Blog

DNS Beveiliging - Je netwerk staat wagenwijd open

DNS Beveiliging is niet meer te negeren

Het is al jaren onderwerp van gesprek en toch lijkt het nog steeds niet tot iedereen door te dringen, DNS-beveiliging is een must have! Waarom zijn de meeste netwerken beschermd tegen de ergste, grootste en meest ingewikkelde aanvallen en wordt de beveiliging van de DNS (Domain Name System) niet serieus genomen?

De meeste van ons nemen DNS voor lief. DNS-servers doen toch niets meer of minder dan het vertalen het IP-adres naar domeinnamen? Misschien wel, maar we kunnen niet meer zonder deze oplossing. Het is zeer onwaarschijnlijk dat een persoon in staat is om alle IPv4-adressen van alle servers van de client IP-adressen te  onthouden. Nu staat de realiteit van IPv6 voor de deur. Het onthouden van de 128 bit IPv6-adressen is vrijwel onmogelijk. Kortom in een IPv6-wereld, is een nauwkeurige en betrouwbare DNS geen luxe, het is een absolute noodzaak.

DNS Protocol

Het probleem begint bij de oorsprong van DNS, dat ontworpen is in de begindagen van het Internet. Een DNS protocol staat wijd open voor bedreigingen zoals Footprinting, Denial-of-Service-aanvallen, gegevensaanpassingen en omleidingen. Een DNS-server geeft altijd antwoord op queries, hij geeft dus ook domeinnamen door van sites die als kwaadaardig te boek staan. 

Wanneer een computer besmet is met malware of botnets, zal deze malware altijd een 'call home' proberen: het maakt een DNS query naar de thuisbasis om zo extra kwaadaardige malware op te halen. Stel je nu eens voor dat iemand die kwaad in de zin heeft, jouw domeinen kan 'omleggen'. 

DNS Hacken

Het doel van een DNS attack is in de meeste gevallen het omleiden van verkeer dat een legitieme site denkt te bezoeken, naar bijvoorbeeld een pagina vol met malware. Om vervolgens meer aanvallen uit te voeren, gevoelige gegevens van bezoekers op te vangen of een uitgebreid overzicht van uw netwerk infrastructuur te maken. Het hacken van Twitter is een bekend voorbeeld van een DNS attack, maar in Nederland hebben ook veel gebruikers last gehad van de Cryptolocker ‘ransomware'. Tegenwoordig ervaart 95 procent van de organisaties in Nederland jaarlijks een vorm van data-inbreuk.

Gezien het cruciale belang van DNS voor het dagelijkse netwerkverkeer voor zowel intranet en internet-verbindingen, is het duidelijk dat de DNS-beveiliging een belangrijke overweging is en iets dat niet moet worden doorgeschoven naar de toekomst.

Laat jij de achterdeur van je huis wagenwijd openstaan omdat je een poort hebt die de tuin afsluit? Nee toch? Waarom vergeten dan zoveel organisaties de basis van het netwerk af te sluiten?

Rob Huikeshoven is Security Consultant bij Infradata

 

Rob Huikeshoven - 24 juli 2015

Pagina delen:
Ontvang het laatste nieuws en relevante updates rechtstreeks in je browser. (max. één bericht per week)