Neste artigo, veremos a segurança de DNS(nova janela), o que isso significa para suas empresas e como o uso do Proton VPN fornece à sua empresa a segurança de DNS(nova janela) de que ela precisa.

O Sistema de Nomes de Domínio (DNS) traduz nomes de domínio amigáveis para humanos em endereços IP(nova janela) numéricos que os computadores usam para identificar sites e outros recursos da internet. Portanto, ele desempenha um papel vital em como todos nós usamos a internet, inclusive para o trabalho.

Infelizmente, o DNS foi inventado em 1983, muito antes que a necessidade de segurança on-line fosse considerada. Por padrão, as solicitações de DNS são enviadas em texto simples para qualquer um ver e são facilmente sequestradas para redirecionar para domínios maliciosos. Essa situação é perigosa o suficiente para usuários individuais da internet, mas é potencialmente catastrófica em um contexto empresarial.

O que é DNS?

Os computadores identificam cada dispositivo que se conecta diretamente à internet com um endereço IP numérico exclusivo. O sistema IPv4 mais antigo usa endereços de oito dígitos (como 185.159.159.140), mas eles estão acabando, então o padrão IPv6 mais novo usa um sistema hexadecimal (contendo dígitos e letras) que pode ter até 45 caracteres (como 2001:db8::8a2e:370:7334).

Isso é ótimo para computadores, mas não para humanos, que são muito melhores em lembrar endereços baseados em letras (nomes de domínio) que fazem sentido para nós (como protonvpn.com). O DNS permite que humanos insiram nomes de domínio que entendemos e os mapeia para endereços numéricos que os computadores entendem. Em essência, ele se comporta como uma lista telefônica que cruza nomes de domínio e endereços IP.

Quando você insere um nome de domínio (por exemplo, em uma barra de pesquisa do navegador), uma consulta DNS é enviada a um servidor DNS que resolve a consulta. Ou seja, ele traduz o nome de domínio para seu endereço IP correspondente.

Saiba mais sobre como o DNS funciona(nova janela)

DNS e privacidade para empresas

O DNS é útil, mas cria um grande problema de segurança: qualquer pessoa com acesso às consultas de DNS da sua empresa sabe efetivamente todo o seu histórico de navegação, incluindo o de todos os membros da equipe que usam uma rede de escritório para se conectar à internet.

DNS e o ISP da sua empresa

Por padrão, as consultas DNS são resolvidas pelo seu provedor de serviços de internet(nova janela) (ISP). Infelizmente, os ISPs não estão no negócio de proteger a privacidade de indivíduos ou empresas. A maioria dos programas governamentais de espionagem em massa depende de exigir que os ISPs mantenham registros dos históricos de navegação de seus clientes. E, por ser fácil e barato, a maioria dos ISPs cumpre essas obrigações legais mantendo apenas registros de DNS.

Em alguns países (como os Estados Unidos), os ISPs têm até permissão para usar ou vender registros DNS de clientes(nova janela) para fins de publicidade e análise.

DNS e vigilância corporativa

A maioria das consultas DNS é enviada ao servidor DNS em texto simples, o que significa que qualquer entidade que possa interceptá-las saberá todo o histórico de navegação da sua empresa. Isso inclui contatos da sua empresa, parceiros de negócios, fornecedores, clientes, governo, órgãos de regulamentação de saúde e segurança com os quais ela interage, e muito mais.

Todos esses dados são informações potencialmente valiosas para os concorrentes.

DNS e segurança para empresas

Além de espionar passivamente o histórico de navegação da sua empresa, hackers podem explorar o DNS para realizar uma variedade de ataques ativos. Muitos deles visam o próprio servidor DNS (normalmente várias formas de ataque de negação de serviço(nova janela) visando sobrecarregar o servidor), mas, a menos que sua empresa opere seus próprios servidores DNS (e algumas o fazem), é improvável que tais ataques sejam uma ameaça ao seu negócio.

Ataques baseados em DNS que podem ser uma ameaça para a maioria das empresas incluem:

Falsificação de DNS (spoofing)

Para acelerar o processo de pesquisa e reduzir a carga nos servidores DNS, consultas frequentes são frequentemente armazenadas (em cache) localmente no servidor DNS. Para realizar um ataque de falsificação de DNS (também conhecido como envenenamento de DNS), um invasor insere registros DNS falsos no cache dos servidores DNS.

Isso pode ser feito usando um ataque man-in-the-middle(nova janela) (interceptando a consulta entre o dispositivo do usuário e o servidor DNS) ou via envenenamento de cache(nova janela) (explorando vulnerabilidades no software do servidor DNS para injetar entradas maliciosas em seu cache).

Uma vez que o cache DNS é envenenado, quando um usuário tenta visitar um site legítimo, o registro DNS corrompido o redireciona para um endereço IP diferente controlado pelo invasor. Assim como em ataques de phishing, isso normalmente resulta no roubo de senhas e informações de cartão de crédito e/ou no envio de malware para os computadores da sua empresa.

Tunelamento de DNS

Muitas vezes usado como uma ferramenta de vigilância corporativa para contornar firewalls e outras medidas de segurança destinadas a impedir a exfiltração (roubo) de dados sensíveis, o tunelamento de DNS codifica os dados para que possam ser transmitidos dentro de consultas e respostas DNS, utilizando efetivamente a infraestrutura DNS como um canal de comunicação encoberto.

Também pode ser usado por invasores para manter a comunicação com sistemas comprometidos, enviando comandos e recebendo saídas sem detecção. O tunelamento de DNS explora o fato de que o tráfego DNS é frequentemente menos examinado por dispositivos de segurança em comparação com outros tipos de tráfego, tornando-o um método eficaz para contornar firewalls e filtros.

Soluções de segurança de DNS

A maioria dos ISPs não implementa nenhuma medida de segurança de DNS (e geralmente não tem interesse em proteger a privacidade da sua empresa). No entanto, provedores de DNS de terceiros, como Cloudflare 1.1.1.1, Quad9 e OpenNIC, têm um foco muito maior em privacidade e segurança. Isso inclui o uso de tecnologias que tornam o DNS muito mais seguro.

DNS privado

O DNS privado (também conhecido como DNS criptografado) usa os protocolos de segurança DNS-over-TLS (DoT), DNS-over-HTTPS (DoH) ou DNSCrypt para criptografar consultas DNS entre o dispositivo que faz a consulta e o servidor DNS.

Isso garante que seu ISP (ou qualquer outra pessoa monitorando a conexão de internet da sua empresa) não possa ver suas consultas DNS.

Saiba mais sobre DNS privado(nova janela)

O DNS privado é claramente uma grande melhoria em relação ao envio de consultas DNS em texto simples, embora não seja tão privado quanto usar um serviço de VPN, que criptografa não apenas suas solicitações de DNS, mas todos os dados confidenciais da sua empresa, impedindo completamente que seu ISP veja o que sua empresa faz on-line. Ele também oculta seu endereço IP real dos sites que seus funcionários visitam.

DNSSEC

As Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC) são um conjunto de especificações projetadas para adicionar uma camada extra de segurança ao DNS.

DNSSEC:

  • Garante que as respostas às consultas DNS sejam autênticas. Ele faz isso usando assinaturas digitais para assinar dados DNS, que são então validados pelo cliente. Isso ajuda a verificar se os dados não foram adulterados e se realmente vêm da fonte legítima.
  • Garante que os dados não foram alterados em trânsito. Ele faz isso assinando digitalmente os dados DNS, o que protege contra ataques man-in-the-middle e impede que alguém modifique os dados. 

Como o Proton VPN pode proteger o DNS da sua empresa

Além de fornecer endereços IP de gateway para proteger os recursos da sua empresa, o Proton VPN for Business oferece segurança robusta de DNS:

  • Todas as solicitações de DNS são enviadas através do túnel VPN criptografado para serem resolvidas por nossos próprios servidores DNS seguros (portanto, não há necessidade de soluções de DNS privado)
  • Nunca registramos suas consultas DNS (ou qualquer outra coisa, na verdade)   
  • Nosso recurso NetShield Ad-blocker é um filtro de DNS que bloqueia consultas DNS a domínios maliciosos conhecidos por anúncios, rastreadores e (opcionalmente, para maior controle) malware 
  • Seus servidores DNS usam DNSSEC para autenticar dados DNS (exceto para domínios bloqueados pelo NetShield, que não resolvemos de qualquer maneira)
Obter o Proton VPN for Business

Considerações finais: A importância da proteção de DNS para empresas

A segurança do DNS é frequentemente negligenciada, mas deve ser uma consideração importante para qualquer empresa que avalie sua postura de segurança. De fato, ataques como o tunelamento de DNS existem precisamente porque muitas vezes não se toma cuidado suficiente para proteger as consultas DNS das empresas.

Com o Proton VPN for Business, você pode ter certeza de que todas as consultas DNS são criptografadas, nenhum registro DNS é mantido e as resoluções DNS são autenticadas usando DNSSEC.