W tym artykule przyjrzymy się bezpieczeństwu DNS(nowe okno), co ono oznacza dla Twojej firmy i jak korzystanie z Proton VPN zapewnia Twojej firmie bezpieczeństwo DNS(nowe okno), którego potrzebuje.

System nazw domen (DNS) tłumaczy przyjazne dla człowieka nazwy domen na numeryczne adresy IP(nowe okno), których komputery używają do identyfikacji stron internetowych i innych zasobów internetowych. Odgrywa zatem kluczową rolę w tym, jak wszyscy korzystamy z Internetu, w tym w pracy.

Niestety, DNS został wynaleziony w 1983 roku, na długo przed tym, jak w ogóle rozważano potrzebę bezpieczeństwa online. Domyślnie zapytania DNS są wysyłane jawnym tekstem, widocznym dla każdego, i łatwo je przejąć, aby przekierować na złośliwe domeny. Taka sytuacja jest wystarczająco niebezpieczna dla indywidualnych użytkowników Internetu, ale potencjalnie katastrofalna w kontekście biznesowym.

Czym jest DNS?

Komputery identyfikują każde urządzenie łączące się bezpośrednio z Internetem za pomocą unikalnego numerycznego adresu IP. Starszy system IPv4 używa adresów składających się z czterech liczb (np. 185.159.159.140), ale te się kończą, więc nowszy standard IPv6 wykorzystuje system szesnastkowy (zawierający zarówno cyfry, jak i litery), który może mieć do 45 znaków (np. 2001:db8::8a2e:370:7334).

To świetne rozwiązanie dla komputerów, ale nie dla ludzi, którzy znacznie lepiej zapamiętują adresy literowe (nazwy domen), które mają dla nas sens (np. protonvpn.com). DNS pozwala ludziom wprowadzać nazwy domen, które rozumiemy, i mapuje je na adresy numeryczne, które rozumieją komputery. W istocie zachowuje się jak książka telefoniczna, która zestawia nazwy domen i adresy IP.

Gdy wprowadzasz nazwę domeny (na przykład w pasku wyszukiwania przeglądarki), zapytanie DNS jest wysyłane do serwera DNS, który je rozwiązuje. Oznacza to, że tłumaczy nazwę domeny na odpowiadający jej adres IP.

Dowiedz się więcej o tym, jak działa DNS (nowe okno)

DNS i prywatność dla firm

DNS jest przydatny, ale stwarza duży problem bezpieczeństwa: każdy, kto ma dostęp do zapytań DNS Twojej firmy, faktycznie zna całą jej historię przeglądania, w tym historię wszystkich pracowników, którzy korzystają z sieci biurowej do łączenia się z Internetem.

DNS i dostawca Internetu Twojej firmy

Domyślnie zapytania DNS są rozwiązywane przez Twojego dostawcę Internetu(nowe okno) (ISP). Niestety, ochrona prywatności osób fizycznych czy firm nie leży w interesie dostawców. Większość rządowych programów masowej inwigilacji polega na wymaganiu od dostawców Internetu przechowywania logów historii przeglądania klientów. A ponieważ jest to łatwe i tanie, większość dostawców spełnia te prawne obowiązki, przechowując jedynie logi DNS.

W niektórych krajach (takich jak Stany Zjednoczone) dostawcy Internetu mogą nawet używać lub sprzedawać rekordy DNS klientów(nowe okno) w celach reklamowych i analitycznych.

DNS i inwigilacja korporacyjna

Większość zapytań DNS jest wysyłana do serwera DNS jako zwykły tekst, co oznacza, że każdy podmiot, który może je przechwycić, pozna całą historię przeglądania Twojej firmy. Obejmuje to kontakty firmowe, współpracowników, dostawców, klientów, organy rządowe, zdrowotne i regulacyjne ds. bezpieczeństwa, z którymi firma wchodzi w interakcje, i wiele więcej.

Wszystkie te dane są potencjalnie bardzo cennymi informacjami dla konkurencji.

DNS i bezpieczeństwo dla firm

Oprócz pasywnego podglądania historii przeglądania Twojej firmy, hakerzy mogą wykorzystać DNS do przeprowadzania różnych aktywnych ataków. Wiele z nich jest wymierzonych w sam serwer DNS (zazwyczaj są to różne formy ataku typu odmowa usługi(nowe okno) mającego na celu przeciążenie serwera), ale o ile Twoja firma nie prowadzi własnych serwerów DNS (a niektóre to robią), ataki te prawdopodobnie nie będą zagrożeniem dla Twojego biznesu.

Ataki oparte na DNS, które mogą stanowić zagrożenie dla większości firm, obejmują:

Spoofing DNS

Aby przyspieszyć proces wyszukiwania i zmniejszyć obciążenie serwerów DNS, częste zapytania są często przechowywane (buforowane) lokalnie na serwerze DNS. Aby przeprowadzić atak typu spoofing DNS (znany również jako zatruwanie DNS), atakujący wstawia fałszywe rekordy DNS do pamięci podręcznej serwera DNS.

Można to zrobić za pomocą ataku man-in-the-middle(nowe okno) (przechwycenie zapytania między urządzeniem użytkownika a serwerem DNS) lub poprzez zatruwanie pamięci podręcznej(nowe okno) (wykorzystanie luk w oprogramowaniu serwera DNS w celu wstrzyknięcia złośliwych wpisów do jego pamięci podręcznej).

Gdy pamięć podręczna DNS zostanie zatruta, a użytkownik spróbuje odwiedzić legalną stronę internetową, uszkodzony rekord DNS przekieruje go na inny adres IP kontrolowany przez atakującego. Podobnie jak w przypadku ataków typu próba wyłudzenia informacji (phishing), zazwyczaj skutkuje to kradzieżą haseł i danych kart płatniczych i/lub przesłaniem złośliwego oprogramowania na komputery Twojej firmy.

Tunelowanie DNS

Często używane jako narzędzie inwigilacji korporacyjnej do omijania zapór sieciowych i innych środków bezpieczeństwa mających na celu zapobieganie eksfiltracji (kradzieży) wrażliwych danych, tunelowanie DNS koduje dane tak, aby mogły być przesyłane w ramach zapytań i odpowiedzi DNS, skutecznie wykorzystując infrastrukturę DNS jako ukryty kanał komunikacji.

Może być również wykorzystywane przez atakujących do utrzymywania komunikacji z przejętymi systemami, wysyłania poleceń i odbierania wyników bez wykrycia. Tunelowanie DNS wykorzystuje fakt, że ruch DNS jest często mniej dokładnie sprawdzany przez urządzenia zabezpieczające w porównaniu z innymi rodzajami ruchu, co czyni go skuteczną metodą omijania zapór sieciowych i filtrów.

Rozwiązania bezpieczeństwa DNS

Większość dostawców Internetu nie wdraża żadnych środków bezpieczeństwa DNS (i generalnie nie jest zainteresowana ochroną prywatności Twojej firmy). Jednak zewnętrzni dostawcy DNS, tacy jak Cloudflare 1.1.1.1, Quad9 i OpenNIC, kładą znacznie większy nacisk na prywatność i bezpieczeństwo. Obejmuje to stosowanie technologii, które czynią DNS znacznie bezpieczniejszym.

Prywatny DNS

Prywatny DNS (znany również jako zaszyfrowany DNS) wykorzystuje protokoły bezpieczeństwa DNS-over-TLS (DoT), DNS-over-HTTPS (DoH) lub DNSCrypt do szyfrowania zapytań DNS między urządzeniem wysyłającym zapytanie a serwerem DNS.

Gwarantuje to, że Twój dostawca Internetu (lub ktokolwiek inny monitorujący połączenie internetowe Twojej firmy) nie zobaczy Twoich zapytań DNS.

Dowiedz się więcej o prywatnym DNS(nowe okno)

Prywatny DNS jest wyraźnie ogromnym ulepszeniem w stosunku do wysyłania zapytań DNS zwykłym tekstem, chociaż nie jest tak prywatny jak korzystanie z usługi VPN, która szyfruje nie tylko żądania DNS, ale wszystkie wrażliwe dane firmy, całkowicie uniemożliwiając dostawcy Internetu sprawdzenie, co Twoja firma robi online. Ukrywa również Twój prawdziwy adres IP przed stronami internetowymi odwiedzanymi przez pracowników.

DNSSEC

Domain Name System Security Extensions (DNSSEC) to zestaw specyfikacji zaprojektowanych w celu dodania dodatkowej warstwy bezpieczeństwa do DNS.

DNSSEC:

  • Zapewnia, że odpowiedzi na zapytania DNS są autentyczne. Robi to, używając podpisów cyfrowych do podpisywania danych DNS, które są następnie walidowane przez klienta. Pomaga to zweryfikować, że dane nie zostały naruszone i że rzeczywiście pochodzą z legalnego źródła.
  • Gwarantuje, że dane nie zostały zmienione w trakcie przesyłania. Robi to poprzez cyfrowe podpisywanie danych DNS, co chroni przed atakami typu man-in-the-middle i zapobiega modyfikacji danych przez kogokolwiek. 

Jak Proton VPN może chronić DNS Twojej firmy

Oprócz zapewniania adresów IP bramy w celu zabezpieczenia zasobów firmy, Proton VPN for Business zapewnia solidne bezpieczeństwo DNS:

  • Wszystkie żądania DNS są wysyłane przez zaszyfrowany tunel VPN, aby zostały rozwiązane przez nasze własne bezpieczne serwery DNS (więc nie ma potrzeby stosowania prywatnych rozwiązań DNS)
  • Nigdy nie logujemy Twoich zapytań DNS (ani niczego innego)   
  • Nasza funkcja NetShield Ad-blocker to filtr DNS, który blokuje zapytania DNS do złośliwych domen znanych z reklam, elementów śledzących i (opcjonalnie, dla większej kontroli) złośliwego oprogramowania 
  • Twoje serwery DNS używają DNSSEC do uwierzytelniania danych DNS (z wyjątkiem domen zablokowanych przez NetShield, których i tak nie rozwiązujemy)
Wybierz plan Proton VPN for Business

Przemyślenia końcowe: Znaczenie ochrony DNS dla firm

Bezpieczeństwo DNS jest często pomijane, ale powinno być ważnym aspektem dla każdej firmy oceniającej swój stan bezpieczeństwa. Rzeczywiście, ataki takie jak tunelowanie DNS istnieją właśnie dlatego, że często nie przykłada się wystarczającej wagi do zabezpieczenia zapytań DNS firm.

Dzięki Proton VPN for Business masz pewność, że wszystkie zapytania DNS są szyfrowane, nie są przechowywane żadne logi DNS, a rozwiązania DNS są uwierzytelniane przy użyciu DNSSEC.