DNS er noget de fleste tager for givet. Som Server Hosting Udbyder siden 1992 ved jeg lidt mere end så mange andre om DNS problematikker og hvordan de udnyttes og hvordan man f.eks. via MALWARE tvinger klienter over på andre DNS servere end den de havde før de fik Malware på sin computer.
DNS og DNS servere er en gammel arkitektur der er sårbar for angreb på forskellige måder ligesom almindelige servere er. Forhåbentligt har du ikke noget andet på din DNS server end DNS for det er jo en vigtig komponent for serversikkerhed for DNS, ikke at have andet. Dernæst SKAL man have hardware 2 vejs verificering der med en APP eller sms beder om en kode der skal indtastes. Hvis du keder dig med dette, kan du prøve vore USB hardware sikkerheds-sticks, der koster ca. 500 kr. disse bruges også til alle dine andre logins.
Det er klart at DNS er mål for de fleste hackere, da man dermed kan manipulere med logins til f.eks. NEMID/MITID og lignende for det er DNS der sender dig til den rigtige server. DNS servere er mål og derfor har mange af os har f.eks. 6 DNS servere, så der skal gå 6 servere ned, før end at al trafik til de domæner DNS serveren indeholder standser. Vi har mere end 12 måder at beskytte DNS servere på, denne er en måde regeringen i USA bruger, men vi har shared løsninger for f.eks. teleindustri og internet fiber udbydere, hosting centre og løsninger for den lille DNS leverandør f.eks. et privat firma.
Vore løsninger beskytter mod DOS, Denial of Service Attacks og laver også en log over de hackere der prøver forskelligt. DNS er nærmest en standard man prøver først med, så her sker der jo ikke ofte sikkerhedshuller, men når det sker udnyttes de ofte 15 minutter efter ved scanninger specifikt for DNS servere over hele verden. Er der tale om en enkelt udnyttelse kan man scanne et helt lands DNS servere på få minutter.
USA har taget et nyt initiativ i den retning og det kommer her, oversat fra Cisa:
Hver dag står vores føderale regering over for ondsindet cyberaktivitet, der kan resultere i konsekvenser for vigtige tjenester eller uautoriseret adgang til følsomme data. Hos CISA arbejder vi hånd i hånd med føderale agenturer og den private sektor for at sikre, at de bedst mulige kapaciteter er på plads for at reducere sandsynligheden for skadelige hændelser. Et centralt aspekt af denne tilgang er vores levering af delte tjenester, der gør det muligt for CISA at tilbyde agenturer klassens bedste, overkommelige og skalerbare kapaciteter, der adresserer betydelige trusler, samtidig med at CISA får synlighed i cybersikkerhedstrusler, som den føderale civile udøvende gren (FCEB) står over for.
PDNS eller Protective DNS
I dag er vi glade for at kunne meddele, at Protective Domain Name System (DNS), vores seneste delte servicetilbud, er tilgængeligt for alle føderale civile agenturer. Denne service stilles til rådighed gennem arbejdet i CISA’s Cybersecurity Shared Services Office og især Christopher Villas, vores Protective DNS Service Product Manager, og Branko Bokan, lead technical advisor.
Efter vellykket test med et begrænset antal bureauer onboarder vi nu aktivt bureauer i denne tjeneste med moderniserede muligheder for at opdage og forebygge trusler i internettrafik og øge vores kollektive cyberforsvar.
DNS fortolker værtsnavne, der kan læses af mennesker, til IP-adresser (Internet Protocol). DNS Infrastructure er en almindelig trusselsvektor for angrebskampagner. Beskyttende DNS beskytter føderale brugere og organisationer mod at nå kendte eller mistænkte ondsindede destinationer med en banebrydende funktion, der beskytter netværksforbindelser.
Det giver også FCEB-agenturer bedre synlighed i deres egen internettrafik og giver realtidslogfiler, rapporter og anden indsigt i et stadigt udviklende cybertrusselslandskab.
Men teknologi alene ville ikke være nok til at gøre en tjeneste som Protective DNS virkelig værd. Domæne- og internetprotokolsikkerhed afhænger af god feedback fra dem, der er afhængige af det. Vores team bestemte specifikke systemkrav gennem måneders betatest med partnerbureauer og fra input fra DNS-fageksperter. Perspektivet fra disse tidlige brugere har hjulpet CISA med at skabe en service, der imødekommer FCEB-samfundets behov i dag og videre.
Beskyttende DNS beskytter den føderale virksomhed gennem følgende funktioner:
- Udvidet dækning. Traditionelle netværk i det lokale miljø, skybaserede aktiver samt roaming og mobile enheder er beskyttet, uanset deres placering.
- Forbedret trusselsefterretning. Kommercielle trusselsefterretningsfeeds giver større omfattende trusselsdetektering og forebyggelse.
- Advarsler i realtid. Tjenestens applikationsprogrammeringsgrænseflade øger tidlige reaktionsfunktioner ved hjælp af hurtige trusselsmeddelelser.
- Øget synlighed og tilgængelighed. Agenturer drager fordel af adgang til trusselstendenser og fulde DNS-trafiklogfiler, der kaster lys over almindelige trusler.
- Nul-tillid justering. De nyeste og bedste cybersikkerhedsprincipper sikrer fuld beskyttelse, uanset hvordan og hvor agenturets enheder opretter forbindelse.
Beskyttende DNS er nu tilgængelig for alle agenturer. For mere information om denne og andre delte tjenester kan FCEB-agenturer kontakte CISA’s Cybersecurity Shared Services Office på CyberSharedServices@cisa.dhs.gov. Mens CISA’s juridiske myndigheder i øjeblikket begrænser levering af beskyttende DNS til FCEB-agenturer, bør alle andre organisationer besøge vores Cyber Resource Hub for yderligere tilgængelige tjenester.
Forfatter: Eric Goldstein, vicedirektør for cybersikkerhed
Forfatter 2 (indledning): Michael Rasmussen
Kilde: CISA og ICARE.DK
Fotokredit: ICARE.DK
Vi du gerne have mere at vide om hvordan du bestytter DNS servere, så ring gerne 31971111.