<img height="1" width="1" style="display:none;" alt="" src="https://px.ads.linkedin.com/collect/?pid=441681&amp;fmt=gif">

19 april 2021

DNS-sikkerhet med Dynamic Destination NAT

Skrevet av: Gøran Tømte Palo Alto Networks | Skysikkerhet
2 min lesetid

19. april 2021

#TekniskeTips. Pan-OS.

DNS er sentralt og elementært i all kommunikasjon. Misbruk av DNS for å oppnå suksess for kriminelle er kjent.

Det er viktig å ta kontroll på all DNS-kommunikasjon, samt sjekke innholdet hele tiden. Hvem snakker med hvilke DNS-servere? I en bedrift eller et foretak vil det eksistere kommunikasjon mot et utall DNS-servere ute på Internett. Blir man infisert, kan DNS-innstillingene bli endret, for på den måten å kunne lure deg. Det er derfor viktig å gjøre et par tiltak:

  • Alle interne enheter styres mot egen DNS-server
  • Dine egne DNS-servere styrer du mot et sett med valgte offentlige DNS-servere, basert på en sikkerhetvurdering. (Vi i Data Equipment kan hjelpe deg med disse vurderingene)
  • All annen DNS-kommunikasjon sperres.

Dette er en relativt vanlig anbefaling, men vil for de aller fleste stoppe mye legitim kommunikasjon, grunnet IoT, OT, og andre løsninger med spesialkonfigurerte DNS-innstillinger. Anbefalingen gjelder fortsatt, men man må være i stand til å håndtere unntakene. Enheter som ikke benytter standard DNS-innstilling er å betrakte som avvik. Skyldes dette at man ikke kan endre innstillingene, at noen med administratorrettigheter har endret, eller er det en kompromittert enhet? Dette må man finne ut. Ønsker man å tillate enheter som ikke benytter standard DNS-innstilling, kan man få det til på en mer kontrollert måte.

Ta kontroll på all DNS

Palo Alto Networks har en funksjon som heter «Dynamic Destination NAT», som fanger opp bl.a all DNS-kommunikasjon, og deretter sende denne til en valgt destinasjon. Les mer om Dynamic Destination NAT her.

Eksempel:
NAT Policy Rule

NAT Policy Rule1

 

Generell DNS-sikkerhet, med innsyn i DNS-kommunikasjon, for å stoppe uønskede forespørsler

DNS-sikkerhet som en del av Threat Prevention

En DNS-sikkerhet er knyttet til Threat Prevention lisensen, og Anti Spyware. Denne oppdateres regelmessig med nye signaturer. Beskyttelsen legges i en Anti-Spyware profil, som igjen legges på alle regler som har med internettbasert DNS-kommunikasjon.

Anti-Spyware profile

 

DNS-sikkerhet som en del av DNS Security

Den andre er knyttet til en egen DNS Security lisens. Denne konfigureres og brukes på akkurat samme måte som den første, men kommuniserer hver eneste ukjente forespørsel med skyen, for umiddelbar evaluering, med uendelig kapasitet i antall FQDNs

NAT Policy Rule1-1

Data Equipment anbefaler at du sjekker ditt ACC for de siste 7 dager, filtrerer ut applikasjonen DNS og ser på hvilke destinasjoner som kommer opp. Du vil ha alle de kjente, men kanskje du også finner mange ukjente destinasjoner som du kanskje ikke vil føle deg så komfortabel med:

Destination IP

 

Ønsker du bistand med DNS-sikkerhet, ta kontakt med oss i Data Equipment 
Relaterte tema: Palo Alto Networks Skysikkerhet
Gøran Tømte

Skrevet av Gøran Tømte

Gøran har bred og lang erfaring fra IT-bransjen, er CISO i Data Equipment og beskriver seg selv som en «Zero Trust soldier, working to change and enhance». Gøran har et brennende hjerte for IT-sikkerhet og mener at alt starter med mindset. Målet er et sikrere Norge.

Sorter etter kategorier

Se flere kategorier

Meld deg på vårt nyhetsbrev