image

"DNS essentieel voor netwerkbeveiliging"

vrijdag 23 november 2007, 12:12 door Redactie, 8 reacties

Veel bedrijven zijn niet alleen slordig als het gaat om beheer van hun DNS servers, ze gebruiken de techniek niet om hun netwerk ermee te beveiligen, en dat is een gemiste kans. "DNS is een onmisbare laag binnen de meerlaagse beveiliging", zegt DNS-expert David Ulevitch. Via een aantal eenvoudig te implementeren aanpassingen kan het netwerk al een stuk veiliger en inzichtelijker worden.

Zo moeten alle uitgaande DNS requests van binnen het netwerk worden doorgestuurd naar de bastion host of andere vertrouwde DNS server. Op deze manier kan een gecompromitteerde host binnen het netwerk geen kwaadaardige DNS server starten of interne DNS requests afvangen. Het tweede punt is het monitoren van DNS verkeerspatronen, wat inzicht geeft in knelpunten en helpt bij het begrijpen van problemen.

Als laatste kun je via de DNS server domeinen blokkeren die meerdere IP-adressen gebruiken, wat volgens Ulevitch helpt bij het beschermen van gebruikers en het zijn van een betere internetburger.

Reacties (8)
23-11-2007, 12:44 door Anoniem
Als laatste kun je via de DNS server domeinen blokkeren die
meerdere IP-adressen gebruiken, wat volgens Ulevitch helpt bij het
beschermen van gebruikers en het zijn van een betere internetburger.

Als je dit doet werken veel grote sites (waaronder google.nl) niet meer
omdat zij gebruik maken van services zoals Akamai.
23-11-2007, 13:48 door eth-x
Zoals onder andere het updaten van de meeste antiviruspakketten...

= Akamai :)

Sterk staaltje netwerkbeveiliging :-)
23-11-2007, 14:05 door SirDice
Wat ik gemerkt heb, bij de meeste bedrijven waar ik gewerkt heb, is dat er meestal bar weinig mensen rond lopen die überhaupt weten hoe DNS werkt en hoe je dat fatsoenlijk inricht. PTR records die of niet aanwezig zijn of gekoppeld zijn aan verkeerde IP's. Servers die middels DDNS automagisch registreren (DDNS is leuk voor clients maar je servers moet je statisch opnemen). Geen gebruik maken van caching dns servers, upstream dns servers etc... Kortom het is meestal een wonder dat het überhaupt werkt.
23-11-2007, 14:13 door Anoniem
Kortom, we wuiven het advies van deze "expert" toch maar gewoon weg.
Meer verdiepen in DNS, zoals SirDice zegt, kan geen kwaad. Maar het
advies van "DNS-expert" David Ulevitch slaat gewoon nergens op.
23-11-2007, 15:08 door Anoniem
tja, DNS geldt nu eenmaal als simpel en dat doen we ff..

De zegen voor iedere pentester. En andere geinteresseerden.
23-11-2007, 17:21 door Anoniem
"Zo moeten alle uitgaande DNS requests van binnen het netwerk worden
doorgestuurd naar de bastion host of andere vertrouwde DNS server."

Ha, niet een, maar twee keer kansschieten voor aanvallers.

Wat een onzinnig advies.
23-11-2007, 23:58 door Anoniem
Door Anoniem
Als laatste kun je via de DNS server domeinen
blokkeren die
meerdere IP-adressen gebruiken, wat volgens Ulevitch helpt
bij het
beschermen van gebruikers en het zijn van een betere
internetburger.

Als je dit doet werken veel grote sites (waaronder
google.nl) niet meer
omdat zij gebruik maken van services zoals Akamai.

De nieuwe insteek voor het 'Anoniem' Google bashen....?

De 'vrije' media is voor de terroristen van de 'vrije' volks
democraten een doorn in het oog en een punaise in de kont.
26-11-2007, 10:48 door spatieman
staat akemai niet ergens evil geregistreerd??
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.