DNS Security
Protezione e sicurezza della rete aziendale
La DNS Security, o Domain Name System Security, è un insieme di protocolli e procedure che hanno l’obiettivo di preservare l’integrità e la sicurezza del sistema di risoluzione dei nomi di dominio (DNS) da potenziali minacce e attacchi informatici.
La minaccia del DNS tunneling
Di cosa si tratta?
Si tratta di un attacco informatico in cui gli hacker sfruttano le query DNS per occultare dati e, mediante queste query, possono anche trasferire o attivare malware su server compromessi. Poiché le query DNS sono spesso autorizzate a passare attraverso firewall e altre misure di sicurezza che altrimenti bloccano il traffico pericoloso, questa diventa una “corsia preferenziale” per gli hacker, un canale che permette loro di eludere le difese e ottenere accesso ai sistemi interni. Una volta che un dispositivo interno è stato compromesso tramite phishing o l’installazione di malware, l’attaccante mantiene un canale di comunicazione con il dispositivo per impartire comandi. Il protocollo DNS offre agli hacker una via diretta per attivare malware dannosi, come i trojan ad accesso remoto (RAT).
Minacce comuni al DNS
Il DNS, ossia il sistema che permette di tradurre i nomi di dominio (per es. www.miosito.it) in indirizzi IP di risorse, può subire minacce specifiche. Tra le più comuni troviamo le seguenti:
- Cache Poisoning: è un tipo di attacco informatico che mira a corrompere la cache (ossia la memoria con cui vengono servite più velocemente le risorse). Questo genere di attacco inquina i dati in cache del client in modo da reindirizzarli a una risorsa malevola. Tramite questo reindirizzamento: vengono diffusi virus, vengono recuperate informazioni personali (phishing, pharming, man in the middle) oppure si produce un attacco Denial of Service facendo credere che un server non sia disponibile.
- Spoofing: il DNS Spoofing è un tipo di attacco informatico che coinvolge la manipolazione delle associazioni tra nomi di dominio e indirizzi IP su un server DNS. L'obiettivo dell'attacco è quello di deviare la vittima verso siti web dannosi. Questo genere di attacco tende a verificarsi più frequentemente nelle reti Wi-Fi pubbliche. I dispositivi delle vittime vengono costretti a utilizzare il sistema controllato dai criminali come server di risposta per il sito web richiesto, anziché il server legittimo. Questa tattica costituisce la prima fase di un sofisticato attacco di phishing e può anche portare le vittime a installare malware sui propri dispositivi o a condividere informazioni sensibili.
- Amplification Attack: in un Amplification Attack l'attaccante sfrutta alcune particolarità del funzionamento dei DNS per indurre più DNS resolver a inviare pacchetti più grandi saturando l'intera banda disponibile.
- Un Amplification Attack è possibile per due ragioni principali. In primo luogo il protocollo DNS non è autenticato, il che permette a un attaccante di utilizzare l'IP della vittima come sorgente delle sue richieste. Nel momento in cui l'attore malevolo invia una richiesta a un DNS resolver questo manderà poi la risposta alla risorsa vittima. Il secondo elemento, che permette l'effetto di amplificazione, è l'utilizzo di particolari estensioni del protocollo DNS che da richieste "piccole" generano risposte fino a 70 volte più grandi. Sfruttando queste due falle logiche del DNS un attaccante può quindi fingersi la risorsa vittima e mandare richieste a migliaia di DNS resolver in giro per il mondo. L'attaccante genererà poco traffico, rendendolo difficilmente scovabile, in compenso la risorsa vittima verrà inondata da traffico non richiesto, che potrebbe addirittura saturargli la banda e portarlo a un Denial of Service
Contromisure per la sicurezza DNS
Per proteggere il proprio sistema DNS, è possibile utilizzare diverse tecniche di sicurezza.
Un primo passo è aver cura di aggiornare i software del server DNS e del sistema operativo, poiché gli hacker spesso sfruttano le vulnerabilità del software per accedere ai sistemi. Uno dei modi più efficaci per garantire l’integrità delle informazioni del DNS e prevenire gli spoofing DNS è il DNSSEC (DNS Security Extensions). Si tratta di un insieme di estensioni di sicurezza per il DNS che utilizza crittografia a chiave pubblica per autenticare le risposte DNS e garantire che non siano state modificate durante il trasferimento. Altrettanto importante è utilizzare un firewall specifico per il traffico DNS che può rilevare e bloccare attacchi DNS malevoli. Un altro modo per mitigare le minacce è filtrare e monitorare il traffico DNS per individuare segni di attività anomale o sospette.
L’implementazione di strumenti di DNS security non solo consente di colmare le potenziali vulnerabilità nella sicurezza informatica, ma ha anche un notevole impatto sulla protezione generale delle infrastrutture digitali. Le capacità di analisi e monitoraggio delle comunicazioni DNS possono essere integrate per ottimizzare i tempi di risposta del team di sicurezza, contribuendo a migliorare tutti gli strumenti di difesa.