Welke data lekken via poort 53?

Infoblox---Jesper-Andersen-

Op applicatieniveau vinden de meeste aanvallen op bedrijven vandaag de dag plaats via DNS. Des te opvallender dat bij de beveiliging van het netwerk vaak niet wordt gedacht aan inspectie op poort 53, de poort die wordt gebruikt voor het DNS-verkeer en in toenemende mate ook voor het wegsluizen van data. Om het verlies van gevoelige data – en een boete op basis van de Meldplicht datalekken – te voorkomen, zijn dan ook aanvullende maatregelen nodig.

Aanvallen steeds verfijnder

Domain Name System-aanvallen zijn er in vele soorten en maten. Zo zijn er de DDoS-aanvallen die als doel hebben om de ‘externe DNS-server’ en daarmee de website of dienstverlening van een bedrijf onbereikbaar te maken. Dit overkwam Ziggo in augustus 2015 waardoor veel klanten zonder internet kwamen te zitten. Recenter gingen enkele sites van de Nederlandse publieke omroep op zwart na een zware DDoS-aanval.

Bijvoorbeeld de aanvallen op Ziggo bleken achteraf het werk te zijn van vijf jongeren die wilden aantonen dat ze ‘tot grote dingen in staat zijn’. De afgelopen jaren zijn we echter steeds vaker getuigen van verfijndere aanvalsmethoden. Een voorbeeld daarvan is de ‘DNS amplification attack’ waarbij een DNS-server een antwoord wordt uitgelokt dat vele malen groter is dan de request. Op deze manier zou in 2013 spambestrijder Spamhaus onderuit zijn gehaald. Een ander voorbeeld is de ‘redirect attack’ waarbij een aanvaller de externe DNS-server overneemt, een kopie van de website maakt en installeert op een eigen server en slachtoffers daar naartoe leidt.

Ook zien we steeds vaker dat de interne DNS-infrastructuur wordt misbruikt voor de ‘call home’ door malware of om documenten in stukken gehakt naar buiten te sluizen. Tijdens een recente ‘DNS Security Survey’ gaf 46 procent van de ondervraagden dan ook aan slachtoffer te zijn geweest van ‘data-exfiltratie’. 45 procent had te maken gehad met ‘DNS-tunneling’ waarbij poort 53 wordt gebruikt om data naar buiten te sluizen. Een bekend voorbeeld is de geavanceerde aanval op de Amerikaanse winkelketen Target waarbij de malware die zich had genesteld in de Point-of-Sale-systemen erin slaagde om data via poort 53 naar buiten te sluizen.

Aanvullende maatregelen

Het probleem met traditionele firewalls is dat zij poort 53 open laten staat om de DNS-communicatie niet te hinderen. De bescherming tegen DNS-gebaseerde aanvallen zit dus niet ingebakken in de security-oplossingen die de meeste organisaties implementeren. Om zaken als DNS-tunneling te voorkomen, is het goed om erop te letten dat de geselecteerde beveiligingsmaatregelen samen in ieder geval de volgende zaken bieden:

  • identificatie van data-exfiltratietechnieken,
  • mogelijkheden tot het blacklisten van de servers waarmee malware contact opneemt,
  • een DNS-firewall die toeziet op het weglekken van data,
  • realtime analytics om afwijkende patronen in de DNS-queries te kunnen ontdekken, en
  • de mogelijkheid om kwaadaardige DNS-queries de pas af te snijden waardoor malware in de DNS-communicatie niet kan worden uitgevoerd en besmette endpoints als het ware worden geïsoleerd.

Naast deze technische maatregelen is het vooral ook belangrijk dat organisaties hun DNS volledig onder controle hebben. De structuren en processen met betrekkingen tot de DNS-services moeten goed gedefinieerd en gedocumenteerd zijn. Ook ‘ownership’ is hier belangrijk. Het is duidelijk wie er verantwoordelijk voor de DNS-services is; namelijk het netwerk team. Echter het is niet duidelijk wie er binnen de organisatie verantwoordelijk is voor de beveiliging van deze DNS-services. En dit is absoluut cruciaal om adequater te reageren op incidenten.

Jesper Andersen is President en Chief Executive Officer van Infoblox