Os sistemas DNS de uma organização podem ser uma porta de entrada para intrusos que procuram exfiltrar dados confidenciais sem disparar alarmes. Saber o que está em jogo e como se proteger contra o encapsulamento de DNS pode impedir ataques antes que eles comecem.
O que é DNS?
DNS significa Sistema de Nomes de Domínio (Domain Name System) e é um serviço que traduz nomes de domínio em endereços IP (Internet Protocol) correspondentes.
Na Internet, cada dispositivo conectado à rede tem um endereço IP único que é usado para identificá-lo e comunicar-se com ele. No entanto, os endereços IP são difíceis de memorizar e podem ser alterados com frequência. É aí que o DNS entra em ação, fornecendo um sistema de nomes de domínio que é fácil de lembrar e permanece constante.
O DNS funciona como uma lista telefônica da Internet, convertendo nomes de domínio em endereços IP. Quando você digita um nome de domínio em um navegador, o computador envia uma consulta ao servidor DNS para obter o endereço IP correspondente. O servidor DNS, em seguida, responde com o endereço IP do servidor de destino, permitindo que a comunicação entre os dispositivos ocorra.
Além disso, o DNS também é responsável por armazenar e atualizar informações sobre os nomes de domínio e seus endereços IP correspondentes em uma rede distribuída de servidores DNS, garantindo que o processo de tradução de nomes de domínio em endereços IP seja rápido e eficiente.
O que é tunelamento de DNS?
O tunelamento de DNS é um método usado para enviar tráfego não-DNS por meio de consultas DNS. Isso é feito encapsulando o tráfego não-DNS em consultas DNS e enviando-as para um servidor DNS que é capaz de extrair o tráfego encapsulado e entregá-lo ao seu destino final.
O tunelamento de DNS é comumente usado para contornar restrições de firewall ou para ocultar o tráfego de rede de detecção. Por exemplo, o tunelamento de DNS pode ser usado para enviar tráfego de VoIP ou streaming de vídeo por meio de consultas DNS, contornando as políticas de firewall que bloqueiam esse tipo de tráfego.
Embora o tunelamento de DNS possa ser útil em algumas circunstâncias, ele também pode ser usado por cibercriminosos para ocultar atividades maliciosas, como o roubo de informações confidenciais ou o envio de spam. Por esse motivo, o tunelamento de DNS é frequentemente detectado e bloqueado por medidas de segurança, como firewalls de próxima geração e soluções de detecção de ameaças.
É importante observar que o tunelamento de DNS não é uma prática recomendada e pode ter implicações de segurança e desempenho. Os administradores de rede devem monitorar e bloquear o tunelamento de DNS, a fim de garantir a integridade e segurança da rede.
O lado ruim do DNS
O encapsulamento do sistema de nome de domínio (DNS) é uma ameaça generalizada que permite que os hackers obtenham dados dentro e fora da rede interna de uma empresa enquanto contornam a maioria dos firewalls. O sistema de nome de domínio traduz endereços numéricos de protocolo da Internet que os navegadores podem usar para carregar páginas da Web – os agentes de ameaças usam o encapsulamento para explorar esse processo e roubar dados, ocultando-os no tráfego DNS.
A maioria dos ataques de DNS se concentra em falsificação ou direcionamento incorreto, em que um invasor fornece informações falsas aos servidores DNS ou convence outros sistemas a consultar um servidor DNS hostil em vez de um legítimo. Mas o tunelamento de DNS essencialmente contrabandeia tráfego hostil através de portas DNS, o que torna esses ataques difíceis de detectar e mitigar.
“Ataques que exploram pontos fracos no DNS podem direcionar outros sistemas para se conectar ou confiar em sistemas hostis por engano, tudo sem explorar vulnerabilidades convencionais, como patches ausentes ou configurações incorretas”, diz Jacob Ansari, líder de prática de PCI na empresa global de auditoria, impostos e consultoria Mazars.
Por que DNS é um alvo?
A maioria dos ataques de DNS surge porque o protocolo DNS original, datado dos primórdios da internet, não tinha funções de segurança, como autenticidade ou integridade. Isso pode dar aos cibercriminosos um canal para abusar dos serviços de rede necessários, como o DNS, para exfiltrar dados em vez de roubá-los diretamente de uma rede, diz Tim Shimeall, membro sênior da equipe técnica do grupo de conscientização situacional de rede CERT da Carnegie Mellon Software Engineering Instituto.
“Esse abuso é difícil de detectar, pois está misturado com os usos esperados e necessários desses serviços – a abordagem de se esconder na multidão”, diz ele. “Aplicando ferramentas de monitoramento de rede e criando familiaridade com os usos esperados e necessários, o desafio de detectar abusos se torna mais viável.”
Aqui estão quatro estratégias para identificar e reduzir o risco de tunelamento de DNS:
Combine soluções técnicas e humanas
As organizações devem procurar soluções humanas e técnicas para lidar com o encapsulamento de DNS, diz Terrence O’Connor, professor assistente de engenharia e ciências da computação e presidente do programa de segurança cibernética do Instituto de Tecnologia da Flórida. Do ponto de vista pessoal, as organizações podem estabelecer grupos de caça de ameaças internos e proativos.
Esses grupos podem melhorar a detecção de ameaças e os tempos de resposta, analisando logs de tráfego de rede para identificar anomalias ou desenvolvendo assinaturas com base em ferramentas e ataques históricos. Além disso, o grupo pode informar os defensores da rede sobre as tecnologias de ataque emergentes e como eles aproveitam o DNS de maneira exclusiva para fins maliciosos.
Do ponto de vista técnico, as empresas podem habilitar mecanismos de segurança que impedem o tunelamento de DNS. Por exemplo, as organizações podem empregar DNS Security Extensions (DNSSEC), um mecanismo de segurança que requer validação criptográfica de mensagens DNS, diz O’Connor. “Embora nenhuma abordagem seja perfeita, a combinação de soluções humanas e técnicas pode derrotar amplamente a maioria das abordagens de ataque de tunelamento de DNS.”
Melhor defesa
A melhor abordagem é uma solução de defesa em profundidade que combine aspectos técnicos com o aprimoramento de uma equipe de segurança para que possam realizar análises manuais se as ferramentas gerarem algum alerta, diz David Maynor, diretor do grupo de inteligência de ameaças da Cybrary.
“Para identificar o encapsulamento de DNS, as organizações devem implementar ferramentas que forneçam inspeção profunda de pacotes e possam visualizar e analisar pacotes de DNS”, diz ele. “As regras podem então ser aplicadas para detectar campos que violam o padrão de solicitação de comentários.”
Outro método é a análise de rede baseada em anomalias com a qual o fluxo de rede é analisado quanto a comportamento anormal, diz Maynor. Por exemplo, uma estação de trabalho enviando repentinamente tráfego DNS para fora da rede para servidores DNS aparentemente aleatórios seria um grande sinal de alerta. As equipes de segurança podem então responder aos alertas gerados pelas ferramentas sobre esses problemas.
Monitorar atividades na internet
O serviço DNS é uma escolha perfeita e um alvo para invasores devido à sensibilidade desse serviço, por isso é importante que as organizações monitorem e alertem rigorosamente seus serviços DNS sobre atividades incomuns, diz Izzat Alsmadi, professor associado do Departamento de Computação e Segurança Cibernética da Texas A&M University-San Antonio.
Uma maneira de fazer isso é monitorar ativamente as atividades da Internet e bloquear endereços IP conhecidos por criar tais problemas, diz Alsmadi. “Esta é uma abordagem geral de lista negra, mas geralmente é difícil acomodar todos os invasores possíveis, portanto, é importante incluir regras que alertem para consultas de DNS estranhas ou incomuns”.
Proteger os clientes locais e garantir que os usuários saibam que devem evitar campanhas de phishing também é importante, pois a maioria dos ataques de DNS começa explorando um cliente ou computador local confiável, diz Alsmadi.
Dan Petkevich, fundador e CEO da Fair Square Medicare, diz que sua empresa utiliza a tecnologia para ajudar os idosos a encontrar o seguro que melhor atenda às suas necessidades de saúde. Devido ao alto nível de dados pessoais envolvidos no negócio, a Fair Square Medicare é sensível aos riscos de tunelamento de DNS. Ele diz que um dos métodos mais práticos para evitar o encapsulamento de DNS é monitorar continuamente o tipo de tráfego que frequenta o sistema de uma empresa.
“Isso permite que você detecte qualquer atividade suspeita desde o início e bloqueie seu acesso à rede antes que o dano seja causado”, diz Petkevich. “Quando estou pesquisando na web, normalmente uso sites com protocolos HTTPS sobre HTTP porque são mais seguros contra esses ataques. Como proprietário de uma empresa, é crucial que seu desenvolvedor da Web inclua o protocolo HTTPS em seu site. Hoje em dia, até o Google está ciente do alto risco de encapsulamento de DNS e, portanto, tende a alertar os internautas se um site não estiver bem equipado para proteger seus dados.”
Garantir que terceiros corrijam configurações incorretas em seus servidores DNS
Alguns ataques de DNS envolvem ataques de negação de serviço (DoS) ou ataques de negação de serviço distribuído (DDoS), em que um invasor envia um grande número de consultas de DNS hostis que podem sobrecarregar a infraestrutura de DNS e causar interrupções na Internet no organizações de vítimas, diz Ansari.
Alguns desses ataques usam servidores DNS de terceiros para responder aos servidores DNS das organizações vítimas. “A solução para esses ataques é fazer com que as outras partes corrijam configurações incorretas em seus servidores DNS. Como tal, isso pode ser difícil de resolver se essas partes não cooperarem ou forem subornadas pelo invasor”, diz Ansari. “Se terceiros não aderirem às boas práticas de segurança de DNS, inclua isso nas negociações para renovação de contratos e nos esforços de gerenciamento de riscos de terceiros.”
Treinamento de funcionário
Devido aos diversos usos legítimos do DNS, é difícil dizer se os campos de dados nas solicitações e respostas são válidos, de acordo com Maynor. “Os invasores capitalizam a complexidade e a natureza confiável e necessária do DNS criando seu próprio tráfego DNS aparentemente real com dados nos campos”, diz ele. “Isso dá a um invasor dentro de uma rede a capacidade de exfiltrar dados de uma maneira que pareça legítima para o usuário casual”.
Conseqüentemente, para manter os sistemas protegidos contra o encapsulamento de DNS, as empresas devem realizar programas regulares de treinamento de funcionários sobre ataques de phishing, malware e encapsulamento de DNS, diz Ihab Shraim, diretor de tecnologia da CSC Digital Brand Services. Os funcionários que reconhecem e evitam ataques de engenharia social podem evitar tentativas de tunelamento de DNS.
As organizações também devem treinar equipes de segurança cibernética para reconhecer padrões de tráfego de DNS que não são típicos. A implementação de técnicas de aprendizado de máquina no tráfego DNS pode ajudar as equipes de segurança a detectar anomalias nos padrões.
Você também pode contratar uma empresa de TI para atuar na sua segurança de rede.
Diferenciais da Infonova
A Infonova tem 20 anos de experiência em tecnologia, infraestrutura de TI, e pessoas. Temos clientes internacionais como HBO, AirBnb, Linkedin, Tempo Assist, Nissin, entre outros. Ou seja, estamos aptos a atender qualquer segmento e tamanho de negócio com maestria.
BACKUP
Todas as posições de profissionais da Infonova têm backup. Temos um ditado interno que é: “quem tem um… não tem nenhum”. Portanto, somos obcecados em ter continuidade nas operações para que nós e os nossos clientes possam focar na parte mais importante: explorar oportunidades e gerar crescimento.
VALOR FINANCEIRO
O valor da Infonova é intencionalmente menor quando comparado com empresas no mesmo nível de maturidade. No entanto, fazemos isso para ter a possibilidade de escolher os nossos clientes e ter uma base de clientes satisfeitos, e por bastante tempo.
LIBERAÇÃO DO RH
O RH é uma das áreas mais importantes de qualquer empresa. Afinal, ele deve estar focado em gerir a cultura, desenvolvimento dos colaboradores e atração de talentos; e não apenas com a reposição de profissionais. Sendo assim, terceirizar a TI oferece a possibilidade de fazer com que o RH esteja mais livre para se tornar um vetor de crescimento para a empresa.
FLEXIBILIDADE – HUB DE TECNOLOGIA
A Infonova não faz só Infra, ela pode fazer de tudo. Na verdade, para alguns clientes que não podem resolver algumas questões diretamente, a Infonova atua como Hub, indo para o mercado, encontrando parceiros e fornecedores e interagindo com eles. Esses serviços incluem áreas diversas, como:
- Ar condicionado;
- Outsourcing de impressão;
- Links de internet;
- Compra de materiais e mais.
ALOCAÇÃO DE DESENVOLVEDORES
A Infonova já foi uma fábrica de software no passado. Contudo, em 2012 escolhemos focar em Gestão de TI, Infraestrutura e Segurança. No entanto, como era de se esperar, esse conhecimento e familiaridade permanecem até hoje no time. Portanto, realizamos consultorias de DevOps para alguns clientes, atuamos como mediador entre clientes e desenvolvedores, e também alocamos desenvolvedores para alguns clientes.
RETENÇÃO DE COLABORADORES
Demoramos mais de 10 anos para entender e construir as ferramentas para atrair e manter profissionais de tecnologia no nosso time. Então, seja o profissional alocado no cliente ou não, temos a vivência de como reter, desenvolver e satisfazer tanto os profissionais quanto os clientes. E essa é uma necessidade para o sucesso da empresa.
LIBERAR BRAIN POWER DA ORGANIZAÇÃO PARA APROVEITAR OPORTUNIDADES
Não dá para fazer tudo. Então, faz mais sentido focar no que faz a empresa crescer, mas isso requer um recurso escasso: tempo e atenção. Terceirizar a TI significa retomar esse recurso, contudo, não é de graça. Terceirizar é mais caro do que contratar direto, mas faz sentido se você pode usar a atenção e o tempo para realizar mais valor, inclusive financeiro.
NÃO TEM MULTA DE CONTRATO
A Infonova tirou as multas dos seus contratos há muitos anos. Afinal, entendemos que para o cliente, muitas vezes mudar é uma situação nova. Portanto, escolhemos tirar o risco do cliente e trazer este risco apenas para o nosso lado.
PODE PARAR QUANDO QUISER
Os primeiros 90 dias de contrato com a Infonova não tem multa e nem aviso prévio. Ou seja, basta pedir para parar. Contudo, após os 90 dias, também não temos multa, porém, solicitamos um aviso com 30 dias de antecedência.
CONTINUAMOS AMIGOS
Na Infonova a relação continua mesmo sem contrato. Ou seja, mantemos o relacionamento com os clientes e continuamos ajudando, trocando experiências e apoiando, independente de existir um documento de contrato ou não. Afinal, o nosso interesse é na parceria.
DORMIR TRANQUILO
Stress faz parte do crescimento. Afinal, crescer não é um caminho fácil. No entanto, você pode escolher o tipo de stress que quer ter. Ou seja, pode decidir entre o stress de fazer a empresa “funcionar”, ou o de focar em aproveitar as oportunidades enquanto dorme tranquilo sabendo que o dia a dia está garantido.
