Quanto è importante il DNS split-horizon?

7

Dividi DNS restituisce risultati diversi a seconda dell'IP di origine.

È comunemente promosso come misura di sicurezza significativa per le risorse interne, per limitare l'enumerazione e la scoperta.

Ho avuto molti problemi con il DNS diviso in passato, con programmi che non rispettano correttamente TTL. Risolvono la risoluzione della cache per un lungo periodo e poiché DNS è incoerente (cioè dipende dal mio IP di origine), si rompono. Windows e Chrome, ad esempio, sono stati entrambi problematici per me.

Mi sto chiedendo il valore di sicurezza di split DNS. DNS esegue semplicemente il mapping dei nomi di testo in indirizzi IP. È in qualche modo più semplice per un utente malintenzionato enumerare i nomi degli host rispetto agli IP? Gli indirizzi internet devono essere segreti? Il DNS split è ancora valido anche con firewall che bloccano l'IP di origine?

Quanta sicurezza reale divide l'offerta DNS?

    
posta Paul Draper 30.08.2015 - 04:31
fonte

3 risposte

6

La prima parte di un attacco mirato (vale a dire penetrare in una rete) è scoprire il più possibile l'obiettivo. È molto comune che un'azienda utilizzi lo stesso nome di dominio nella rete interna come fa per i siti pubblici disponibili. È anche molto comune che il nome dell'host descriva il suo scopo.

Se non si utilizza Split DNS, ciò significherebbe che si pubblicano le informazioni su tutti gli host all'interno di un dominio in un'unica posizione pubblica disponibile. Queste informazioni pubblicate rivelerebbero i nomi degli host e anche gli indirizzi IP utilizzati internamente e potrebbero quindi attirare un intruso all'interno dell'infrastruttura aziendale.

DNS just maps text names to IP addresses.

Un solo esempio che cosa può fare un utente malintenzionato quando conosce questi mapping per gli host interni:

  • Accedi alle informazioni DNS disponibili al pubblico e scopri che c'è un host chiamato wiki.example.com con l'indirizzo IP 10.1.2.3. Dato il nome degli host, questo potrebbe essere un wiki interno che probabilmente fornisce informazioni interessanti sull'azienda. Cerchiamo di ottenere exfiltrate le informazioni sull'azienda pubblicate qui.
  • Per fare ciò, l'utente malintenzionato imposta il proprio esempio di web site.attacker. Questo server si risolve inizialmente in un indirizzo IP esterno controllato dall'utente malintenzionato. Anche il server DNS per questo dominio è controllato dall'attaccante. Un link a questo server includerà mail di phishing interessanti o simili in modo che qualcuno all'interno dell'azienda possa accedere al sito.
  • Una volta che il sito è stato visitato e alcuni script sono stati scaricati, l'hacker modificherà l'indirizzo IP di questo sito come visibile dalla società all'indirizzo IP del sito a cui piace attaccare: ad es. example.attacker verrà ora risolto allo stesso Indirizzo IP 10.1.2.3 come wiki.example.com. Questo trucco è chiamato Rebinding DNS .
  • Lo script già scaricato dal sito degli utenti malintenzionati tenta quindi di accedere a example.attacker. Poiché questo sito ora si risolve in 10.1.2.3, questa richiesta accederà al server interno wiki.example.com, ma con il nome example.attacker. I server utilizzati solo per un singolo dominio spesso ignorano l'intestazione Host della richiesta in modo che il contenuto del sito sia accessibile non solo usando wiki.example.com ma anche example.attacker purché entrambi i nomi si risolvano nello stesso indirizzo IP.
  • Poiché lo stesso criterio di origine limita l'accesso solo dal nome DNS e non dall'indirizzo IP, gli script già caricati dall'host example.attacker originale ora possono interagire con il nuovo sito host example.attacker (che è wiki.example.com) e quindi prendi le informazioni da questo sito e inoltra queste informazioni all'autore dell'attacco.

In sintesi: più conosci il tuo obiettivo, meglio puoi comprometterlo. Split DNS non è la soluzione definitiva per la protezione da tutte le perdite di dati, ma aiuta a proteggere almeno parte dei dati. Quindi fa parte della difesa in profondità.

I've had many issues with split DNS in the past, with programs that don't properly respect ttls. They cache resolution for a long time, and since DNS is inconsistent (i.e. it depends on my source IP), they break.

Sembra che tu usi lo stesso sistema (notebook o cellulare?) sia all'interno della rete aziendale protetta che su Internet non protetto. Questa è una pessima idea poiché fornisce un facile vettore per il malware che viene spostato nella rete aziendale, ignorando tutte le protezioni che potrebbero avere. Il modo sicuro sarebbe invece quello di non collegare mai il notebook aziendale direttamente a Internet, ma utilizzare solo una VPN quando all'esterno, che esegue il tunnelling di tutto attraverso la rete aziendale, comprese le ricerche DNS. E l'hardware privato non dovrebbe mai connettersi alla rete aziendale protetta, ma dovrebbe essere contenuto all'interno di una rete separata quando utilizzato all'interno dell'azienda. Se usato in questo modo non dovresti vedere problemi con Split DNS, dato che non cambi mai tra setup DNS esterni e interni sullo stesso sistema.

    
risposta data 30.08.2015 - 07:10
fonte
2

Split horizon DNS è un'idea BAD. In pratica, DNSSEC rende impossibile implementare in modo affidabile (esistono soluzioni alternative ma non sono tutte soddisfacenti).

Il vantaggio principale del DNS split horizon è che consente di nascondere la rete interna, ma lo stesso può essere ottenuto creando un sottodominio e assicurandosi che i suoi server SOA non siano accessibili dalle reti pubbliche.

Quindi con DNS split horizon avresti payroll.bigcorp.com, con un sottodominio sicuro avresti payroll.i.bigcorp.com. Ma con un sottodominio, puoi effettivamente usare DNSSEC in modo significativo.

    
risposta data 18.07.2016 - 03:48
fonte
0

Un altro vantaggio di Split DNS che non è stato discusso è la ricorsione. È meglio non consentire ai server DNS interni di eseguire ricerche ricorsive. Potrebbero ottenere una risposta che sfrutta una vulnerabilità lasciandoli compromessi. Pertanto, scaricare questa attività per separare i server DNS o i server DNS pubblici. È un ottimo modo per applicare la difesa in profondità e rendere la tua infrastruttura più resiliente.

    
risposta data 01.07.2016 - 02:55
fonte

Leggi altre domande sui tag