Поширені помилки управління службою DNS та як їх виправити з GreyCortex

Хочете бути певні, що налаштування ваших DNS серверів не послаблює безпеку чи продуктивність мережі? Експерти GREYCORTEX виділили найчастіші помилки, які вони знаходять під час численних мережевих аудитів. У цій статті ми розбираємо їх із практичними прикладами та чіткими кроками щодо усунення.

DNS сдуєаю відіграє важливішу роль, ніж перетворення доменних імен на IP-адреси. Він визначає, куди направляється трафіку, та показує, до яких серверів підключаються пристрої. Той, хто його контролює або перехоплює DNS-трафік може перенаправляти користувачів на потрібні ресурси, переглядати внутрішні сервіси чи викачувати конфіденційні дані. При цьому DNS залишається одним із найменш помітних, але найбільш впливових елементів мережевої безпеки.

Експерти GREYCORTEX регулярно виявляють типові помилки у роботі DNS навіть у зрілих інфраструктурах. У цій статті ми виділяємо найпоширеніші з них та ділимося рекомендаціями, як їх виправити:

• Неконтрольоване використання порту 53

• Некерований DNS over HTTPS (DoH) та DNS over TLS (DoT)

• Домени, не зареєстровані або не керовані організацією

• Типографічні помилки та опечатки в IP-адресах DNS-серверів

Відкритий DNS-порт 53 - ризик для безпеки

У багатьох мережах DNS порт 53 залишається повністю відкритим. Це означає, що будь-який пристрій у внутрішній мережі може підключатися до будь-якого іншого пристрою в Інтернеті. Це використовують як зловмисники, так і легітимні сервіси, що створює проблему з точки зору безпеки.

Зловмисники можуть використати порт 53 для створення DNS-тунелю, через який вони передають довільні дані, маскуючи їх під звичайний DNS-трафік. Наприклад, за допомогою програми Iodine можна інкапсулювати дані в DNS-запити та відповіді, створивши прихований канал зв’язку по 53-му порту. Через такий тунель зловмисник здатен передавати інформацію, будувати стійкі двонапрямні з’єднання або навіть організувати зворотне SSH-підключення з Інтернету у внутрішню мережу. У результаті формується постійний прихований канал доступу, який дозволяє зловмиснику повертатися до внутрішнього середовища у будь-який момент.

У випадку з Iodine зловмисні дані приховано в полях DNS пакетів, які представляють домен третього рівня. З точки зору аналітика мережевих комунікацій здається, що клієнт спілкується з легітимним DNS-сервером у внутрішній мережі, але детальний аналіз переданих даних показує, що це не так.

Подивімось, які дані для аналізу може нам надати GREYCORTEX Mendel. Наприклад, пристрій з IP 192.168.2.191 надсилає DNS-запити до внутрішнього DNS-сервера з IP 192.168.2.52. На зображенні нижче показано приклад кількох запитів, які звертаються до домену freemovies.tk. Домен третього рівня змінюється в кожному запиті та виглядає дуже підозріло. Також зверніть увагу, що атрибут rrtype містить нетипове значення NULL.

Ця ситуація демонструє, наскільки легко шкідливий трафік може маскуватися під легітимні DNS-запити та залишатися непомітним без глибокого аналізу. Саме тому детальний розбір DNS-поведінки та аномалій є критично важливим для своєчасного виявлення прихованих каналів зв’язку.

Рекомендації експертів GREYCORTEX:

• Заблокуйте весь трафік на порту 53, окрім авторизованих DNS-серверів.

• Моніторте DNS-журнали на наявність аномалій, таких як незвичні патерни доменів третього рівня або неочікувані типи DNS-записів.

• Розглядайте повторювані значення NULL або інші рідкісні типи rrtype як надійний індикатор спроб створення DNS-тунелю.

Коли DNS порт 53 дійсно потрібен

Звичайно, доступ до DNS все-таки потрібен. Для доступу до мережевих ресурсві, клієнти повинні підключатися до корпоративних DNS-серверів або до дозволених зовнішніх авторизованих DNS-провайдерів. Однак сучасні захищені DNS-провайдери дедалі частіше використовують зашифровані протоколи (DoH/DoT) або агенти, що пересилають DNS-запити через порт 443, зменшуючи потребу у відкритому порту 53.

Зловмисники знають, що атаку можна сховати в DNS-трафіку. Шкідливе ПЗ може використовувати DNS-відповіді для отримання команд або ексфільтрації конфіденційних даних. Саме тому відкритий доступ через порт 53 не рекомендується використовувати як основний.

Рекомендації експертів GREYCORTEX:

• Обмежте використання порту 53 лише для довірених резолверів, якщо його потрібно залишити відкритим.

• Перевіряйте пристрої, які користуються зовнішніми DNS-серверами з Інтернету — це часто свідчить про активність шкідливого ПЗ або специфічних застосунків.

DNS через HTTPS (DoH) та DNS через TLS (DoT)

Шифровані DNS-протоколи були створені для захисту конфіденційності користувачів, але в корпоративних мережах вони часто створюють «сліпі зони». DoH (порт 443) та DoT (порт 853) шифрують DNS-трафік, що ускладнює його інспекцію та застосування політик безпеки. Ризики тут аналогічні відкритому порту 53: зловмисники можуть передавати дані через тунель, обходити корпоративні резолвери або забезпечити віддалений доступ до корпоративної інфраструктури.

DoT зазвичай можна обмежити, заблокувавши порт 853, але DoH значно важче контролювати, оскільки він використовує HTTPS-трафік на порту 443. Без інспекції такого трафіку адміністратори не мають видимості, до яких DNS-серверів насправді звертаються клієнти.

Рекомендації експертів GREYCORTEX:

• Заблокуйте порт 853, якщо його використання не є обов’язковим.

• Моніторьте TLS-трафік на наявність підписів і патернів використання DoH на порту 443; у разі виявлення небажаного трафіку можна блокувати відповідні DNS-домени на цьому порту.

Коли ви не володієте своїм DNS доменом

Під час одного з аудитів експерти GREYCORTEX зіткнулися з випадком, коли адміністратори створили другий домен через неможливість повного переходу з старого. Початковий домен був company.com, а новий — company2v.com. На перший погляд, це виглядало як безпечне тимчасове рішення. Але новий домен ніколи не був зареєстрований організацією, натомість його зареєструвала стороння особа.

Наслідки були серйозні. Коли адміністратори розгорнули проксі-сервер через Windows Group Policy (GPO), робочі станції намагалися звернутися до wpad.company2v.com, щоб отримати налаштування проксі. Оскільки домен company2v.com контролювався сторонньою особою, DNS направляли такі запити поза межі корпоративної мережі. Змінюючи DNS записи для домену company2v.com, адміністратор домену мав можливість спрямувати трафік від легітимних клієнтів на будь-який сервер в Інтернеті.

Це відкривало можливість Man-in-the-meddle атаки. Наприклад, під виглядом легітимного завантаження, такого як firefox.exe тепер можливо доставлений шкідливе ПЗ на велику кількість внутрішніх робочих станцій. Те, що спершу виглядало як дрібна помилка в реєстрації домену, перетворилося на прямий шлях для атаки.

Рекомендації експертів GREYCORTEX:

• Контролюйте домени, що нагадують вашу внутрішню схему іменування.

• Проводьте аудит активних доменів у мережі та підтверджуйте їхню власність.

• Звертайте увагу на автоматично згенеровані імена, такі як wpad.domain.com, які зловмисники часто використовують.

Помилки в IP-адресах DNS-серверів. Як їх виявити з Greycortex

Проблеми з DNS не завжди є результатом атак, іноді причина криється у помилках людей. Експерти GREYCORTEX часто зіштовхуються з помилками в DNS налаштуваннях. Наприклад, резолвери Google (8.8.8.8 та 8.8.4.4) часто помилково вводять як 4.4.4.4 або 8.8.6.6. Приватні діапазони, такі як 192.168.x.x, можуть вводитися без першої цифри, що призводить до некоректних адрес.

Якщо DNS-сервер налаштований неправильно, пристрій не може розв’язати доменні імена. На системах для користувачів така помилка зазвичай швидко виявляється. Але на пристроях із ручною конфігурацією DNS, таких як камери, сенсори або IoT-пристрої, помилка може залишатися непоміченою, перешкоджаючи критичним оновленням або створюючи приховані проблеми в комунікаціях.

GREYCORTEX Mendel під час аудитів виявляв такі випадки, зокрема один, коли тринадцять пристроїв повторно надсилали DNS-запити на 8.8.6.6. Оскільки резолвер за цією адресою не існує, всі запити завершувалися невдачею. У гіршому випадку випадкова помилка може призвести до резолюції на легітимний DNS-сервер в Інтернеті, що дозволяє внутрішнім DNS-запитам витікати за межі компанії.

Рекомендації експертів GREYCORTEX:

• Використовуйте централізоване управління налаштуваннями, щоб зменшити помилки ручного введення DNS.

• Забезпечте інспекцію DNS-трафіку

Чому DNS-гігієна потребує уваги

Сучасним зловмисникам не потрібно зламувати міжмережеві екрани, якщо DNS відкриває їм шлях усередину. Нерегульовані запити через порт 53, DNS-тунелювання, приховане у DoT і DoH через порти 853 або 443, незареєстровані домени чи неправильно налаштовані сервери — усе це створює скриті канали для поширення атаки чи ексфільтрації даних.

Безперервний аудит і моніторинг трафіку —єдині способи виявити ці помилки до того, як вони призведуть до збоїв чи інцидентів. GREYCORTEX Mendel надає видимість DNS-трафіку, сповіщає про неавторизовані резолвери та виявляє ознаки тунелювання за лічені хвилини.

Помилки DNS — лише одна частина пазлу. Слідкуйте за нашими публікаціями в частині аналізу мережевої продуктивності, щоб дізнатися, як виявляти інші мережеві аномалії, що впливають на безпеку та продуктивність.

Оригінальна стаття

https://www.greycortex.com/blog/most-frequent-dns-management-errors-and-how-fix-them