In questo articolo, vedremo la sicurezza DNS(nuova finestra), cosa significa per le tue aziende e come usare Proton VPN fornisce alla tua azienda la sicurezza DNS(nuova finestra) di cui ha bisogno.

Il Domain Name System (DNS) traduce i nomi di dominio human-friendly in indirizzi IP(nuova finestra) numerici che i computer usano per identificare siti web e altre risorse internet. Gioca quindi un ruolo vitale nel modo in cui tutti noi usiamo internet, incluso per lavoro.

Sfortunatamente, il DNS è stato inventato nel 1983, molto prima che la necessità di sicurezza online fosse mai considerata. Per impostazione predefinita, le richieste DNS vengono inviate in testo in chiaro visibile a chiunque e sono facilmente dirottate per reindirizzare a domini dannosi. Questa situazione è abbastanza pericolosa per i singoli utenti internet, ma è potenzialmente catastrofica in un contesto aziendale.

Che cos’è il DNS?

I computer identificano ogni dispositivo che si connette direttamente a internet con un indirizzo IP numerico unico. Il vecchio sistema IPv4 usa indirizzi a otto cifre (come 185.159.159.140), ma questi stanno finendo, quindi il nuovo standard IPv6 usa un sistema esadecimale (contenente sia cifre che lettere) che può essere lungo fino a 45 caratteri (come 2001:db8::8a2e:370:7334).

Questo è ottimo per i computer, ma non per gli umani, che sono molto più bravi a ricordare indirizzi basati su lettere (nomi di dominio) che hanno senso per noi (come protonvpn.com). Il DNS permette agli umani di inserire nomi di dominio che capiamo e li mappa in indirizzi numerici che i computer capiscono. In sostanza, si comporta come un elenco telefonico che incrocia nomi di dominio e indirizzi IP.

Quando inserisci un nome di dominio (per esempio, in una barra di ricerca del browser), una query DNS viene inviata a un server DNS che risolve la query. Cioè, traduce il nome di dominio nel suo indirizzo IP corrispondente.

Scopri di più su come funziona il DNS (nuova finestra)

DNS e privacy per le aziende

Il DNS è utile ma crea un grande problema di sicurezza: Chiunque abbia accesso alle query DNS della tua azienda conosce effettivamente l’intera sua cronologia di navigazione, inclusa quella di tutti i membri dello staff che usano una rete dell’ufficio per connettersi a internet.

DNS e l’ISP della tua azienda

Per impostazione predefinita, le query DNS vengono risolte dal tuo fornitore di servizi internet(nuova finestra) (ISP). Sfortunatamente, gli ISP non si occupano di proteggere la privacy di individui o aziende. La maggior parte dei programmi di spionaggio di massa governativi si basa sulla richiesta agli ISP di mantenere i log delle cronologie di navigazione dei propri clienti. E, poiché è facile ed economico, la maggior parte degli ISP soddisfa questi obblighi legali conservando solo i log DNS.

In alcuni paesi (come gli Stati Uniti), agli ISP è persino consentito utilizzare o vendere i record DNS dei clienti(nuova finestra) per scopi pubblicitari e analitici.

DNS e sorveglianza aziendale

La maggior parte delle query DNS viene inviata al server DNS in testo in chiaro, il che significa che qualsiasi entità in grado di intercettarle conoscerà l’intera cronologia di navigazione della tua azienda. Ciò include i contatti della tua azienda, i soci d’affari, i fornitori, i clienti, il governo, gli enti normativi per la salute e la sicurezza con cui interagisce e molto altro.

Tutti questi dati sono informazioni potenzialmente molto preziose per i concorrenti.

DNS e sicurezza per le aziende

Oltre a spiare passivamente la cronologia di navigazione della tua azienda, gli hacker possono sfruttare il DNS per eseguire una varietà di attacchi attivi. Molti di questi prendono di mira il server DNS stesso (tipicamente varie forme di attacco denial-of-service(nuova finestra) mirato a sovraccaricare il server), ma a meno che la tua azienda non gestisca i propri server DNS (e alcune lo fanno), è improbabile che tali attacchi costituiscano una minaccia per la tua attività.

Gli attacchi basati su DNS che possono costituire una minaccia per la maggior parte delle aziende includono:

Spoofing DNS

Per accelerare il processo di ricerca e ridurre il carico sui server DNS, le query frequenti vengono spesso archiviate (nella cache) localmente sul server DNS. Per eseguire un attacco di spoofing DNS (noto anche come avvelenamento DNS), un aggressore inserisce falsi record DNS nella cache dei server DNS.

Ciò può essere fatto utilizzando un attacco man-in-the-middle(nuova finestra) (intercettando la query tra il dispositivo dell’utente e il server DNS) o tramite avvelenamento della cache(nuova finestra) (sfruttando le vulnerabilità nel software del server DNS per iniettare voci dannose nella sua cache).

Una volta avvelenata la cache DNS, quando un utente tenta di visitare un sito web legittimo, il record DNS corrotto lo reindirizza a un indirizzo IP diverso controllato dall’aggressore. Come con gli attacchi di phishing, questo si traduce tipicamente nel furto di password e informazioni sulla carta di credito e/o nel caricamento di malware sui computer della tua azienda.

Tunneling DNS

Spesso utilizzato come strumento di sorveglianza aziendale per aggirare i firewall e altre misure di sicurezza volte a prevenire l’esfiltrazione (furto) di dati sensibili, il tunneling DNS codifica i dati in modo che possano essere trasmessi all’interno di query e risposte DNS, utilizzando efficacemente l’infrastruttura DNS come canale di comunicazione nascosto.

Può anche essere utilizzato dagli aggressori per mantenere la comunicazione con i sistemi compromessi, inviando comandi e ricevendo output senza essere rilevati. Il tunneling DNS sfrutta il fatto che il traffico DNS è spesso meno controllato dai dispositivi di sicurezza rispetto ad altri tipi di traffico, rendendolo un metodo efficace per aggirare firewall e filtri.

Soluzioni di sicurezza DNS

La maggior parte degli ISP non implementa alcuna misura di sicurezza DNS (e generalmente non ha alcun interesse a proteggere la privacy della tua azienda). Tuttavia, i fornitori DNS di terze parti come Cloudflare 1.1.1.1, Quad9 e OpenNIC hanno un focus molto più forte su privacy e sicurezza. Ciò include l’utilizzo di tecnologie che rendono il DNS molto più sicuro.

DNS privato

Il DNS privato (noto anche come DNS crittografato) utilizza i protocolli di sicurezza DNS-over-TLS (DoT), DNS-over-HTTPS (DoH) o DNSCrypt per crittografare le query DNS tra il dispositivo che effettua la query e il server DNS.

Questo garantisce che il tuo ISP (o chiunque altro monitori la connessione internet della tua azienda) non possa vedere le tue query DNS.

Scopri di più sul DNS privato(nuova finestra)

Il DNS privato è chiaramente un enorme miglioramento rispetto all’invio di query DNS in testo in chiaro, sebbene non sia privato quanto l’utilizzo di un servizio VPN, che crittografa non solo le tue richieste DNS, ma tutti i dati sensibili della tua azienda, impedendo così completamente al tuo ISP di vedere cosa fa la tua attività online. Nasconde anche il tuo vero indirizzo IP ai siti web visitati dai membri del tuo staff.

DNSSEC

Le estensioni di sicurezza del Domain Name System (DNSSEC) sono una suite di specifiche progettate per aggiungere un ulteriore livello di sicurezza al DNS.

DNSSEC:

  • Garantisce che le risposte alle query DNS siano autentiche. Lo fa utilizzando firme digitali per firmare i dati DNS, che vengono poi convalidati dal client. Questo aiuta a verificare che i dati non siano stati manomessi e che provengano effettivamente dalla fonte legittima.
  • Garantisce che i dati non siano stati alterati durante il transito. Lo fa firmando digitalmente i dati DNS, proteggendo dagli attacchi man-in-the-middle e impedendo a chiunque di modificare i dati.

Come Proton VPN può proteggere il DNS della tua azienda

Oltre a fornire indirizzi IP gateway per proteggere le risorse della tua azienda, Proton VPN for Business offre una solida sicurezza DNS:

  • Tutte le richieste DNS vengono inviate attraverso il tunnel VPN crittografato per essere risolte dai nostri server DNS sicuri (quindi non c’è bisogno di soluzioni DNS private)
  • Non registriamo mai le tue query DNS (o qualsiasi altra cosa, se è per questo)
  • La nostra funzionalità NetShield Ad-blocker è un filtro DNS che blocca le query DNS verso domini dannosi noti per annunci, tracker e (opzionalmente, per un maggiore controllo) malware
  • I tuoi server DNS utilizzano DNSSEC per autenticare i dati DNS (tranne per i domini bloccati da NetShield, che comunque non risolviamo)
Ottieni Proton VPN for Business

Considerazioni finali: l’importanza della protezione DNS per le aziende

La sicurezza DNS è spesso trascurata, ma dovrebbe essere una considerazione importante per qualsiasi azienda che valuti la propria postura di sicurezza. In effetti, attacchi come il tunneling DNS esistono proprio perché spesso non viene prestata sufficiente attenzione alla sicurezza delle query DNS aziendali.

Con Proton VPN for Business, puoi essere certo che tutte le query DNS siano crittografate, che non vengano conservati log DNS e che le risoluzioni DNS siano autenticate tramite DNSSEC.