Neste artigo, analisaremos a segurança DNS(nova janela), o que significa para as suas empresas e como a utilização do Proton VPN fornece ao seu negócio a segurança DNS(nova janela) de que necessita.

O Sistema de Nomes de Domínio (DNS) traduz nomes de domínio amigáveis para humanos em endereços IP(nova janela) numéricos que os computadores utilizam para identificar sítios web e outros recursos da internet. Desempenha, portanto, um papel vital na forma como todos utilizamos a internet, incluindo para o trabalho.

Infelizmente, o DNS foi inventado em 1983, muito antes de a necessidade de segurança online ser sequer considerada. Por predefinição, os pedidos de DNS são enviados em texto simples para qualquer pessoa ver, e são facilmente sequestrados para redirecionar para domínios maliciosos. Esta situação é suficientemente perigosa para utilizadores individuais da internet, mas é potencialmente catastrófica num contexto empresarial.

O que é o DNS?

Os computadores identificam cada dispositivo que se liga diretamente à internet com um endereço IP numérico único. O sistema IPv4 mais antigo utiliza endereços de oito dígitos (como 185.159.159.140), mas estes estão a esgotar-se, pelo que o padrão IPv6 mais recente utiliza um sistema hexadecimal (contendo dígitos e letras) que pode ter até 45 caracteres (como 2001:db8::8a2e:370:7334).

Isto é ótimo para computadores, mas não para humanos, que são muito melhores a lembrar endereços baseados em letras (nomes de domínio) que fazem sentido para nós (como protonvpn.com). O DNS permite aos humanos introduzir nomes de domínio que compreendemos e mapeia-os para endereços numéricos que os computadores compreendem. Essencialmente, comporta-se como uma lista telefónica que faz referência cruzada de nomes de domínio e endereços IP.

Quando introduz um nome de domínio (por exemplo, numa barra de pesquisa do navegador), um pedido de DNS é enviado para um servidor DNS que resolve o pedido. Ou seja, traduz o nome de domínio para o seu endereço IP correspondente.

Saiba mais sobre como funciona o DNS (nova janela)

DNS e privacidade para empresas

O DNS é útil, mas cria um grande problema de segurança: qualquer pessoa com acesso aos pedidos de DNS da sua empresa conhece efetivamente todo o seu histórico de navegação, incluindo o de todos os membros do pessoal que utilizam uma rede de escritório para se ligarem à internet.

DNS e o ISP da sua empresa

Por predefinição, as consultas DNS são resolvidas pelo seu provedor de serviços de internet(nova janela) (ISP). Infelizmente, os ISPs não estão no negócio de proteger a privacidade de indivíduos ou empresas. A maioria dos programas governamentais de espionagem em massa depende de exigir que os ISPs mantenham registos dos históricos de navegação dos seus clientes. E, como é fácil e barato, a maioria dos ISPs cumpre estas obrigações legais mantendo apenas registos DNS.

Em alguns países (como os Estados Unidos), os ISPs têm até permissão para utilizar ou vender registos DNS dos clientes(nova janela) para fins de publicidade e análise.

DNS e vigilância corporativa

A maioria das consultas DNS é enviada para o servidor DNS em texto simples, o que significa que qualquer entidade que as possa intercetar saberá todo o histórico de navegação da sua empresa. Isto inclui os contactos da sua empresa, parceiros de negócios, fornecedores, clientes, governo, organismos de regulação de saúde e segurança com os quais interage, e muito mais.

Todos estes dados são informações potencialmente muito valiosas para os concorrentes.

DNS e segurança para empresas

Além de espiar passivamente o histórico de navegação da sua empresa, os hackers podem explorar o DNS para realizar uma variedade de ataques ativos. Muitos destes visam o próprio servidor DNS (tipicamente várias formas de ataque de negação de serviço(nova janela) destinados a sobrecarregar o servidor), mas a menos que a sua empresa opere os seus próprios servidores DNS (e algumas fazem-no), tais ataques dificilmente serão uma ameaça para o seu negócio.

Os ataques baseados em DNS que podem ser uma ameaça para a maioria das empresas incluem:

Mistificação da identidade de DNS

Para acelerar o processo de pesquisa e reduzir a carga nos servidores DNS, as consultas frequentes são frequentemente armazenadas (em cache) localmente no servidor DNS. Para realizar um ataque de mistificação da identidade de DNS (também conhecido como envenenamento de DNS), um atacante insere registos DNS falsos na cache dos servidores DNS.

Isto pode ser feito utilizando um ataque man-in-the-middle(nova janela) (intercetando a consulta entre o dispositivo do utilizador e o servidor DNS) ou via envenenamento de cache(nova janela) (explorando vulnerabilidades no software do servidor DNS para injetar entradas maliciosas na sua cache).

Uma vez envenenada a cache DNS, quando um utilizador tenta visitar um sítio web legítimo, o registo DNS corrompido redireciona-o para um endereço IP diferente controlado pelo atacante. Tal como nos ataques de phishing, isto resulta tipicamente no roubo de palavras-passe e informações de cartões de crédito e/ou no carregamento de malware para os computadores da sua empresa.

Tunelamento DNS

Muitas vezes utilizado como uma ferramenta de vigilância corporativa para contornar firewalls e outras medidas de segurança destinadas a prevenir a exfiltração (roubo) de dados sensíveis, o tunelamento DNS codifica os dados para que possam ser transmitidos dentro de consultas e respostas DNS, utilizando efetivamente a infraestrutura DNS como um canal de comunicação encoberto.

Também pode ser utilizado por atacantes para manter a comunicação com sistemas comprometidos, enviando comandos e recebendo resultados sem deteção. O tunelamento DNS explora o facto de o tráfego DNS ser frequentemente menos examinado pelos dispositivos de segurança em comparação com outros tipos de tráfego, tornando-o um método eficaz para contornar firewalls e filtros.

Soluções de segurança DNS

A maioria dos ISPs não implementa quaisquer medidas de segurança DNS (e geralmente não tem interesse em proteger a privacidade da sua empresa). No entanto, fornecedores de DNS terceiros como a Cloudflare 1.1.1.1, Quad9 e OpenNIC têm um foco muito maior na privacidade e segurança. Isto inclui a utilização de tecnologias que tornam o DNS muito mais seguro.

DNS privado

O DNS privado (também conhecido como DNS encriptado) utiliza os protocolos de segurança DNS-over-TLS (DoT), DNS-over-HTTPS (DoH) ou DNSCrypt para encriptar consultas DNS entre o dispositivo que faz a consulta e o servidor DNS.

Isto garante que o seu ISP (ou qualquer outra pessoa que monitorize a ligação à internet da sua empresa) não consegue ver as suas consultas DNS.

Saiba mais sobre DNS privado(nova janela)

O DNS privado é claramente uma enorme melhoria em relação ao envio de consultas DNS em texto simples, embora não seja tão privado como utilizar um serviço VPN, que encripta não apenas os seus pedidos DNS, mas todos os dados sensíveis da sua empresa, impedindo assim completamente que o seu ISP veja o que o seu negócio faz online. Também oculta o seu endereço IP real dos sítios web que os seus funcionários visitam.

DNSSEC

Domain Name System Security Extensions (DNSSEC) é um conjunto de especificações concebido para adicionar uma camada extra de segurança ao DNS.

DNSSEC:

  • Garante que as respostas às consultas DNS são autênticas. Faz isto utilizando assinaturas digitais para assinar dados DNS, que são depois validados pelo cliente. Isto ajuda a verificar se os dados não foram adulterados e se provêm, de facto, da fonte legítima.
  • Garante que os dados não foram alterados em trânsito. Faz isto assinando digitalmente os dados DNS, o que protege contra ataques man-in-the-middle e impede que alguém modifique os dados. 

Como o Proton VPN pode proteger o DNS da sua empresa

Além de fornecer endereços IP de porta de entrada para proteger os recursos da sua empresa, o Proton VPN for Business oferece uma segurança DNS robusta:

  • Todos os pedidos DNS são enviados através do túnel VPN encriptado para serem resolvidos pelos nossos próprios servidores DNS seguros (pelo que não há necessidade de soluções de DNS privado)
  • Nunca registamos as suas consultas DNS (nem qualquer outra coisa, já agora)   
  • A nossa funcionalidade NetShield Ad-blocker é um filtro de DNS que bloqueia consultas DNS para domínios maliciosos conhecidos por anúncios, rastreadores e (opcionalmente, para maior controlo) malware 
  • Os seus servidores DNS utilizam DNSSEC para autenticar dados DNS (exceto para domínios bloqueados pelo NetShield, que não resolvemos de qualquer forma)
Obter o Proton VPN for Business

Considerações finais: A importância da proteção DNS para empresas

A segurança DNS é frequentemente negligenciada, mas deve ser uma consideração importante para qualquer empresa que avalie a sua postura de segurança. De facto, ataques como o tunelamento DNS existem precisamente porque muitas vezes não se tem cuidado suficiente para proteger as consultas DNS das empresas.

Com o Proton VPN for Business, pode ter a certeza de que todas as consultas DNS são encriptadas, não são mantidos registos DNS e as resoluções DNS são autenticadas utilizando DNSSEC.