Die Rolle der Sicherheit auf DNS-Ebene für SASE

In vielen Artikeln der Branche und in meinem Blog Deciphering SASE werden die Hauptbestandteile von SASE sehr deutlich beschrieben. Im Falle von SASE Security sind die wichtigsten Komponenten Secure Web Gateway (SWG), Cloud Access Security Broker (CASB), Zero Trust Network Access (ZTNA) und Next-Generation Firewall (NGFW). Zu den Sicherheitsfunktionen dieser Komponenten gehören IP-Adressen-, Domänen-, URL- und Dateireputations-basierte Zugriffskontrolle, Anti-Malware, Data Loss Prevention, Intrusion Prevention sowie richtlinienbasierte Zugriffskontrollen auf verschiedenen Ebenen, einschließlich L3/L4-Zugriffskontrollen, URL-Kategorie-basierte Zugriffskontrollen, Zugriffskontrollen auf Funktionsebene von Software as a Service usw. Da das Hypertext Transfer Protocol (HTTP) das am weitesten verbreitete Protokoll für den Zugriff auf das Internet, Software as a Service und sogar Unternehmensanwendungen ist, werden in vielen Artikeln Sicherheitsfunktionen im Zusammenhang mit dem Hypertext Transfer Protocol beschrieben. In diesem Artikel liegt der Schwerpunkt auf dem DNS-Protokoll (Domain Name System) und dem Schutz vor Bedrohungen, der durch DNS-Proxys erreicht werden kann. Wir bei Aryaka sind der Meinung, dass SASE DNS-basierte Sicherheit beinhalten sollte. Was ist DNS? DNS ist ein System, das für Menschen lesbare Domainnamen in IP-Adressen übersetzt. Computer kommunizieren untereinander über IP-Adressen, aber Domänennamen sind für Menschen einfacher zu merken und zu verwenden. Wenn ein Benutzer einen Domainnamen in seinen Browser eingibt, um auf eine Website oder einen Dienst zuzugreifen, sendet der Browser eine DNS-Abfrage an einen DNS-Resolver, um die mit dem Domainnamen verbundene IP-Adresse zu ermitteln. Der Resolver sucht die IP-Adresse in einer verteilten Datenbank, die DNS-Hierarchie genannt wird, und gibt sie an den Browser zurück, der dann die IP-Adresse verwendet, um eine Verbindung zu dem Server herzustellen, der die Website oder den Dienst hostet. Sicherheit über DNS und DNS-Sicherheit Der Begriff „DNS-Sicherheit“ bezieht sich in der Regel auf Maßnahmen zum Schutz der DNS-Infrastruktur des Unternehmens, einschließlich autoritativer DNS-Server und DNS-Resolver. „Sicherheit über DNS“ bezieht sich auf die Verwendung des DNS-Protokolls zum Schutz vor Bedrohungen und zur Zugriffskontrolle, in der Regel über transparente DNS-Proxys. Da SASE mehrere Netzwerksicherheitsdienste in einem konsolidiert, sind wir der Meinung, dass SASE sowohl die Funktionen „Sicherheit über DNS“ als auch „DNS-Sicherheit“ enthalten muss. Diese beiden Funktionen können von SASE über den DNS-Proxy-Mechanismus realisiert werden. Der SD-WAN-Teil von SASE kann den DNS-Verkehr abfangen und ihn an einen DNS-Proxy weiterleiten, um verschiedene Sicherheitsfunktionen auszuführen. Ein DNS-Proxy muss auch als einfacher (nicht rekursiver) DNS-Auflöser fungieren, um die DNS-Anfragen an vorgelagerte DNS-Auflöser/Server zu senden. Gemeinsame Merkmale von SASE DNS ProxyGewährleistung des Datenschutzes: DNS-Abfragen, die von Clients wie nativen Client-Anwendungen/Browsern erzeugt werden, sind nicht verschlüsselt. Dadurch kann jede zwischengeschaltete Stelle, die Zugriff auf den Datenverkehr hat, sehen, welche Websites von den Nutzern besucht werden. Dieser Mangel an Privatsphäre kann es Man-in-the-Middle-Angreifern erleichtern, das Online-Verhalten der Benutzer zu verfolgen. Da der DNS-Proxy in SASE ins Spiel kommen kann, bevor die DNS-Anfragen die logische Grenze des Unternehmens verlassen, kann er die Privatsphäre des Online-Verhaltens der Benutzer über DNS-over-TLS und DNS-over-HTTP mit vorgelagerten DNS-Resolvern schützen. Der DNS-Proxy fängt DNS-Anfragen von Clients ab und kann sie über DNS-over-HTTPS/TLS an vorgelagerte DNS-Auflöser weiterleiten. Sicherstellung der Integrität und Authentifizierung von DNS-Antworten: Das DNS-System ist auf Vertrauen aufgebaut. DNS-Clients und DNS-Auflöser vertrauen auf die DNS-Antwort, die sie von Upstream-DNS-Servern und -Auflösern erhalten. Wenn die vorgelagerten DNS-Systeme kompromittiert sind, ist es den Angreifern möglich, DNS-Antworten mit den IP-Adressen der Angreifer für die echten Domainnamen zu senden. Dies wird DNS-Spoofing oder DNS-Cache-Poisoning-Angriffe genannt. DNSSEC (Secure DNS), eine Erweiterung des DNS-Protokolls, ist eine der Lösungen, um DNS-Spoofing zu verhindern. DNSSEC schützt vor Angriffen, indem es DNS-Antwortdaten digital signiert, um DNS-Clients/Resolves bei der Überprüfung der Authentizität der Daten zu unterstützen und so vor manipulierten/gefälschten DNS-Daten zu schützen. Allerdings sind nicht alle DNS-Clients und Resolver in der Lage, DNSSEC auszuführen. DNS-Proxys, die DNS-Clients und Upstream-DNS-Servern in die Quere kommen, können die Validierung der Daten mithilfe der DNSSEC-Funktionalität überprüfen. Schutz vor DNS-Flood-Angriffen: Dieser Artikel beschreibt sehr umfassend DDoS-Angriffe auf die DNS-Infrastruktur, insbesondere DNS-Amplifikations- und DNS-Reflection-Angriffe, die das Opfer überwältigen können. Dazu gehört sowohl die Infrastruktur, auf der DNS-Server/Resolver laufen, als auch der DNS-Dienst selbst. Eine andere Art von Angriff zielt darauf ab, die Ressourcen (CPU und Speicher) zu erschöpfen. Beispiele für diese Art von Angriffen sind NXDOMAIN-Flood-Angriffe und Water-Torture-Angriffe, bei denen der Angreifer DNS-Anfragen mit nicht existierenden Domains und Sub-Domains mit zufälligen Bezeichnungen sendet. SASE kann mit seinem L3/L4-Firewall-Service verhindern, dass DNS-Antworten das Opfer erreichen, wenn es keine DNS-Anfrage für sie gab, und so die Reflection-Attacken effektiv stoppen. Darüber hinaus kann SASE mit seinem generischen Ratenbegrenzungsdienst verwendet werden, um die Anzahl der Abfragen pro Quell-IP/Subnetz zu begrenzen und so die Überflutung der DNS-Dienste (Resolver und Server) einzudämmen. Ein SASE-DNS-Proxy ist für einen intelligenten Schutz vor Flood-Angriffen, einschließlich NXDOMAIN-Floods und Water-Torture-Angriffen, erforderlich. Der SASE DNS-Proxy entschärft diese Angriffe durch Ratenbegrenzung auf DNS-Protokoll-Ebene und die Erkennung von zufälligen Kennzeichnungen mit Methoden zur Erkennung anormaler Domainnamen. Schutz vor DNS-basierten Exploits: Schwachstellen und Fehlkonfigurationen in der DNS-Infrastruktur können von Angreifern ausgenutzt werden, um DNS-Dienste zu kompromittieren. Sobald ein DNS-Dienst kompromittiert ist, können Angreifer die DNS-Antworten mit ihren eigenen IP-Adressen fälschen. Einige Beispiele für Pufferüberlauf-Schwachstellen sind die Bind9 TKEY-Schwachstelle und die Schwachstelle für den inversen Abfrageüberlauf. Einige Exploits können entdeckt werden, indem die Übereinstimmung mit den entsprechenden RFCs überprüft wird. In einigen Fällen hält sich die Nutzlast des Exploits jedoch an die RFCs und nutzt gleichzeitig Schwachstellen in der Implementierung von DNS-Diensten aus. Die SASE-Sicherheit umfasst in der Regel ein IDPS (Intrusion Detection and Protection System), das zur Erkennung bekannter Exploits verwendet werden kann. Für einen Zero-Day-Schutz ist es wichtig, dass der SASE DNS-Proxy die Einhaltung von Protokollen prüft und eine Anomalie-Erkennung einsetzt, um abnormale DNS-Nutzdateninhalte im Vergleich zu dem zu identifizieren, was normalerweise beobachtet wird. Zugriffskontrolle und Verhinderung des Besuchs von Websites mit schlechtem Ruf: Wie im Abschnitt „Was ist DNS“ oben beschrieben, ist die Abfrage des Domainnamens der erste Schritt, wenn ein Benutzer eine Website besucht. Die Via-DNS-Sicherheit kann eine wichtige Rolle dabei spielen, den Zugriff von Benutzern auf Websites mit Malware und Phishing-Inhalten zu verhindern. Viele Anbieter von Bedrohungsdaten bieten Reputationsbewertungen für IP-Adressen und Domainnamen an. Diese Informationen können genutzt werden, um DNS-Anfragen an bösartige Domainnamen zu blockieren und DNS-Antworten zu verhindern, die falsche IP-Adressen enthalten. Die Funktionalität eines SASE DNS-Proxys ermöglicht die Implementierung dieser Anti-Malware- und Anti-Phishing-Sicherheit der ersten Stufe für Benutzer. Die DNS-Proxys von SASE arbeiten mit mehreren Anbietern von Bedrohungsdaten zusammen, um regelmäßig die IP/Domain-Reputationsdatenbank abzurufen und DNS-Anfragen und -Antworten zu filtern, die bösartige IP-Adressen und Domainnamen beinhalten. Es ist jedoch wichtig zu beachten, dass es in den Threat Intelligence Feeds zu Fehlalarmen kommen kann. Daher ist es wichtig, dass Ihr SASE-Anbieter die Möglichkeit bietet, Ausnahmen zu erstellen. Darüber hinaus können Administratoren mit einem SASE DNS-Proxy benutzerdefinierte Domainnamen und IP-Adressen filtern, um zu verhindern, dass Benutzer auf Websites zugreifen, die nicht mit den Interessen des Unternehmens übereinstimmen. Schutz vor kompromittierten vorgelagerten DNS-Diensten: Wie bereits erwähnt, kann DNSSEC das Problem der Gültigkeit von DNS-Antworten lösen und DNS-Antworten mit gefälschten IP-Adressen verhindern. Allerdings implementieren nicht alle DNS-Dienste DNSSEC. Die Erkennung von DNS-Spoofing durch kompromittierte DNS-Dienste, die nicht auf DNSSEC basieren, ist entscheidend, um zu verhindern, dass Benutzer auf Phishing- und Malware-Seiten zugreifen. Eine Technik besteht darin, mehrere vorgelagerte DNS-Auflöser zu verwenden, die Antworten der einzelnen Auflöser zu vergleichen und die DNS-Antwort nur dann weiterzuleiten, wenn die Ergebnisse konsistent sind. Die Funktionalität eines SASE-DNS-Proxys ermöglicht die gegenseitige Überprüfung mehrerer DNS-Antworten, die von verschiedenen vorgelagerten DNS-Auflösern empfangen werden. Es prüft, ob die Antworten übereinstimmen und antwortet nur, wenn die Überprüfung erfolgreich war. Da dieser Ansatz zu einer zusätzlichen Latenz bei DNS-Abfragen führen kann, weil auf Antworten von mehreren vorgelagerten DNS-Auflösern gewartet werden muss, ist es gängige Praxis, mehrere DNS-Abfragen zu senden und nur dann eine Gegenprüfung durchzuführen, wenn die Threat Intelligence-Datenbank keine Antwort für die abgefragten Domänennamen hat. Indikatoren für Kompromisse (IoC): Die Sicherheitsanalyse des DNS-Verkehrs kann wertvolle Erkenntnisse und Hinweise auf eine Gefährdung liefern. Einige der Einblicke und IoCs, die SASE DNS-Sicherheit bieten kann, sind:

• Verdächtige Domainnamen mit Hilfe von Threat Intelligence Feeds.
• Erkennung von DNS-Spoofing-Versuchen durch Analyse der DNS-Antworten, wie im Abschnitt „Schutz vor kompromittierten Upstream-DNS-Diensten“ beschrieben, und andere Techniken.
• Identifizierung von abnormalen und unerwarteten DNS-Antwortcodes, wie NXDOMAIN und SERVFAIL.
• Erkennung ungewöhnlicher Abfragemuster, wie z.B. ein hohes Volumen von Anfragen an eine bestimmte Domain oder wiederholte fehlgeschlagene Abfragen.
• Erkennung von Domain Generation Algorithms (DGAs), die typischerweise von Malware zur Kommunikation mit Command-and-Control-Centern verwendet werden.
• Identifizierung von schnell fließenden Netzwerken, in denen sich die mit einer Domain verbundenen IP-Adressen schnell ändern. Dieses Verhalten ist häufig bei Websites zu beobachten, die Malware hosten.

SASE DNS Proxy, IDPS und Firewalls spielen nicht nur eine wichtige Rolle bei der Minderung der Risiken für die Benutzer, sondern liefern auch wertvolle Einblicke durch die vom SASE-System generierten Protokolle. Zusammenfassung Unserer Ansicht nach dient die DNS-basierte Sicherheit als erste Verteidigungslinie sowohl für Benutzer als auch für die DNS-Infrastruktur, da DNS konsultiert wird, bevor die eigentlichen Datentransaktionen stattfinden. Die möglichst frühzeitige Erkennung von Angriffen ist entscheidend für eine effektive Sicherheit. Auch wenn die DNS-basierte Sicherheit in der aktuellen SASE/SSE-Literatur nicht besonders hervorgehoben wird, sind wir der festen Überzeugung, dass SASE/SSE-Dienste die DNS-basierte Sicherheit einbeziehen sollten. Lesen Sie hier frühere Blogbeiträge zu SASE und Sicherheitsthemen.

• CTO Insights Blog

  Die Blogserie Aryaka CTO Insights bietet Denkanstöße zu Netzwerk-, Sicherheits- und SASE-Themen.
  Aryaka Produktspezifikationen finden Sie in den Aryaka Datenblättern.