpenNIC, se mnohem více zaměřují na soukromí a bezpečnost. To zahrnuje používání technologií, díky nimž je DNS mnohem bezpečnější.

Soukromé DNS

Soukromé DNS (známé také jako šifrované DNS) používá bezpečnostní protokoly DNS-over-TLS (DoT), DNS-over-HTTPS (DoH) nebo DNSCrypt k šifrování DNS dotazů mezi zařízením, které dotaz vznáší, a DNS serverem.

Tím je zajištěno, že váš ISP (nebo kdokoli jiný monitorující internetové připojení vaší společnosti) neuvidí vaše DNS dotazy.

Více informací o soukromém DNS(nové okno)

Soukromé DNS je jasně obrovským zlepšením oproti odesílání DNS dotazů jako prostý text, ačkoli není tak soukromé jako používání služby VPN, která šifruje nejen vaše DNS požadavky, ale všechna citlivá data vaší společnosti, čímž zcela brání vašemu ISP vidět, co vaše firma dělá online. Také skrývá vaši skutečnou IP adresu před weby, které vaši zaměstnanci navštěvují.

DNSSEC

Domain Name System Security Extensions (DNSSEC) je sada specifikací navržená k přidání další vrstvy zabezpečení do DNS.

DNSSEC:

  • Zajišťuje, že odpovědi na DNS dotazy jsou autentické. Dělá to pomocí digitálních podpisů k podepisování dat DNS, které jsou poté validovány klientem. To pomáhá ověřit, že data nebyla pozměněna bez dovolení a že skutečně pocházejí z legitimního zdroje.
  • Zaručuje, že data nebyla během přenosu změněna. Dělá to digitálním podepisováním dat DNS, což chrání před útoky typu man-in-the-middle a brání komukoli v úpravě dat. 

Jak může Proton VPN chránit DNS vaší firmy

Kromě poskytování IP adres brány pro zabezpečení zdrojů vaší společnosti nabízí Proton VPN for Business robustní zabezpečení DNS:

  • Všechny DNS požadavky jsou odesílány přes šifrovaný VPN tunel a řešeny našimi vlastními bezpečnými DNS servery (takže není potřeba řešení soukromého DNS)
  • Nikdy neukládáme logy vašich DNS dotazů (ani čehokoli jiného)   
  • Naše funkce NetShield Ad-blocker je DNS filtr, který blokuje DNS dotazy na škodlivé domény známé pro reklamy, sledovací prvky a (volitelně pro větší kontrolu) malware 
  • Vaše DNS servery používají DNSSEC k ověření DNS dat (kromě domén blokovaných funkcí NetShield, které stejně nepřekládáme)
Získat Proton VPN for Business

Závěrečné myšlenky: Význam ochrany DNS pro firmy

Bezpečnost DNS je často přehlížena, ale měla by být důležitým faktorem pro každou firmu posuzující svou bezpečnostní situaci. Útoky jako DNS tunelování existují právě proto, že zabezpečení firemních DNS dotazů často není věnována dostatečná péče.

S Proton VPN for Business si můžete být jisti, že všechny DNS dotazy jsou šifrované, nejsou uchovávány žádné DNS logy a překlady DNS jsou ověřovány pomocí DNSSEC.