В этой статье мы рассмотрим безопасность DNS(новое окно), что это значит для вашего бизнеса и как использование Proton VPN обеспечивает ваш бизнес необходимой безопасностью DNS(новое окно).

Система доменных имен (DNS) переводит удобные для человека доменные имена в числовые IP-адреса(новое окно), которые компьютеры используют для идентификации веб-сайтов и других интернет-ресурсов. Поэтому она играет жизненно важную роль в том, как мы все используем интернет, в том числе для работы.

К сожалению, DNS была изобретена в 1983 году, задолго до того, как необходимость в онлайн-безопасности стала рассматриваться всерьез. По умолчанию запросы DNS отправляются в виде простого текста, доступного для просмотра любому, и их легко перехватить для перенаправления на вредоносные домены. Эта ситуация достаточно опасна для отдельных интернет-пользователей, но потенциально катастрофична в контексте бизнеса.

Что такое DNS?

Компьютеры идентифицируют каждое устройство, которое подключается напрямую к интернету, с помощью уникального числового IP-адреса. Старая система IPv4 использует восьмизначные адреса (например, 185.159.159.140), но они заканчиваются, поэтому новый стандарт IPv6 использует шестнадцатеричную систему (содержащую как цифры, так и буквы), которая может быть до 45 символов в длину (например, 2001:db8::8a2e:370:7334).

Это отлично для компьютеров, но не для людей, которые гораздо лучше запоминают буквенные адреса (доменные имена), имеющие для нас смысл (например, protonvpn.com). DNS позволяет людям вводить доменные имена, которые мы понимаем, и сопоставляет их с числовыми адресами, которые понимают компьютеры. По сути, она ведет себя как телефонная книга, которая сопоставляет доменные имена и IP-адреса.

Когда вы вводите доменное имя (например, в строку поиска браузера), запрос DNS отправляется на сервер DNS, который разрешает запрос. То есть он переводит доменное имя в соответствующий IP-адрес.

Подробнее о том, как работает DNS(новое окно)

DNS и конфиденциальность для бизнеса

DNS полезна, но создает большую проблему безопасности: любой, у кого есть доступ к запросам DNS вашей компании, фактически знает всю историю просмотров, включая историю всех сотрудников, которые используют офисную сеть для подключения к интернету.

DNS и интернет-провайдер вашей компании

По умолчанию DNS-запросы разрешаются вашим интернет-провайдером(новое окно) (ISP). К сожалению, интернет-провайдеры не занимаются защитой конфиденциальности частных лиц или компаний. Большинство правительственных программ массовой слежки требуют от интернет-провайдеров вести журналы истории просмотра своих клиентов. И, поскольку это просто и дешево, большинство интернет-провайдеров выполняют эти юридические обязательства, сохраняя только журналы DNS.

В некоторых странах (например, в США) интернет-провайдерам даже разрешено использовать или продавать записи DNS клиентов(новое окно) в рекламных и аналитических целях.

DNS и корпоративная слежка

Большинство DNS-запросов отправляются на DNS-сервер в виде простого текста, а это означает, что любая организация, которая может их перехватить, будет знать всю историю просмотра вашей компании. Сюда входят контакты вашей компании, деловые партнеры, поставщики, клиенты, правительство, органы здравоохранения и безопасности, с которыми она взаимодействует, и многое другое.

Все эти данные являются потенциально очень ценной информацией для конкурентов.

DNS и безопасность для бизнеса

Помимо пассивного отслеживания истории просмотра вашей компании, хакеры могут использовать DNS для проведения различных активных атак. Многие из них нацелены на сам DNS-сервер (как правило, различные формы атак типа «отказ в обслуживании»(новое окно), направленные на перегрузку сервера), но если ваша компания не управляет собственными DNS-серверами (а некоторые делают это), такие атаки вряд ли будут угрозой для вашего бизнеса.

Атаки на основе DNS, которые могут представлять угрозу для большинства предприятий, включают:

DNS-спуфинг

Чтобы ускорить процесс поиска и снизить нагрузку на DNS-серверы, частые запросы часто сохраняются (кешируются) локально на DNS-сервере. Для выполнения атаки DNS-спуфинга (также известной как отравление DNS) злоумышленник вставляет ложные записи DNS в кеш DNS-серверов.

Это может быть сделано с помощью атаки «человек посередине»(новое окно) (перехват запроса между устройством пользователя и DNS-сервером) или посредством отравления кеша(новое окно) (использование уязвимостей в программном обеспечении DNS-сервера для внедрения вредоносных записей в его кеш).

Как только кеш DNS отравлен, когда пользователь пытается посетить легитимный веб-сайт, поврежденная запись DNS перенаправляет его на другой IP-адрес, контролируемый злоумышленником. Как и в случае с фишинговыми атаками, это обычно приводит к краже паролей и информации о кредитных картах и/или загрузке вредоносных программ на компьютеры вашей компании.

DNS-туннелирование

Часто используемое как инструмент корпоративной слежки для обхода брандмауэров и других мер безопасности, направленных на предотвращение эксфильтрации (кражи) конфиденциальных данных, DNS-туннелирование кодирует данные так, чтобы их можно было передавать внутри DNS-запросов и ответов, эффективно используя инфраструктуру DNS как скрытый канал связи.

Злоумышленники также могут использовать его для поддержания связи со взломанными системами, отправки команд и получения выходных данных без обнаружения. DNS-туннелирование использует тот факт, что трафик DNS часто подвергается меньшей проверке устройствами безопасности по сравнению с другими типами трафика, что делает его эффективным методом обхода брандмауэров и фильтров.

Решения безопасности DNS

Большинство интернет-провайдеров вообще не применяют никаких мер безопасности DNS (и, как правило, не заинтересованы в защите конфиденциальности вашего бизнеса). Однако сторонние DNS-провайдеры, такие как Cloudflare 1.1.1.1, Quad9 и OpenNIC, уделяют гораздо больше внимания конфиденциальности и безопасности. Это включает использование технологий, которые делают DNS намного более безопасным.

Конфиденциальный DNS

Конфиденциальный DNS (также известный как зашифрованный DNS) использует протоколы безопасности DNS-over-TLS (DoT), DNS-over-HTTPS (DoH) или DNSCrypt для шифрования DNS-запросов между устройством, выполняющим запрос, и DNS-сервером.

Это гарантирует, что ваш интернет-провайдер (или кто-либо другой, отслеживающий подключение вашей компании к интернету) не сможет видеть ваши DNS-запросы.

Подробнее о конфиденциальном DNS(новое окно)

Конфиденциальный DNS явно является огромным улучшением по сравнению с отправкой DNS-запросов в виде простого текста, хотя он не так приватен, как использование сервиса VPN, который шифрует не только ваши DNS-запросы, но и все конфиденциальные данные вашей компании, тем самым полностью предотвращая возможность для вашего интернет-провайдера видеть, чем ваш бизнес занимается в сети. Он также скрывает ваш реальный IP-адрес от веб-сайтов, которые посещают ваши сотрудники.

DNSSEC

Расширения безопасности системы доменных имен (DNSSEC) — это набор спецификаций, предназначенных для добавления дополнительного уровня безопасности к DNS.

DNSSEC:

  • Обеспечивает подлинность ответов на DNS-запросы. Это делается путем использования ЭЦП для подписания данных DNS, которые затем проверяются клиентом. Это помогает подтвердить, что данные не были взломаны и что они действительно поступают из легитимного источника.
  • Гарантирует, что данные не были изменены при передаче. Это делается путем цифровой подписи данных DNS, что защищает от атак «человек посередине» и предотвращает изменение данных кем-либо. 

Как Proton VPN может защитить DNS вашего бизнеса

В дополнение к предоставлению IP-адресов шлюза для защиты ресурсов вашей компании, Proton VPN for Business обеспечивает надежную безопасность DNS:

  • Все DNS-запросы отправляются через зашифрованный VPN-туннель для разрешения нашими собственными безопасными DNS-серверами (поэтому нет необходимости в частных решениях DNS)
  • Мы никогда не ведем журнал ваших DNS-запросов (или чего-либо еще, если уж на то пошло)   
  • Наша функция NetShield Ad-blocker — это DNS-фильтр, который блокирует DNS-запросы к вредоносным доменам, известным рекламой, трекерами и (опционально, для большего контроля) вредоносными программами 
  • Ваши DNS-серверы используют DNSSEC для аутентификации данных DNS (за исключением доменов, заблокированных NetShield, которые мы все равно не разрешаем)
Получить Proton VPN for Business

Заключительные мысли: важность защиты DNS для бизнеса

Безопасность DNS часто упускается из виду, но она должна быть важным фактором для любого бизнеса, оценивающего состояние своей безопасности. Действительно, такие атаки, как DNS-туннелирование, существуют именно потому, что зачастую недостаточно внимания уделяется защите DNS-запросов бизнеса.

С Proton VPN for Business вы можете быть уверены, что все DNS-запросы зашифрованы, журналы DNS не ведутся, а разрешение DNS аутентифицируется с помощью DNSSEC.