I denne artikkelen ser vi på sikkerhet for DNS(nytt vindu), hva det betyr for bedriften din, og hvordan bruken av Proton VPN gir bedriften den DNS-sikkerheten(nytt vindu) den trenger.

Domenenavnsystemet (DNS) oversetter menneskevennlige domenenavn til numeriske IP-adresser(nytt vindu) som datamaskiner bruker for å identifisere nettsteder og andre internettressurser. Det spiller derfor en viktig rolle i hvordan vi alle bruker internett, også i jobbsammenheng.

Dessverre ble DNS oppfunnet i 1983, lenge før behovet for pålogget sikkerhet i det hele tatt ble vurdert. Som standard sendes DNS-forespørsler i ren tekst for at alle kan se dem, og de blir lett kapret for å omdirigere til ondsinnede domener. Denne situasjonen er farlig nok for individuelle internettbrukere, men er potensielt katastrofal i en forretningssammenheng.

Hva er DNS?

Datamaskiner identifiserer hver enhet som kobler seg direkte til internett, med en unik numerisk IP-adresse. Det eldre IPv4-systemet bruker åttesifrede adresser (for eksempel 185.159.159.140), men disse begynner å gå tomme, så den nyere IPv6-standarden bruker et heksadesimalt system (som inneholder både sifre og bokstaver) som kan være opptil 45 tegn langt (for eksempel 2001:db8::8a2e:370:7334).

Dette er flott for datamaskiner, men ikke for mennesker, som er langt bedre til å huske bokstavbaserte adresser (domenenavn) som gir mening for oss (slik som protonvpn.com). DNS lar mennesker angi domenenavn som vi forstår, og tilordner dem til numeriske adresser som datamaskiner forstår. I bunn og grunn fungerer det som en telefonkatalog som kryssrefererer domenenavn og IP-adresser.

Når du angir et domenenavn (for eksempel i søkefeltet i en nettleser), sendes en DNS-forespørsel til en DNS-tjener som løser forespørselen. Det vil si at den oversetter domenenavnet til den tilsvarende IP-adressen.

Finn ut mer om hvordan DNS fungerer (nytt vindu)

DNS og personvern for bedrifter

DNS er nyttig, men skaper et stort sikkerhetsproblem: Alle med tilgang til bedriftens DNS-forespørsler kjenner i praksis til hele nettleserhistorikken, inkludert historikken til alle ansatte som bruker et kontornettverk for å koble til internett.

DNS og bedriftens Internettleverandør

Som standard blir DNS-spørringer løst av din internettleverandør(nytt vindu) (ISP). Dessverre er ikke ISP-er i bransjen for å beskytte personvernet til enkeltpersoner eller bedrifter. De fleste statlige masseovervåkingsprogrammer er avhengige av å kreve at ISP-er fører logger over kundenes nettleserhistorikk. Og fordi det er enkelt og billig, oppfyller de fleste ISP-er disse juridiske forpliktelsene ved bare å føre DNS-logger.

I noen land (som for eksempel USA) har ISP-er til og med lov til å bruke eller selge kundenes DNS-poster(nytt vindu) for reklame- og analyseformål.

DNS og bedriftsovervåking

De fleste DNS-spørringer sendes til DNS-tjeneren i ren tekst, noe som betyr at enhver enhet som kan avskjære dem, vil kjenne hele bedriftens nettleserhistorikk. Dette inkluderer bedriftens kontakter, forretningspartnere, leverandører, kunder, myndigheter, helse- og sikkerhetsforskrifter den samhandler med, og mye mer.

Alle disse dataene er potensielt svært verdifull informasjon for konkurrenter.

DNS og sikkerhet for bedrifter

I tillegg til å passivt snoke på bedriftens nettleserhistorikk, kan hackere utnytte DNS til å utføre en rekke aktive angrep. Mange av disse retter seg mot selve DNS-tjeneren (vanligvis ulike former for tjenestenektangrep(nytt vindu) rettet mot å overbelaste tjeneren), men med mindre bedriften din kjører sine egne DNS-tjenere (som noen gjør), er det usannsynlig at slike angrep vil utgjøre en trussel mot bedriften din.

DNS-baserte angrep som kan utgjøre en trussel mot de fleste bedrifter inkluderer:

DNS forfalskning av e-postadresser (spoofing)

For å øke hastigheten på oppslagsprosessen og redusere belastningen på DNS-tjenere, blir hyppige spørringer ofte lagret (bufret) lokalt i en hurtigbuffer på DNS-tjeneren. For å utføre et DNS forfalskning av e-postadresser (spoofing)-angrep (også kjent som DNS-forgiftning), setter en angriper inn falske DNS-poster i DNS-tjenerens hurtigbuffer.

Dette kan gjøres ved å bruke et mann-i-midten-angrep(nytt vindu) (avskjære spørringen mellom brukerens enhet og DNS-tjeneren) eller via hurtigbufferforgiftning(nytt vindu) (utnytte sårbarheter i DNS-tjenerens programvare for å injisere ondsinnede oppføringer i dens hurtigbuffer).

Når DNS-hurtigbufferen er forgiftet, og en bruker prøver å besøke et legitimt nettsted, omdirigerer den ødelagte DNS-posten dem til en annen IP-adresse kontrollert av angriperen. Som med nettfisking-angrep, resulterer dette vanligvis i at passord og kredittkortinformasjon blir stjålet og/eller at skadelig programvare blir lastet opp til bedriftens datamaskiner.

DNS-tunnelering

Ofte brukt som et verktøy for bedriftsovervåking for å omgå brannmurer og andre sikkerhetstiltak rettet mot å forhindre eksfiltrering (tyveri) av sensitive data, koder DNS-tunnelering dataene slik at de kan overføres i DNS-spørringer og -svar, og bruker dermed effektivt DNS-infrastrukturen som en skjult kommunikasjonskanal.

Det kan også brukes av angripere til å opprettholde kommunikasjon med kompromitterte systemer, sende kommandoer og motta utdata uten å bli oppdaget. DNS-tunnelering utnytter det faktum at DNS-trafikk ofte blir mindre gransket av sikkerhetsenheter sammenlignet med andre typer trafikk, noe som gjør det til en effektiv metode for å omgå brannmurer og filtre.

Løsninger for DNS-sikkerhet

De fleste ISP-er implementerer ingen DNS-sikkerhetstiltak overhodet (og har generelt ingen interesse av å beskytte bedriftens personvern). Imidlertid har tredjeparts DNS-leverandører som Cloudflare 1.1.1.1, Quad9 og OpenNIC et mye sterkere fokus på personvern og sikkerhet. Dette inkluderer bruk av teknologier som gjør DNS mye sikrere.

Privat DNS

Privat DNS (også kjent som kryptert DNS) bruker sikkerhetsprotokollene DNS-over-TLS (DoT), DNS-over-HTTPS (DoH) eller DNSCrypt til å kryptere DNS-spørringer mellom enheten som foretar spørringen og DNS-tjeneren.

Dette sikrer at din internettleverandør (eller andre som driver overvåking av bedriftens internettilkobling) ikke kan se dine DNS-spørringer.

Finn ut mer om privat DNS(nytt vindu)

Privat DNS er helt klart en stor forbedring over å sende DNS-spørringer i ren tekst, selv om det ikke er like privat som å bruke en VPN-tjeneste, som krypterer ikke bare dine DNS-forespørsler, men alle bedriftens sensitive data, og dermed fullstendig forhindrer din ISP fra å se hva bedriften din gjør pålogget. Det skjuler også din virkelige IP-adresse fra nettsteder de ansatte besøker.

DNSSEC

Domain Name System Security Extensions (DNSSEC) er en pakke med spesifikasjoner designet for å legge til et ekstra lag med sikkerhet i DNS.

DNSSEC:

  • Sikrer at svarene på DNS-spørringer er autentiske. Den gjør dette ved å bruke digitale signaturer til å signere DNS-data, som deretter valideres av klienten. Dette bidrar til å verifisere at dataene ikke har blitt tuklet med og at de faktisk kommer fra den legitime kilden.
  • Garanterer at dataene ikke har blitt endret under overføring. Den gjør dette ved å signere DNS-dataene digitalt, noe som beskytter mot mann-i-midten-angrep og forhindrer at noen endrer dataene. 

Hvordan Proton VPN kan beskytte bedriftens DNS

I tillegg til å tilby IP-adresser for porttjener for å sikre bedriftens ressurser, gir Proton VPN for Business robust DNS-sikkerhet:

  • Alle DNS-forespørsler sendes gjennom den krypterte VPN-tunnelen for å bli løst av våre egne sikre DNS-tjenere (så det er ikke behov for private DNS-løsninger)
  • Vi fører aldri noen logg over dine DNS-spørringer (eller noe annet, for den saks skyld)   
  • Vår NetShield Ad-blocker-funksjon er et DNS-filter som blokkerer DNS-spørringer til ondsinnede domener kjent for annonser, sporere, og (valgfritt, for større kontroll) skadelig programvare 
  • Dine DNS-tjenere bruker DNSSEC til å autentisere DNS-data (unntatt for domener blokkert av NetShield, som vi uansett ikke løser)
Skaff deg Proton VPN for Business

Avsluttende tanker: Viktigheten av DNS-beskyttelse for bedrifter

DNS-sikkerhet blir ofte oversett, men bør være en viktig vurdering for enhver bedrift som vurderer sin sikkerhetsstilling. Faktisk eksisterer angrep som DNS-tunnelering nettopp fordi det ofte ikke tas nok hensyn til å sikre bedrifters DNS-spørringer.

Med Proton VPN for Business kan du være sikker på at alle DNS-spørringer er krypterte, ingen DNS-logger føres, og DNS-oppslag autentiseres med DNSSEC.