O que é segurança DNS?

Quando a maioria das pessoas usa a Internet, elas usam nomes de domínio para especificar o site que desejam visitar, por exemplo, checkpoint.com. Esses nomes de domínio são endereços fáceis de usar que são mapeados pelo Sistema de Nomes de Domínio (DNS) para endereços de Protocolo de Internet (IP) que computadores e outros componentes de infraestrutura de rede usam para identificar diferentes dispositivos conectados à Internet. Em suma, o Sistema de Nomes de Domínio é o protocolo que torna a Internet utilizável, permitindo o uso de nomes de domínio.

O DNS é amplamente confiável pelas organizações, e o tráfego DNS normalmente pode passar livremente pelo firewall da rede. No entanto, é comumente atacado e abusado por cibercriminosos. Como resultado, a segurança do DNS é um componente crítico da segurança da rede.

 

Solicite uma demo Saiba mais

O que é segurança DNS?

Como o DNS é usado em ataques

Algumas ameaças incluem ataques contra a infraestrutura DNS:

  • Negação de serviço distribuída (DDoS): a infraestrutura DNS é essencial para o funcionamento da Internet. Os ataques DDoS contra DNS podem tornar os sites inacessíveis, tornando os servidores DNS que os atendem indisponíveis, saturando a rede com o que parece ser tráfego legítimo. Um exemplo clássico disso é o ataque DDoS de 2016 contra Dyn, onde um exército de bots hospedados em câmeras conectadas à Internet causou interrupções em muitos sites importantes, incluindo Amazon, Netflix, Spotify e Twitter.
  • Amplificação DNS DDoS: O DNS usa UDP, um protocolo sem conexão, para transporte, o que significa que um invasor pode falsificar o endereço de origem de uma solicitação DNS e enviar a resposta para um endereço IP de sua escolha. Além disso, as respostas DNS podem ser muito maiores que as solicitações correspondentes. Os invasores DDoS aproveitam esses fatores para amplificar seus ataques, enviando uma pequena solicitação a um servidor DNS e transmitindo uma resposta massiva de volta ao alvo. Isso resulta em um DoS do host de destino.
  • Outros ataques de negação de serviço (DoS): além dos ataques DDoS baseados em rede, os aplicativos executados em servidores DNS também podem ser alvo de ataques DoS. Esses ataques são projetados para explorar a vulnerabilidade no aplicativo do servidor DNS, impossibilitando-os de responder a solicitações legítimas.

O DNS também pode ser abusado e usado em ataques cibernéticos. Exemplos de abuso de DNS incluem:

  • Sequestro de DNS: Sequestro de DNS refere-se a qualquer ataque que induza um usuário a pensar que está se conectando a um domínio legítimo, enquanto na verdade está conectado a um domínio malicioso. Isso pode ser feito usando um servidor DNS comprometido ou malicioso ou enganando um servidor DNS para que armazene dados DNS incorretos (um ataque chamado envenenamento de cache).
  • Túnel DNS: Como o DNS é um protocolo confiável, a maioria das organizações permite que ele entre e saia livremente de sua rede. Os cibercriminosos aproveitam o DNS para exfiltração de dados com malware cujas solicitações de DNS contêm os dados que estão sendo exfiltrados. Como o servidor DNS alvo é normalmente controlado pelo proprietário do site alvo, os invasores garantem que os dados cheguem a um servidor onde possam ser processados por eles e uma resposta seja enviada no pacote de resposta DNS.
  • Evasão de segurança usando nomes de domínio aleatórios (DGA): os agentes de ameaças usam algoritmos sofisticados para gerar centenas de milhares de novos nomes de domínio usando um algoritmo de geração de domínio (DGA). O malware instalado em um computador infectado usará esses novos nomes de domínio para evitar a detecção e se conectar ao servidor externo de Comando e Controle do hacker. As soluções de segurança tradicionais não são rápidas o suficiente para determinar se esses domínios são maliciosos ou não, então elas simplesmente permitem que eles passem.

A importância da segurança DNS

DNS é um protocolo antigo e foi construído sem qualquer segurança integrada. Várias soluções foram desenvolvidas para ajudar a proteger o DNS, incluindo:

  • Filtragem de reputação: como qualquer outro usuário da Internet, a maioria malware precisa fazer solicitações de DNS para encontrar os endereços IP dos sites que está visitando. As organizações podem bloquear ou redirecionar solicitações de DNS para domínios maliciosos conhecidos.
  • Inspeção de DNS: O uso de DNS para exfiltração de dados via túnel DNS ou evasão de segurança usando Algoritmos de Geração de Domínio também pode ser detectado e bloqueado em tempo real pelo Firewall de próxima geração (NGFW) que utiliza inteligência de ameaça alimentada por motores IA Deep Learning. Isso ajuda a bloquear até mesmo malware sofisticado que usa DNS para comunicações de comando e controle de malware (C2) e outros ataques.
  • Proteja o protocolo: DNSSEC é um protocolo que inclui autenticação para respostas DNS. Como a resposta autenticada não pode ser falsificada ou modificada, os invasores não podem usar o DNS para enviar usuários a sites maliciosos.
  • Proteja o canal: DNS sobre TLS (DoT) e DoH (DNS sobre HTTPS) adicionam uma camada segura a um protocolo inseguro. Isso garante que as solicitações sejam criptografadas e autenticadas, diferentemente do DNS tradicional. Ao usar DoH e DoT, um usuário pode garantir a privacidade das respostas DNS e bloquear a espionagem em suas solicitações DNS (que revela os sites que está visitando).

Analytics, inteligência de ameaça e Threat Hunting

O monitoramento do tráfego DNS pode ser uma rica fonte de dados para as equipes do Security Operations Center (SOC), à medida que monitoram e analisam a postura de segurança da sua empresa. Além de monitorar firewall em busca de indicadores de comprometimento (IoC) de DNS, as equipes de SOC também podem estar em busca de domínios semelhantes.

Prevenindo o uso malicioso do protocolo DNS

O Check Point Quantum Firewall de próxima geração detecta tráfego malicioso e ataques de tunelamento de DNS por meio do ThreatCloud IA, seu sistema global de inteligência de ameaça. O ThreatCloud IA analisa solicitações de DNS e envia um veredicto de volta ao firewall – para descartar ou permitir a solicitação de DNS em tempo real. Isso evita o roubo de dados por meio de tunelamento DNS e comunicações de comando e controle entre um host interno infectado e um servidor C2 externo.

We encourage you to ask for a demo of new DNS Security capabilities in Quantum release R81.20 and learn more about the threat analytics and threat hunting capabilities of Check Point Infinity SOC.

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, você concorda com o uso de cookies. Para mais informações, leia o nosso Aviso de Cookies.
OK