Skydda ditt nätverk med hjälp av Passiv DNS

Olika metoder för att exploatera DNS-tekniken har blivit allt viktigare redskap i attacker mot system och nätverk. Flera tekniker har utvecklats för att lösa problemet, men den kanske mest lovande metoden – Passiv DNS-data – är alltför underutnyttjad för att tekniken ska nå sin fulla potential.

De senaste åren har antalet attacker mot DNS-infrastrukturen vuxit med en alarmerande takt. Bara sedan år 2012 har vi sett ökningar på 200 procent. Att ge sig på den här sårbara delen av vår infrastruktur är ett populärt, och ofta även framgångsrikt, sätt att skapa bekymmer för företag och andra organisationer.

Att DNS blivit en populär måltavla och en central del i många attacker är knappast förvånande. Alla som vill bedriva verksamhet online behöver förhålla sig till den. Utan fungerande DNS, fungerar inte verksamheten. Och med traditionella säkerhetslösningar, som brandväggar som ofta lämnar port 53 helt öppen, är nätverket konstant öppet för intrång och datastölder via DNS.

cricket_liu
Cricket Liu, Chief DNS Architect, Infoblox

Angreppsvägarna är många: Det kan handla om DDoS-attacker eller cache poisoning, det kan vara komprometterade namnservrar eller attacker mot namnservrar – allt i syfte att använda dem som hävstång vid överbelastningsattacker.

Lyckligtvis utvecklas det hela tiden nya kraftfulla motåtgärder som ska hjälpa organisationer att stå emot. DNS Security Extensions, Response Rate Limiting och Response Policy Zones är bara några exempel.

Men det som slår mig som den absolut mest lovande metoden för att höja DNS-säkerheten – och alltså även säkerheten på internet i ett bredare perspektiv – används inte i tillnärmelsevis tillräcklig utsträckning: Passiv DNS-data.

Tekniken uppfanns för drygt tio år sedan av säkerhetsforskaren Florian Weimer, som ett sätt att bekämpa skadlig kod. Kortfattat handlar det om att använda rekursiva namnservrar för att bygga upp en central databas med svar från andra, tillförlitliga namnservrar.

Passiv DNS-data består av all den information som samlas in, av hänvisningar och svar – samt alla insamlade fel. Informationen rensas sedan från dubletter, komprimeras och kopieras till en central databas där den analyseras och arkiveras.

Det finns flera databaser av det här slaget. En del drivs av företag, som Farsight Security’s populära DNSDB. Andra drivs av organisationer som CIRCL i Luxemburg eller CERT-EE i Estland.

Den här typen av databaser går att använda för att ta reda på alla möjliga intressanta saker. Till exempel kan jag få reda på vilket svar en förfrågning om A-värden kopplade till www.infoblox.com gav i april 2012, eller vilka namnservrar infoblox.com har använt sedan dess. Eller vilka andra zoner som använder just de namnservrarna. Men du kan också ta en ip-adress som du vet är kopplad till otrevligheter och hitta alla domännamn som mappats till den ip-adressen.

Kort sagt, det finns många nyttiga användningsområden för Passiv DNS:

  • Med hjälp av den här typen av databaser går det att avslöja exempelvis cache poisoning i nära nog realtid. En organisation kan med jämna mellanrum hitta vilka adresser som dess kritiska domännamn är mappade till. Alla avvikelser kan vara en indikation på intrång.
  • Farsight Security skrapar kontinuerligt de senast tillagda domännamnen i DNSDB och eftersom det finns en tydlig korrellation mellan splitter nya domännamn och otrevlig verksamhet är det ett bra sätt att upptäcka dem. Och kostnaden av att blockera de få legitima nya domänerna i 15 minuter är ytterst liten.
  • Så fort en IP-adress eller namnserver markeras som skadlig är det lätt att använda en Passiv DNS-databas för att identifiera andra domännamn som mappar den IP-adressen, eller andra zoner som ligger under den namnservern och som alltså också kan vara skadliga.
  • De databaser som har stöd för fonetiska matchningsalgoritmer, oskarp logik och liknande tekniker kan användas för att upptäcka intrång i varumärken eller försök till varumärkessnyltning.
  • Genom att hålla koll på förändringar i A-värden (IPv4) och AAAA-värden (IPv6) samt NS-poster över ansvariga DNS-servrar, och göra det över tid, så blir det enkelt att identifiera domännamn som använder tekniker som fast flux för att undvika upptäckt. De allra flesta legitima domännamn (förutom de som används för lastbalansering och distribution) byter nämligen inte adress särskilt ofta och legitima zoner byter ytterst sällan namnservrar.

För den som vill bidra till den här informationsmängden är det en ganska smal sak att dela med sig av data från de egna rekursiva namnservrarna. Farsight har en enkel steg-för-steg-instruktion på sin hemsida.

Det finns säkerligen fler nyttiga användningsområden för Passiv DNS och vi jobbar hårt för att förstå dess fulla potential. Men redan nu kan nätverksadministratörer få värdefull information genom tekniken och det om något är ett tecken på hur viktig den kommer att vara i arbetet med att säkra denna centrala, om än sårbara, del av nätverksinfrastrukturen i framtiden.

Cricket Liu, Chief DNS Architect, Infoblox

Post Comment