La prima parte di un attacco mirato (vale a dire penetrare in una rete) è scoprire il più possibile l'obiettivo. È molto comune che un'azienda utilizzi lo stesso nome di dominio nella rete interna come fa per i siti pubblici disponibili. È anche molto comune che il nome dell'host descriva il suo scopo.
Se non si utilizza Split DNS, ciò significherebbe che si pubblicano le informazioni su tutti gli host all'interno di un dominio in un'unica posizione pubblica disponibile. Queste informazioni pubblicate rivelerebbero i nomi degli host e anche gli indirizzi IP utilizzati internamente e potrebbero quindi attirare un intruso all'interno dell'infrastruttura aziendale.
DNS just maps text names to IP addresses.
Un solo esempio che cosa può fare un utente malintenzionato quando conosce questi mapping per gli host interni:
- Accedi alle informazioni DNS disponibili al pubblico e scopri che c'è un host chiamato wiki.example.com con l'indirizzo IP 10.1.2.3. Dato il nome degli host, questo potrebbe essere un wiki interno che probabilmente fornisce informazioni interessanti sull'azienda. Cerchiamo di ottenere exfiltrate le informazioni sull'azienda pubblicate qui.
- Per fare ciò, l'utente malintenzionato imposta il proprio esempio di web site.attacker. Questo server si risolve inizialmente in un indirizzo IP esterno controllato dall'utente malintenzionato. Anche il server DNS per questo dominio è controllato dall'attaccante. Un link a questo server includerà mail di phishing interessanti o simili in modo che qualcuno all'interno dell'azienda possa accedere al sito.
- Una volta che il sito è stato visitato e alcuni script sono stati scaricati, l'hacker modificherà l'indirizzo IP di questo sito come visibile dalla società all'indirizzo IP del sito a cui piace attaccare: ad es. example.attacker verrà ora risolto allo stesso Indirizzo IP 10.1.2.3 come wiki.example.com. Questo trucco è chiamato Rebinding DNS .
- Lo script già scaricato dal sito degli utenti malintenzionati tenta quindi di accedere a example.attacker. Poiché questo sito ora si risolve in 10.1.2.3, questa richiesta accederà al server interno wiki.example.com, ma con il nome example.attacker. I server utilizzati solo per un singolo dominio spesso ignorano l'intestazione Host della richiesta in modo che il contenuto del sito sia accessibile non solo usando wiki.example.com ma anche example.attacker purché entrambi i nomi si risolvano nello stesso indirizzo IP.
- Poiché lo stesso criterio di origine limita l'accesso solo dal nome DNS e non dall'indirizzo IP, gli script già caricati dall'host example.attacker originale ora possono interagire con il nuovo sito host example.attacker (che è wiki.example.com) e quindi prendi le informazioni da questo sito e inoltra queste informazioni all'autore dell'attacco.
In sintesi: più conosci il tuo obiettivo, meglio puoi comprometterlo. Split DNS non è la soluzione definitiva per la protezione da tutte le perdite di dati, ma aiuta a proteggere almeno parte dei dati. Quindi fa parte della difesa in profondità.
I've had many issues with split DNS in the past, with programs that don't properly respect ttls. They cache resolution for a long time, and since DNS is inconsistent (i.e. it depends on my source IP), they break.
Sembra che tu usi lo stesso sistema (notebook o cellulare?) sia all'interno della rete aziendale protetta che su Internet non protetto. Questa è una pessima idea poiché fornisce un facile vettore per il malware che viene spostato nella rete aziendale, ignorando tutte le protezioni che potrebbero avere. Il modo sicuro sarebbe invece quello di non collegare mai il notebook aziendale direttamente a Internet, ma utilizzare solo una VPN quando all'esterno, che esegue il tunnelling di tutto attraverso la rete aziendale, comprese le ricerche DNS. E l'hardware privato non dovrebbe mai connettersi alla rete aziendale protetta, ma dovrebbe essere contenuto all'interno di una rete separata quando utilizzato all'interno dell'azienda. Se usato in questo modo non dovresti vedere problemi con Split DNS, dato che non cambi mai tra setup DNS esterni e interni sullo stesso sistema.