I denne artikel ser vi på DNS(nyt vindue)-sikkerhed, hvad det betyder for dine virksomheder, og hvordan brug af Proton VPN giver din virksomhed den DNS-sikkerhed(nyt vindue), den har brug for.

Domain Name System (DNS) oversætter menneskevenlige domænenavne til numeriske IP-adresser(nyt vindue), som computere bruger til at identificere websteder og andre internetressourcer. Det spiller derfor en afgørende rolle i, hvordan vi alle bruger internettet, også til arbejde.

Desværre blev DNS opfundet i 1983, længe før behovet for onlinesikkerhed nogensinde blev overvejet. Som standard sendes DNS-anmodninger i klartekst, så alle kan se dem, og de kapres let for at omdirigere til ondsindede domæner. Denne situation er farlig nok for individuelle internetbrugere, men er potentielt katastrofal i en virksomhedssammenhæng.

Hvad er DNS?

Computere identificerer hver enhed, der forbinder direkte til internettet, med en unik numerisk IP-adresse. Det ældre IPv4-system bruger ottecifrede adresser (såsom 185.159.159.140), men disse er ved at løbe tør, så den nyere IPv6-standard bruger et hexadecimalt system (der indeholder både cifre og bogstaver), der kan være op til 45 tegn langt (såsom 2001:db8::8a2e:370:7334).

Dette er godt for computere, men ikke for mennesker, der er langt bedre til at huske bogstavbaserede adresser (domænenavne), der giver mening for os (såsom protonvpn.com). DNS giver mennesker mulighed for at indtaste domænenavne, som vi forstår, og kortlægger dem til numeriske adresser, som computere forstår. I bund og grund opfører det sig som en telefonbog, der krydshenviser domænenavne og IP-adresser.

Når du indtaster et domænenavn (for eksempel i en browsersøgelinje), sendes en DNS-forespørgsel til en DNS-server, som løser forespørgslen. Det vil sige, at den oversætter domænenavnet til dets tilsvarende IP-adresse.

Få mere at vide om, hvordan DNS fungerer(nyt vindue)

DNS og privatliv for virksomheder

DNS er nyttigt, men skaber et stort sikkerhedsproblem: Enhver med adgang til din virksomheds DNS-forespørgsler kender effektivt hele dens browserhistorik, herunder for alle medarbejdere, der bruger et kontornetværk til at oprette forbindelse til internettet.

DNS og din virksomheds internetudbyder

Som standard opløses DNS-forespørgsler af Deres Internetudbyder(nyt vindue) (ISP). Desværre er det ikke ISP’ernes forretning at beskytte enkeltpersoners eller virksomheders privatliv. De fleste statslige masseovervågningsprogrammer afhænger af at kræve, at ISP’er fører logfiler over deres kunders browserhistorik. Og da det er nemt og billigt, opfylder de fleste ISP’er disse juridiske forpligtelser ved kun at gemme DNS-logfiler.

I nogle lande (såsom USA) har ISP’er endda tilladelse til at bruge eller sælge kunders DNS-poster(nyt vindue) til reklame- og analyseformål.

DNS og virksomhedsovervågning

De fleste DNS-forespørgsler sendes til DNS-serveren i klartekst, hvilket betyder, at enhver enhed, der kan opsnappe dem, vil kende hele Deres virksomheds browserhistorik. Dette omfatter Deres virksomheds kontakter, forretningsforbindelser, leverandører, kunder, myndigheder samt sundheds- og sikkerhedsorganer, den interagerer med, og meget mere.

Alle disse data er potentielt meget værdifulde oplysninger for konkurrenter.

DNS og sikkerhed for virksomheder

Udover passivt at snage i Deres virksomheds browserhistorik kan hackere udnytte DNS til at udføre en række aktive angreb. Mange af disse er rettet mod selve DNS-serveren (typisk forskellige former for denial-of-service-angreb(nyt vindue) rettet mod at overbelaste serveren), men medmindre Deres virksomhed driver sine egne DNS-servere (hvilket nogle gør), er sådanne angreb sandsynligvis ikke en trussel mod Deres forretning.

DNS-baserede angreb, der kan være en trussel mod de fleste virksomheder, omfatter:

DNS-spoofing

For at fremskynde opslagsprocessen og reducere belastningen på DNS-servere bliver hyppige forespørgsler ofte lagret (cachet) lokalt på DNS-serveren. For at udføre et DNS-spoofing-angreb (også kendt som DNS-poisoning) indsætter en angriber falske DNS-poster i DNS-serverens cache.

Dette kan gøres ved at bruge et man-in-the-middle-angreb(nyt vindue) (opsnapning af forespørgslen mellem brugerens enhed og DNS-serveren) eller via cache-poisoning(nyt vindue) (udnyttelse af sårbarheder i DNS-serverens software til at injicere ondsindede indgange i dens cache).

Når først DNS-cachen er forgiftet, omdirigerer den korrupte DNS-post brugeren til en anden IP-adresse kontrolleret af angriberen, når brugeren forsøger at besøge et legitimt websted. Som med phishing-angreb resulterer dette typisk i, at adgangskoder og betalingskortoplysninger bliver stjålet, og/eller at malware bliver uploadet til Deres virksomheds computere.

DNS-tunneling

DNS-tunneling bruges ofte som et værktøj til virksomhedsovervågning til at omgå firewalls og andre sikkerhedsforanstaltninger rettet mod at forhindre eksfiltrering (tyveri) af følsomme data. Det indkoder dataene, så de kan overføres i DNS-forespørgsler og -svar, hvilket effektivt bruger DNS-infrastrukturen som en skjult kommunikationskanal.

Det kan også bruges af angribere til at opretholde kommunikation med kompromitterede systemer, sende kommandoer og modtage output uden at blive opdaget. DNS-tunneling udnytter det faktum, at DNS-trafik ofte er mindre overvåget af sikkerhedsenheder sammenlignet med andre typer trafik, hvilket gør det til en effektiv metode til at omgå firewalls og filtre.

DNS-sikkerhedsløsninger

De fleste ISP’er implementerer ingen DNS-sikkerhedsforanstaltninger overhovedet (og har generelt ingen interesse i at beskytte Deres virksomheds privatliv). Tredjeparts DNS-udbydere som Cloudflare 1.1.1.1, Quad9 og OpenNIC har dog et meget stærkere fokus på privatliv og sikkerhed. Dette omfatter brug af teknologier, der gør DNS meget mere sikker.

Privat DNS

Privat DNS (også kendt som krypteret DNS) bruger sikkerhedsprotokollerne DNS-over-TLS (DoT), DNS-over-HTTPS (DoH) eller DNSCrypt til at kryptere DNS-forespørgsler mellem enheden, der foretager forespørgslen, og DNS-serveren.

Dette sikrer, at Deres ISP (eller andre, der overvåger Deres virksomheds internetforbindelse) ikke kan se Deres DNS-forespørgsler.

Få mere at vide om privat DNS(nyt vindue)

Privat DNS er helt klart en kæmpe forbedring i forhold til at sende DNS-forespørgsler i klartekst, selvom det ikke er lige så privat som at bruge en VPN-tjeneste, der krypterer ikke bare Deres DNS-anmodninger, men alle Deres virksomheds følsomme data, og dermed fuldstændig forhindrer Deres ISP i at se, hvad Deres virksomhed laver online. Det skjuler også Deres rigtige IP-adresse for websteder, Deres medarbejdere besøger.

DNSSEC

Domain Name System Security Extensions (DNSSEC) er en samling specifikationer designet til at tilføje et ekstra lag af sikkerhed til DNS.

DNSSEC:

  • Sikrer, at svarene på DNS-forespørgsler er autentiske. Det gør det ved at bruge digitale signaturer til at signere DNS-data, som derefter valideres af klienten. Dette hjælper med at verificere, at dataene ikke er blevet manipuleret med, og at de faktisk kommer fra den legitime kilde.
  • Garanterer, at dataene ikke er blevet ændret under overførsel. Det gør det ved digitalt at signere DNS-dataene, hvilket beskytter mod man-in-the-middle-angreb og forhindrer nogen i at ændre dataene. 

Sådan kan Proton VPN beskytte Deres virksomheds DNS

Udover at levere gateway-IP-adresser til at sikre Deres virksomheds ressourcer, tilbyder Proton VPN for Business robust DNS-sikkerhed:

  • Alle DNS-anmodninger sendes gennem den krypterede VPN-tunnel for at blive opløst af vores egne sikre DNS-servere (så der er ikke behov for private DNS-løsninger)
  • Vi logger aldrig Deres DNS-forespørgsler (eller noget som helst andet for den sags skyld)   
  • Vores NetShield Ad-blocker-funktion er et DNS-filter, der blokerer DNS-forespørgsler til ondsindede domæner, der er kendt for annoncer, trackere og (valgfrit for større kontrol) malware 
  • Deres DNS-servere bruger DNSSEC til at autentificere DNS-data (undtagen for domæner blokeret af NetShield, som vi alligevel ikke opløser)
Få Proton VPN for Business

Afsluttende tanker: Vigtigheden af DNS-beskyttelse for virksomheder

DNS-sikkerhed bliver ofte overset, men bør være en vigtig overvejelse for enhver virksomhed, der vurderer sin sikkerhedstilstand. Faktisk eksisterer angreb som DNS-tunneling netop fordi, der ofte ikke tages nok hensyn til at sikre virksomheders DNS-forespørgsler.

Med Proton VPN for Business kan De være sikker på, at alle DNS-forespørgsler er krypterede, ingen DNS-logfiler gemmes, og DNS-opløsninger autentificeres ved hjælp af DNSSEC.