Tässä artikkelissa tarkastelemme DNS(uusi ikkuna)-turvallisuutta, mitä se tarkoittaa yrityksellesi, ja kuinka Proton VPN:n käyttö tarjoaa yrityksellesi sen tarvitseman DNS-turvallisuuden(uusi ikkuna).

Domain Name System (DNS) kääntää ihmisystävälliset verkkotunnukset numeerisiksi IP-osoitteiksi(uusi ikkuna), joita tietokoneet käyttävät verkkosivustojen ja muiden internet-resurssien tunnistamiseen. Sillä on siten elintärkeä tehtävä siinä, kuinka me kaikki käytämme internetiä, mukaan lukien työssä.

Valitettavasti DNS keksittiin vuonna 1983, kauan ennen kuin verkkoturvallisuuden tarvetta edes harkittiin. Oletuksena DNS-pyynnöt lähetetään pelkkänä tekstinä kaikkien nähtäväksi, ja ne on helppo kaapata ohjaamaan haitallisille verkkotunnuksille. Tämä tilanne on tarpeeksi vaarallinen yksittäisille internetin käyttäjille, mutta potentiaalisesti katastrofaalinen yrityskontekstissa.

Mikä on DNS?

Tietokoneet tunnistavat jokaisen laitteen, joka yhdistää suoraan internetiin, yksilöllisellä numeerisella IP-osoitteella. Vanhempi IPv4-järjestelmä käyttää kahdeksannumeroisia osoitteita (kuten 185.159.159.140), mutta nämä ovat loppumassa, joten uudempi IPv6-standardi käyttää heksadesimaalijärjestelmää (sisältäen sekä numeroita että kirjaimia), joka voi olla jopa 45 merkkiä pitkä (kuten 2001:db8::8a2e:370:7334).

Tämä on hienoa tietokoneille, mutta ei ihmisille, jotka ovat paljon parempia muistamaan kirjainpohjaisia osoitteita (verkkotunnuksia), joissa on meille järkeä (kuten protonvpn.com). DNS sallii ihmisten syöttää verkkotunnuksia, joita ymmärrämme, ja kartoittaa ne numeerisiin osoitteisiin, joita tietokoneet ymmärtävät. Pohjimmiltaan se käyttäytyy kuin puhelinluettelo, joka ristiinviittaa verkkotunnukset ja IP-osoitteet.

Kun syötät verkkotunnuksen (esimerkiksi selaimen hakupalkkiin), DNS-kysely lähetetään DNS-palvelimelle, joka ratkaisee kyselyn. Toisin sanoen se kääntää verkkotunnuksen sitä vastaavaksi IP-osoitteeksi.

Lue lisää siitä, kuinka DNS toimii(uusi ikkuna)

DNS ja yksityisyys yrityksille

DNS on hyödyllinen, mutta luo suuren turvallisuusongelman: Kuka tahansa, jolla on pääsy yrityksesi DNS-kyselyihin, tietää käytännössä sen koko selaushistorian, mukaan lukien kaikkien niiden henkilöstön jäsenten historian, jotka käyttävät toimistoverkkoa internetiin yhdistämiseen.

DNS ja yrityksesi Internet-palveluntarjoaja

Oletuksena internet-palveluntarjoajasi(uusi ikkuna) (ISP) selvittää DNS-kyselyt. Valitettavasti internet-palveluntarjoajat eivät ole kiinnostuneita yksilöiden tai yritysten yksityisyyden suojaamisesta. Useimmat valtiolliset massavakoiluohjelmat perustuvat siihen, että internet-palveluntarjoajia vaaditaan pitämään lokeja asiakkaidensa selaushistoriasta. Ja koska se on helppoa ja halpaa, useimmat internet-palveluntarjoajat täyttävät nämä lailliset velvoitteet pitämällä vain DNS-lokeja.

Joissakin maissa (kuten Yhdysvalloissa) internet-palveluntarjoajien on jopa sallittua käyttää tai myydä asiakkaiden DNS-tietueita(uusi ikkuna) mainonta- ja analytiikkatarkoituksiin.

DNS ja yritysvalvonta

Useimmat DNS-kyselyt lähetetään DNS-palvelimelle pelkkänä tekstinä, mikä tarkoittaa, että mikä tahansa taho, joka voi siepata ne, tietää koko yrityksenne selaushistorian. Tähän sisältyvät yrityksenne yhteyshenkilöt, liikekumppanit, toimittajat, asiakkaat, viranomaiset sekä terveys- ja turvallisuussääntelyelimet, joiden kanssa se on vuorovaikutuksessa, ja paljon muuta.

Kaikki tämä data on mahdollisesti erittäin arvokasta tietoa kilpailijoille.

DNS ja yritysten tietoturva

Sen lisäksi, että hakkerit urkkivat passiivisesti yrityksenne selaushistoriaa, he voivat hyödyntää DNS:ää erilaisten aktiivisten hyökkäysten tekemiseen. Monet näistä kohdistuvat itse DNS-palvelimeen (tyypillisesti erilaiset palvelunestohyökkäykset(uusi ikkuna), joiden tarkoituksena on ylikuormittaa palvelin), mutta ellei yrityksenne ylläpidä omia DNS-palvelimiaan (ja jotkut tekevät niin), tällaiset hyökkäykset eivät todennäköisesti ole uhka liiketoiminnallenne.

DNS-pohjaisia hyökkäyksiä, jotka voivat olla uhka useimmille yrityksille, ovat muun muassa:

DNS-väärentäminen

Hakuprosessin nopeuttamiseksi ja DNS-palvelimien kuormituksen vähentämiseksi toistuvat kyselyt tallennetaan (välimuistiin) usein paikallisesti DNS-palvelimelle. DNS-väärentämishyökkäyksen (tunnetaan myös nimellä DNS-myrkytys) suorittamiseksi hyökkääjä lisää vääriä DNS-tietueita DNS-palvelimien välimuistiin.

Tämä voidaan tehdä käyttämällä mies välissä -hyökkäystä(uusi ikkuna) (sieppaamalla kysely käyttäjän laitteen ja DNS-palvelimen välillä) tai välimuistin myrkyttämisen(uusi ikkuna) kautta (hyödyntämällä DNS-palvelinohjelmiston haavoittuvuuksia haitallisten merkintöjen syöttämiseksi sen välimuistiin).

Kun DNS-välimuisti on myrkytetty ja käyttäjä yrittää vierailla laillisella verkkosivustolla, korruptoitunut DNS-tietue ohjaa hänet hyökkääjän hallitsemaan eri IP-osoitteeseen. Kuten tietojenkalasteluhyökkäyksissä, tämä johtaa tyypillisesti salasanojen ja luottokorttitietojen varastamiseen ja/tai haittaohjelmien lataamiseen yrityksenne tietokoneille.

DNS-tunnelointi

DNS-tunnelointia käytetään usein yritysvalvonnan välineenä palomuurien ja muiden turvatoimien ohittamiseen, joiden tarkoituksena on estää arkaluonteisten tietojen poistaminen (varkaus). Se koodaa tiedot siten, että ne voidaan siirtää DNS-kyselyjen ja -vastausten sisällä, jolloin DNS-infrastruktuuria käytetään tehokkaasti peiteltynä viestintäkanavana.

Hyökkääjät voivat käyttää sitä myös ylläpitääkseen yhteyttä vaarantuneisiin järjestelmiin, lähettäen komentoja ja vastaanottaen tulosteita ilman havaitsemista. DNS-tunnelointi hyödyntää sitä tosiasiaa, että turvalaitteet tutkivat DNS-liikennettä usein vähemmän kuin muun tyyppistä liikennettä, mikä tekee siitä tehokkaan menetelmän palomuurien ja suodattimien ohittamiseen.

DNS-tietoturvaratkaisut

Useimmat internet-palveluntarjoajat eivät toteuta mitään DNS-turvatoimia (eivätkä yleensä ole kiinnostuneita yrityksenne yksityisyyden suojaamisesta). Ulkopuoliset DNS-palveluntarjoajat, kuten Cloudflare 1.1.1.1, Quad9 ja OpenNIC, keskittyvät kuitenkin paljon vahvemmin yksityisyyteen ja tietoturvaan. Tähän sisältyy sellaisten teknologioiden käyttö, jotka tekevät DNS:stä paljon turvallisemman.

Yksityinen DNS

Yksityinen DNS (tunnetaan myös nimellä salattu DNS) käyttää DNS-over-TLS (DoT)-, DNS-over-HTTPS (DoH)- tai DNSCrypt-suojausprotokollia salaamaan DNS-kyselyt kyselyn tekevän laitteen ja DNS-palvelimen välillä.

Tämä varmistaa, ettei internet-palveluntarjoajanne (tai kukaan muu yrityksenne internetyhteyttä valvova taho) näe DNS-kyselyitänne.

Lue lisää yksityisestä DNS:stä(uusi ikkuna)

Yksityinen DNS on selvästi valtava parannus verrattuna DNS-kyselyjen lähettämiseen pelkkänä tekstinä, vaikka se ei olekaan yhtä yksityinen kuin VPN-palvelun käyttö, joka salaa DNS-pyyntöjen lisäksi kaiken yrityksenne arkaluonteisen datan estäen siten täysin internet-palveluntarjoajaanne näkemästä, mitä yrityksenne tekee verkossa. Se piilottaa myös todellisen IP-osoitteenne verkkosivustoilta, joilla henkilöstönne vierailee.

DNSSEC

Domain Name System Security Extensions (DNSSEC) on kokoelma määrityksiä, jotka on suunniteltu lisäämään ylimääräinen suojakerros DNS:ään.

DNSSEC:

  • Varmistaa, että vastaukset DNS-kyselyihin ovat aitoja. Se tekee tämän käyttämällä sähköisiä allekirjoituksia DNS-tietojen allekirjoittamiseen, jotka asiakasohjelma sitten validoi. Tämä auttaa varmistamaan, ettei tietoja ole sormeiltu ja että ne todella tulevat laillisesta lähteestä.
  • Takaa, ettei tietoja ole muutettu siirron aikana. Se tekee tämän allekirjoittamalla DNS-tiedot digitaalisesti, mikä suojaa mies välissä -hyökkäyksiltä ja estää ketään muokkaamasta tietoja. 

Miten Proton VPN voi suojata yrityksenne DNS:ää

Sen lisäksi, että Proton VPN for Business tarjoaa yhdyskäytävä-IP-osoitteita yrityksenne resurssien suojaamiseksi, se tarjoaa vankan DNS-suojauksen:

  • Kaikki DNS-pyynnöt lähetetään salatun VPN-tunnelin kautta selvitettäväksi omilla turvallisilla DNS-palvelimillamme (joten yksityisille DNS-ratkaisuille ei ole tarvetta)
  • Emme koskaan pidä lokia DNS-kyselyistänne (tai mistään muustakaan)   
  • NetShield Ad-blocker -ominaisuutemme on DNS-suodatin, joka estää DNS-kyselyt haitallisille verkkotunnuksille, jotka tunnetaan mainoksista, seuraimista ja (valinnaisesti paremman hallinnan vuoksi) haittaohjelmista 
  • DNS-palvelimenne käyttävät DNSSEC:tä DNS-tietojen todentamiseen (lukuun ottamatta NetShieldin estämiä verkkotunnuksia, joita emme muutenkaan selvitä)
Hanki Proton VPN for Business

Loppuajatuksia: DNS-suojauksen tärkeys yrityksille

DNS-tietoturva jätetään usein huomiotta, mutta sen tulisi olla tärkeä näkökohta mille tahansa yritykselle, joka arvioi tietoturvatilannettaan. Itse asiassa hyökkäyksiä, kuten DNS-tunnelointia, on olemassa juuri siksi, että yritysten DNS-kyselyjen suojaamiseen ei usein kiinnitetä riittävästi huomiota.

Proton VPN for Businessin avulla voitte olla varmoja, että kaikki DNS-kyselyt on salattu, DNS-lokeja ei pidetä ja DNS-selvitykset todennetaan käyttämällä DNSSEC:tä.