In dit artikel kijken we naar DNS(nieuw venster)-beveiliging, wat het betekent voor uw bedrijven en hoe het gebruik van Proton VPN uw bedrijf de DNS-beveiliging(nieuw venster) biedt die het nodig heeft.

Het Domain Name System (DNS) vertaalt mensvriendelijke domeinnamen naar numerieke IP-adressen(nieuw venster) die computers gebruiken om websites en andere internetbronnen te identificeren. Het speelt daarom een cruciale rol in hoe we allemaal internet gebruiken, ook voor werk.

Helaas werd DNS uitgevonden in 1983, lang voordat er over de noodzaak van online beveiliging werd nagedacht. Standaard worden DNS-verzoeken verzonden in platte tekst die voor iedereen zichtbaar is, en ze kunnen gemakkelijk worden gekaapt om om te leiden naar kwaadaardige domeinen. Deze situatie is gevaarlijk genoeg voor individuele internetgebruikers, maar is potentieel catastrofaal in een zakelijke context.

Wat is DNS?

Computers identificeren elk apparaat dat rechtstreeks verbinding maakt met het internet met een uniek numeriek IP-adres. Het oudere IPv4-systeem gebruikt adressen van acht cijfers (zoals 185.159.159.140), maar deze raken op, dus gebruikt de nieuwere IPv6-standaard een hexadecimaal systeem (met zowel cijfers als letters) dat tot 45 tekens lang kan zijn (zoals 2001:db8::8a2e:370:7334).

Dit is geweldig voor computers, maar niet voor mensen, die veel beter zijn in het onthouden van adressen op basis van letters (domeinnamen) die logisch voor ons zijn (zoals protonvpn.com). Met DNS kunnen mensen domeinnamen invoeren die we begrijpen en deze toewijzen aan numerieke adressen die computers begrijpen. In wezen gedraagt het zich als een telefoonboek dat verwijst naar domeinnamen en IP-adressen.

Wanneer u een domeinnaam invoert (bijvoorbeeld in de zoekbalk van een browser), wordt er een DNS-query verzonden naar een DNS-server die de query oplost. Dat wil zeggen, het vertaalt de domeinnaam naar het bijbehorende IP-adres.

Meer informatie over hoe DNS werkt (nieuw venster)

DNS en privacy voor bedrijven

DNS is nuttig maar creëert een groot beveiligingsprobleem: iedereen met toegang tot de DNS-query’s van uw bedrijf kent effectief de volledige browsegeschiedenis, inclusief die van alle personeelsleden die een kantoornetwerk gebruiken om verbinding te maken met het internet.

DNS en de ISP van uw bedrijf

Standaard worden DNS-query’s opgelost door uw Internet Service Provider(nieuw venster) (ISP). Helaas houden ISP’s zich niet bezig met het beschermen van de privacy van individuen of bedrijven. De meeste overheidsprogramma’s voor massaspionage vereisen dat ISP’s logboeken bijhouden van de browsegeschiedenis van hun klanten. En omdat het gemakkelijk en goedkoop is, voldoen de meeste ISP’s aan deze wettelijke verplichtingen door alleen DNS-logboeken bij te houden.

In sommige landen (zoals de Verenigde Staten) is het ISP’s zelfs toegestaan om DNS-records van klanten te gebruiken of te verkopen(nieuw venster) voor advertentie- en analysedoeleinden.

DNS en bedrijfssurveillance

De meeste DNS-query’s worden in tekst zonder opmaak naar de DNS-server verzonden, wat betekent dat elke entiteit die ze kan onderscheppen, de volledige browsegeschiedenis van uw bedrijf kent. Dit omvat de contacten van uw bedrijf, zakenpartners, leveranciers, klanten, overheids-, gezondheids- en veiligheidsinstanties waarmee het communiceert, en nog veel meer.

Al deze gegevens zijn potentieel zeer waardevolle informatie voor concurrenten.

DNS en beveiliging voor bedrijven

Naast het passief bespieden van de browsegeschiedenis van uw bedrijf, kunnen hackers DNS misbruiken om verschillende actieve aanvallen uit te voeren. Veel van deze richten zich op de DNS-server zelf (meestal verschillende vormen van denial-of-service-aanvallen(nieuw venster) gericht op het overbelasten van de server), maar tenzij uw bedrijf zijn eigen DNS-servers beheert (en sommige doen dat), vormen dergelijke aanvallen waarschijnlijk geen bedreiging voor uw bedrijf.

Op DNS gebaseerde aanvallen die een bedreiging kunnen vormen voor de meeste bedrijven, zijn onder meer:

DNS-spoofen

Om het opzoekproces te versnellen en de belasting van DNS-servers te verminderen, worden frequente query’s vaak lokaal opgeslagen (gecached) op de DNS-server. Om een DNS-spoofingaanval uit te voeren (ook wel bekend als DNS-poisoning), voegt een aanvaller valse DNS-records in de cache van de DNS-server in.

Dit kan worden gedaan door middel van een man-in-the-middle-aanval(nieuw venster) (het onderscheppen van de query tussen het apparaat van de gebruiker en de DNS-server) of via cache poisoning(nieuw venster) (gebruikmaken van kwetsbaarheden in de software van de DNS-server om kwaadaardige items in de cache te injecteren).

Zodra de DNS-cache is vergiftigd, wordt de gebruiker, wanneer deze een legitieme website probeert te bezoeken, door het corrupte DNS-record omgeleid naar een ander IP-adres dat door de aanvaller wordt beheerd. Net als bij phishing-aanvallen leidt dit doorgaans tot diefstal van wachtwoorden en kredietkaartinformatie en/of het uploaden van malware naar de computers van uw bedrijf.

DNS-tunneling

DNS-tunneling wordt vaak gebruikt als instrument voor bedrijfssurveillance om firewalls en andere beveiligingsmaatregelen te omzeilen die gericht zijn op het voorkomen van exfiltratie (diefstal) van gevoelige gegevens. Het codeert de gegevens zodat deze kunnen worden verzonden binnen DNS-query’s en -reacties, waarbij de DNS-infrastructuur effectief wordt gebruikt als een verborgen communicatiekanaal.

Het kan ook door aanvallers worden gebruikt om communicatie met gecompromitteerde systemen te onderhouden, commando’s te verzenden en output te ontvangen zonder detectie. DNS-tunneling maakt gebruik van het feit dat DNS-verkeer vaak minder nauwkeurig wordt onderzocht door beveiligingsapparaten in vergelijking met andere soorten verkeer, waardoor het een effectieve methode is om firewalls en filters te omzeilen.

DNS-beveiligingsoplossingen

De meeste ISP’s implementeren geen enkele DNS-beveiligingsmaatregel (en hebben doorgaans geen belang bij het beschermen van de privacy van uw bedrijf). Externe DNS-providers (derden) zoals Cloudflare 1.1.1.1, Quad9 en OpenNIC hebben echter een veel sterkere focus op privacy en beveiliging. Dit omvat het gebruik van technologieën die DNS veel veiliger maken.

Privé DNS

Privé DNS (ook bekend als versleutelde DNS) gebruikt de beveiligingsprotocollen DNS-over-TLS (DoT), DNS-over-HTTPS (DoH) of DNSCrypt om DNS-query’s tussen het apparaat dat de query uitvoert en de DNS-server te versleutelen.

Dit zorgt ervoor dat uw ISP (of iemand anders die de internetverbinding van uw bedrijf monitort) uw DNS-query’s niet kan zien.

Meer informatie over privé DNS(nieuw venster)

Privé DNS is duidelijk een enorme verbetering ten opzichte van het verzenden van DNS-query’s in tekst zonder opmaak, hoewel het niet zo privé is als het gebruik van een VPN-dienst, die niet alleen uw DNS-verzoeken versleutelt, maar alle gevoelige gegevens van uw bedrijf, waardoor uw ISP volledig wordt verhinderd te zien wat uw bedrijf online doet. Het verbergt ook uw echte IP-adres voor websites die uw medewerkers bezoeken.

DNSSEC

Domain Name System Security Extensions (DNSSEC) is een reeks specificaties die is ontworpen om een extra beveiligingslaag aan DNS toe te voegen.

DNSSEC:

  • Zorgt ervoor dat de reacties op DNS-query’s authentiek zijn. Dit gebeurt door digitale handtekeningen te gebruiken om DNS-gegevens te ondertekenen, die vervolgens door de client worden gevalideerd. Dit helpt te verifiëren dat de gegevens niet onrechtmatig zijn bewerkt en dat ze inderdaad afkomstig zijn van de legitieme bron.
  • Garandeert dat de gegevens tijdens de overdracht niet zijn gewijzigd. Dit gebeurt door de DNS-gegevens digitaal te ondertekenen, wat beschermt tegen man-in-the-middle-aanvallen en voorkomt dat iemand de gegevens wijzigt. 

Hoe Proton VPN de DNS van uw bedrijf kan beschermen

Naast het bieden van gateway-IP-adressen om de bronnen van uw bedrijf te beveiligen, biedt Proton VPN for Business robuuste DNS-beveiliging:

  • Alle DNS-verzoeken worden via de versleutelde VPN-tunnel verzonden om te worden opgelost door onze eigen beveiligde DNS-servers (dus er is geen behoefte aan privé DNS-oplossingen)
  • We houden nooit logboeken bij van uw DNS-query’s (of iets anders trouwens)   
  • Onze NetShield Ad-blocker-functie is een DNS-filter dat DNS-query’s naar kwaadaardige domeinen blokkeert die bekend staan om advertenties, trackers en (optioneel, voor meer controle) malware 
  • Uw DNS-servers gebruiken DNSSEC om DNS-gegevens te authenticeren (behalve voor domeinen die door NetShield worden geblokkeerd, die we sowieso niet oplossen)
Neem Proton VPN for Business

Laatste gedachten: Het belang van DNS-bescherming voor bedrijven

DNS-beveiliging wordt vaak over het hoofd gezien, maar zou een belangrijke overweging moeten zijn voor elk bedrijf dat zijn beveiligingspositie beoordeelt. Aanvallen zoals DNS-tunneling bestaan immers precies omdat er vaak niet genoeg zorg wordt besteed aan het beveiligen van de DNS-query’s van bedrijven.

Met Proton VPN for Business kunt u er zeker van zijn dat alle DNS-query’s versleuteld zijn, er geen DNS-logboeken worden bijgehouden en dat DNS-resoluties worden geauthenticeerd met behulp van DNSSEC.