Tapio Särkelä

Tapio Särkelä

The author works as a Cyber Sales Lead in Mint Security. Helping software companies to make Secure DevOps.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

Yksinkertaisimmillaan DNS Firewall estää ja ohjaa loppukäyttäjiä menemästä haitallisille verkkosivuille, samoin kuten perinteisetkin palomuurit. Keskeinen ero näiden välillä on se, että DNS Firewall -palvelua käytetään eri verkkokerroksessa ja eri vaiheessa. Palvelun uhkasyötteitä (Intelligence Threat Feeds) käytetään verkon nimipalvelimessa (DNS). Tämä menetelmä palauttaa tietoliikenteeseen näkyvyyttä, jonka perinteiset palomuurit ovat menettäneet lisääntyneen salatun end to end -liikenteen — kuten VPN-ratkaisujen — vuoksi.

Miksi DNS Firewall -palvelua pitäisi sitten käyttää?

Sen lisäksi, että DNS Firewall suojaa käyttäjiä identiteettivarkauksilta, haittaohjelmien asennuksilta ja tietovuodoilta tms., on useita muitakin syitä käyttää palvelua osana monikerroksista tietoturvaa. 

  • Käyttäjien koulutus

    Kun käyttäjä yrittää muodostaa yhteyden haitalliselle sivustolle tai haitalliseen domainiin, voidaan hänelle huomauttaa vaarasta, jonka on juuri välttänyt — kuten esimerkiksi pääsyn tietojenkalastelusivulle. Tämä voidaan tehdä joko erillisen opastussivun kautta tai ottamalla häneen suoraan yhteyttä. Joka tapauksessa: kääntämällä huono päätös positiiviseksi mahdollisuudeksi oppia toimimaan oikein.

  • Vapauttaa työaikaa muihin tehtäviin

    DNS Firewall -palvelun käyttö vähentää verkossa esiintyvien vakavien ongelmien määrää. Tämä antaa verkon toiminnasta vastaaville henkilöille mahdollisuuden paneutua muihin mahdollisiin verkon tietoturvaongelmien ratkomiseen.

  • Antaa mahdollisuuden ennakointiin

    DNS Firewall antaa paremman näkyvyyden, jos joku verkon käyttäjä tai asiakas on vaarassa. Tarvittavat toimenpiteet voidaan aloittaa ilman viivettä, joka saattaa tulla kun ongelmasta ilmoittaa esimerkiksi mahdollisesti joku kolmas osapuoli — tai pahimmassa tapauksessa ongelma havaitaan vasta päivien, viikkojen tai kuukausien kuluttua, kun hyökkäys on jo meneillään.

  • Helppo ottaa käyttöön ja ylläpitää

    Kun palvelu on liitetty nimipalvelimeen, kaikki käyttäjät ja muut verkon asiakkaat — kuten IoT-laitteet — on suojattu pääsyltä haitallisille sivustoille. Käyttöönoton resurssitarve on vähäinen. Spamhaus ylläpitää palvelun tietosyötteitä ja niitä päivitetään jatkuvasti — mikä pitää ylläpidon tarpeen alhaisena.

  • Yrityksen brändin suojaus

    Luotetuille brändeille ja tuotemerkeille tietovuodolla tms. tietoturvaloukkauksella voi olla ikävä vaikutus liiketoimintaan. Esimerkiksi voidaan ottaa vaikka Psykoterapiakeskus Vastaamon tapaus jossa tietovuoto aiheutti vakavia seuraamuksia yritykselle. On tärkeää, että käytössä on useita suojaustasoja, jotta verkon käyttäjät pysyvät turvassa.

  • Mahdollisuus alhaisempiin vakuutusmaksuihin

    Vakuutusyhtiö saattaa tarjota alennusta kybervakuutuksesta, jos käytössä on DNS Firewall -palvelu, joka merkittävästi vähentää kyberriskiä.

Miten DNS Firewall otetaan käyttöön?

DNS Firewall -palvelu voidaan ottaa käyttöön kolmella eri tavalla. On hyvä huomata, että kaikissa tavoissa käytetään samoja uhkasyötteitä, joiden avulla tunnistetaan rikolliset domainit. Kyse on vain siitä, kuinka syötteitä hyödynnetään käytännössä.

Server

Paikallinen (on-prem) avoimen lähdekoodin nimipalvelin

Uhkatieto välitetään AXFR/IXFR:n kautta DNS-resolveriin zone-tiedostoina. Alun perin DNS Firewall suunniteltiin avoimeksi ja käännettäväksi sovellukseksi, jonka alkuperäinen ”koti” on BIND. Nykyään myös muut nimipalvelimet, kuten PowerDNS, Knot ja Unbound, tukevat DNS Firewallin uhkasyötteiden käyttöä.

Paikallinen infra

Järjestelmä, joka on sisäverkossa ja toimii DNS-tietoturvainfran hallintajärjestelmänä, joka käyttää DNS Firewallin uhkasyötteitä. Järjestelmästä ja sen toimittajasta riippuu kuinka joustavasti haluttuja uhkasyötteitä voidaan valita ja käyttää.

Tuetut DNS-laitteet (DDIs): Infoblox, Efficient IP ja Bluecat.

Infrastructure
Cloud

Pilvipalvelut

Palveluntarjoajat, joilla on oma DNS-resolver, voivat suojata verkkonsa DNS Firewall -palvelulla.

Miten DNS Firewall toimii?

Tarkastellaan lähemmin DNS Firewall -palvelun toimintaa.

Tavanomaiset DNS-resolverit (ilman DNS Firewall -palvelua). Kun käyttäjä yrittää siirtyä verkkosivulle tai domainiin, resolver lähettää pyynnön ensin juuripalvelimen, sitten ylätason domainille ja lopuksi itse sivustolle, joka viimein vastaa käyttäjälle. Käyttäjän pyyntö päästä sivustolle toteutuu — oli sivusto haitallinen tai ei.

DNS-resolveri ja DNS Firewall. Edellä kuvatun prosessin aikana tehdään kysely ”vyöykkeille” (zones), jotka sisältävät Spamhausin keräämää uhkatietoa. Kohteena oleva domainin tiedoista tarkistetaan, onko se DNS Firevallin syötteessä; ja jos se löytyy, käyttäjältä estetään pääsy sivustolle tai hänet ohjataan toisaalle.

DNS Firewall Diagram Details

Alla on esimerkkejä siitä, mitä käyttäjä näkee, jos hän yrittää päästä tiedonkalastelusivulle.

Phishing site with no DNS Firewall
Phishing site with DNS Firewall NXDOMAIN enabled
Phishing Landing Page Example
Previous
Next

Kun DNS Firewall on käytössä, tietojenkalastelusivulle yrittävältä käyttäjältä estetään pääsy sivulle, ja näin käyttäjää suojataan mahdollisilta haitoilta. Kun suojaus on tapahtunut DNS-tasolla, käyttäjän työasemaan ei tarvitse asentaa erillistä lisäohjelmaa.

Mitä seuraavaksi?

DNS Firewall -palvelun käyttö vapauttaa verkosta vastaavien aikaa muihin tehtäviin ja näin auttaa ennakoitavan, ei-reaktiivisen verkon käyttökokemuksen organisaation kaikille käyttäjille.

DNS Firewall -palvelua voi kokeilla maksutta 30 päivän ajan. https://www.spamhaus.com/free-trial/free-30-day-trial-for-dns-firewall-threat-feeds/

Phishing Landing Page Example

Spamhaus DNS Firewall – Lyhyt johdanto

Yksinkertaisimmillaan DNS Firewall estää ja ohjaa loppukäyttäjiä menemästä haitallisille verkkosivuille, samoin kuten perinteisetkin palomuurit. Keskeinen ero näiden välillä on se, että DNS Firewall -palvelua käytetään eri verkkokerroksessa ja eri vaiheessa.

Lue lisää »
Tapio Särkelä

Tapio Särkelä

The author works as a Cyber Sales Lead in Mint Security. Helping software companies to make Secure DevOps.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.