US-CERT waarschuwt bedrijven voor uitgaand DNS-verkeer
Het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT) heeft bedrijven en organisaties gewaarschuwd voor verkeer van kantoorcomputers naar openbare DNS-servers, omdat dit organisaties kan blootstellen aan onnodige beveiligings- en systeemproblemen.
Het US-CERT zegt een toename te zien van uitgaand DNS-verkeer waarbij computers openbare DNS-servers benaderen, in plaats van de DNS-servers van de organisatie. DNS-servers laten computers onder andere weten waar ze bepaalde websites of domeinen kunnen vinden. Als werkcomputers verbinding met openbare DNS-servers maken zijn er verschillende risico's, aldus het US-CERT. Zo kunnen ze in het geval van een kwaadaardige DNS-server naar phishingsites worden doorgestuurd of malware aangeboden krijgen.
Daarnaast kan personeel websites bezoeken die door de zakelijke DNS-servers worden geblokkeerd en kan op deze manier de monitoring en logging van DNS-verkeer worden omzeild, wat een belangrijk middel is om kwaadaardig netwerkverkeer te detecteren. Als laatste kan het ook de internetsnelheid verlagen, omdat DNS-caching niet wordt gebruikt. Organisaties krijgen daarom het advies om alleen toegestane DNS-servers op computers in te stellen en het netwerk zo te configureren dat uitgaand UDP- en TCP-verkeer naar poort 53, behalve dat van toegestane DNS-servers, wordt geblokkeerd.
Dan is het gevaar van DNS-poisoning waar het artikel over gaat er ook niet..
Het gaat er gewoon om dat er (te)veel verkeer naar publieke, mogelijk onbetrouwbare DNS servers gespot is, niet over filtering of controle op DNS niveau..
Uitgaande van de poging om websites te bezoeken ....
Leertip voor vandaag :
name based virtual hosting en de HTTP Host: header .
Bonustip : Nu ook voor SSL - : SNI .
====================================================
Wat je bereikt is dat je de 99% 'gewoon klikken' mensen op kantoor beter kunt beschermen tegen phishing of andere malware sites.
Dat geeft je alle tijd om het ontslaggesprek met de 'l33t' mensen zoals bovenstaand (of mr dnscrypt) , die alle moeite doen om zo'n site toch te bereiken voor te bereiden.
Tuurlijk, tik jij lekker het IP in bij een shared webserver met een miljoen websites indien je een site op die server wil bekijken. Veel geluk met het vinden van de website. Denk je dat je alles enkel op basis van IP kunt opvragen ofzo ?
En, waar vraagt de zakelijke DNS server de domeinen op ? Juist ja, bij andere publieke DNS servers op het internet. Overigens kan je je afvragen of bijvoorbeeld OpenDNS niet juist veiliger is dan de gemiddelde bedrijfs DNS server.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
