Mint Security

Spamhaus DNS Firewall – Lyhyt johdanto

27.02.2021
13:25
Spamhaus

Tapio Särkelä

Helping software companies to make Secure DevOps.

Yksinkertaisimmillaan DNS Firewall estää ja ohjaa loppukäyttäjiä menemästä haitallisille verkkosivuille, samoin kuten perinteisetkin palomuurit. Keskeinen ero näiden välillä on se, että DNS Firewall -palvelua käytetään eri verkkokerroksessa ja eri vaiheessa. Palvelun uhkasyötteitä (Intelligence Threat Feeds) käytetään verkon nimipalvelimessa (DNS). Tämä menetelmä palauttaa tietoliikenteeseen näkyvyyttä, jonka perinteiset palomuurit ovat menettäneet lisääntyneen salatun end to end -liikenteen — kuten VPN-ratkaisujen — vuoksi.

Miksi DNS Firewall -palvelua pitäisi sitten käyttää?

Sen lisäksi, että DNS Firewall suojaa käyttäjiä identiteettivarkauksilta, haittaohjelmien asennuksilta ja tietovuodoilta tms., on useita muitakin syitä käyttää palvelua osana monikerroksista tietoturvaa.

Käyttäjien koulutus

Kun käyttäjä yrittää muodostaa yhteyden haitalliselle sivustolle tai haitalliseen domainiin, voidaan hänelle huomauttaa vaarasta, jonka on juuri välttänyt — kuten esimerkiksi pääsyn tietojenkalastelusivulle. Tämä voidaan tehdä joko erillisen opastussivun kautta tai ottamalla häneen suoraan yhteyttä. Joka tapauksessa: kääntämällä huono päätös positiiviseksi mahdollisuudeksi oppia toimimaan oikein.
Vapauttaa työaikaa muihin tehtäviin

DNS Firewall -palvelun käyttö vähentää verkossa esiintyvien vakavien ongelmien määrää. Tämä antaa verkon toiminnasta vastaaville henkilöille mahdollisuuden paneutua muihin mahdollisiin verkon tietoturvaongelmien ratkomiseen.
Antaa mahdollisuuden ennakointiin

DNS Firewall antaa paremman näkyvyyden, jos joku verkon käyttäjä tai asiakas on vaarassa. Tarvittavat toimenpiteet voidaan aloittaa ilman viivettä, joka saattaa tulla kun ongelmasta ilmoittaa esimerkiksi mahdollisesti joku kolmas osapuoli — tai pahimmassa tapauksessa ongelma havaitaan vasta päivien, viikkojen tai kuukausien kuluttua, kun hyökkäys on jo meneillään.
Helppo ottaa käyttöön ja ylläpitää

Kun palvelu on liitetty nimipalvelimeen, kaikki käyttäjät ja muut verkon asiakkaat — kuten IoT-laitteet — on suojattu pääsyltä haitallisille sivustoille. Käyttöönoton resurssitarve on vähäinen. Spamhaus ylläpitää palvelun tietosyötteitä ja niitä päivitetään jatkuvasti — mikä pitää ylläpidon tarpeen alhaisena.
Yrityksen brändin suojaus

Luotetuille brändeille ja tuotemerkeille tietovuodolla tms. tietoturvaloukkauksella voi olla ikävä vaikutus liiketoimintaan. Esimerkiksi voidaan ottaa vaikka Psykoterapiakeskus Vastaamon tapaus jossa tietovuoto aiheutti vakavia seuraamuksia yritykselle. On tärkeää, että käytössä on useita suojaustasoja, jotta verkon käyttäjät pysyvät turvassa.
Mahdollisuus alhaisempiin vakuutusmaksuihin

Vakuutusyhtiö saattaa tarjota alennusta kybervakuutuksesta, jos käytössä on DNS Firewall -palvelu, joka merkittävästi vähentää kyberriskiä.

Miten DNS Firewall otetaan käyttöön?

DNS Firewall -palvelu voidaan ottaa käyttöön kolmella eri tavalla. On hyvä huomata, että kaikissa tavoissa käytetään samoja uhkasyötteitä, joiden avulla tunnistetaan rikolliset domainit. Kyse on vain siitä, kuinka syötteitä hyödynnetään käytännössä.

Paikallinen (on-prem) avoimen lähdekoodin nimipalvelin

Uhkatieto välitetään AXFR/IXFR:n kautta DNS-resolveriin zone-tiedostoina. Alun perin DNS Firewall suunniteltiin avoimeksi ja käännettäväksi sovellukseksi, jonka alkuperäinen ”koti” on BIND. Nykyään myös muut nimipalvelimet, kuten PowerDNS, Knot ja Unbound, tukevat DNS Firewallin uhkasyötteiden käyttöä.

Paikallinen infra

Järjestelmä, joka on sisäverkossa ja toimii DNS-tietoturvainfran hallintajärjestelmänä, joka käyttää DNS Firewallin uhkasyötteitä. Järjestelmästä ja sen toimittajasta riippuu kuinka joustavasti haluttuja uhkasyötteitä voidaan valita ja käyttää.

Tuetut DNS-laitteet (DDIs): Infoblox, Efficient IP ja Bluecat.

Pilvipalvelut

Palveluntarjoajat, joilla on oma DNS-resolver, voivat suojata verkkonsa DNS Firewall -palvelulla.

Miten DNS Firewall toimii?

Tarkastellaan lähemmin DNS Firewall -palvelun toimintaa.

Tavanomaiset DNS-resolverit (ilman DNS Firewall -palvelua). Kun käyttäjä yrittää siirtyä verkkosivulle tai domainiin, resolver lähettää pyynnön ensin juuripalvelimen, sitten ylätason domainille ja lopuksi itse sivustolle, joka viimein vastaa käyttäjälle. Käyttäjän pyyntö päästä sivustolle toteutuu — oli sivusto haitallinen tai ei.

DNS-resolveri ja DNS Firewall. Edellä kuvatun prosessin aikana tehdään kysely ”vyöykkeille” (zones), jotka sisältävät Spamhausin keräämää uhkatietoa. Kohteena oleva domainin tiedoista tarkistetaan, onko se DNS Firevallin syötteessä; ja jos se löytyy, käyttäjältä estetään pääsy sivustolle tai hänet ohjataan toisaalle.

Alla on esimerkkejä siitä, mitä käyttäjä näkee, jos hän yrittää päästä tiedonkalastelusivulle.

Phishing site with no DNS Firewall

Phishing site with DNS Firewall NXDOMAIN enabled

Phishing Landing Page Example

Previous slide

Next slide

Kun DNS Firewall on käytössä, tietojenkalastelusivulle yrittävältä käyttäjältä estetään pääsy sivulle, ja näin käyttäjää suojataan mahdollisilta haitoilta. Kun suojaus on tapahtunut DNS-tasolla, käyttäjän työasemaan ei tarvitse asentaa erillistä lisäohjelmaa.

Mitä seuraavaksi?

DNS Firewall -palvelun käyttö vapauttaa verkosta vastaavien aikaa muihin tehtäviin ja näin auttaa ennakoitavan, ei-reaktiivisen verkon käyttökokemuksen organisaation kaikille käyttäjille.

DNS Firewall -palvelua voi kokeilla maksutta 30 päivän ajan. https://www.spamhaus.com/free-trial/free-30-day-trial-for-dns-firewall-threat-feeds/

Spamhaus Botnet Threat Update Q1/2021: Emotet on poissa, mutta muita uhkia on tullut tilalle

Spamhausin raportissa tuodaan heti esille hyvä uutinen. Tammikuussa 2021 eri maiden viranomaiset Euroopassa ja Yhdysvalloissa käynnistivät operaation pahamaineista Emotet-botnetia vastaan. Operaatiossa viranomaisten onnistuivat sulkemaan Emotetin käyttämät palvelimet.

Lue lisää »

20.04.2021

Kymmenen kysymystä potentiaaliselle DNS -palomuuripalvelun toimittajalle

Tässä kirjoituksessa esitellään muutamia keskeisiä kysymyksiä, jotka on hyvä esittää potentiaaliselle DNS -tasolla toimivan palomuurin toimittajalle (ja myös omassa organisaatiossasi, jotta varmistetaan, että yritykseen valitaan oikea palvelu. Aloitetaan perusasioista.

Lue lisää »