Dopo aver navigato per quasi un mesetto nelle acque del DNS, siamo arrivati al dunque.. Progettare un’infrastruttura DNS (Domain Name System) robusta e sicura è diventato un elemento cruciale per proteggere le reti aziendali e prevenire gli attacchi informatici. In questo articolo, esploreremo i principi fondamentali per la progettazione di un’infrastruttura DNS sicura, con un focus particolare sui domini DNS interni e sui resolver posizionati in DMZ per il filtering e la difesa avanzata.

Il DNS svolge un ruolo essenziale nel tradurre i nomi di dominio in indirizzi IP e viceversa, consentendo ai dispositivi di comunicare tra loro su Internet, (se volete saperne di più, potete partire dal nostro articolo sui fondamenti). Un’infrastruttura DNS ben progettata deve essere affidabile, performante e, soprattutto, sicura.

La prima considerazione nella progettazione di un’infrastruttura DNS è la segmentazione dei domini DNS interni. I domini interni devono essere separati dai domini pubblici e gestiti in modo separato, al fine di garantire la sicurezza e la privacy delle risorse aziendali e dei dati sensibili. E’ quindi buona cosa ricordarsi che internamente abbiamo a disposizione dei DNS locali. Alzi la mano a chi dice “Active Directory”. Il 90% delle installazioni di active directory ha un dominio locale e un servizio DNS che usa come resolver esterno … google ! ARG. no.

Quindi facciamo sicurezza, abbiamo detto che può passare di tutto nel traffico DNS e quindi sarà opportuno partire dal presupposto che dovremo fare sicurezza sul resolver pubblico.

Segmentare vorrà dire: tutto il traffico DNS per il mio dominio locale è compito di Active directory occuparsene, ma per tutto il resto chi si ne occupa ? google alla cieca ?

Un resolver DNS posizionato nella DMZ (Demilitarized Zone) svolge un ruolo critico nel filtrare il traffico DNS e proteggere la rete aziendale da minacce esterne. Questo resolver può essere implementato su firewall o su dispositivi di sicurezza dedicati, in grado di rilevare e bloccare tentativi di exfiltration, tunneling e altri attacchi basati sul DNS.

Sempre lo stesso oggetto deve essere in grado di eseguire filtraggio avanzato e analisi approfondite del traffico DNS in tempo reale. Questo include la capacità di rilevare e bloccare domini malevoli, query sospette e comportamenti anomali che potrebbero indicare un attacco in corso.

Sarebbe importante che questo resolver avesse anche la visiblità della zona interna DNS.. perchè ?

Perchè ad esempio un utente che si collega in VPN dovrà avere bisogno di servizi DNS che fanno riferimento al resolver interno e nel contempo magari utilizzare anche servizi esterni. Ottimo quindi avere un DNS in DMZ in grado di “dirottare” le richieste interne a chi di dove (Active Directory?) e le zone pubbliche verso i propri servizi di sicurezza. Non è una cattiva idea no ?

Inoltre in questo modo possiamo anche gestire una serie di attacchi.

Uno degli utilizzi più comuni del DNS da parte degli attaccanti è l’exfiltration di dati attraverso tunneling DNS. Il resolver in DMZ dovrebbe implementare controlli appositi per rilevare e prevenire questo tipo di attività fraudolenta, monitorando attentamente il traffico in entrata e in uscita e applicando politiche di sicurezza rigorose per bloccare eventuali tentativi di exfiltration.

L’infrastruttura DNS deve essere strettamente integrata con gli apparati di sicurezza esistenti, come firewall, sistemi di rilevamento delle intrusioni e soluzioni di sicurezza endpoint. Questa integrazione consente una difesa olistica e coordinata contro le minacce informatiche, migliorando la visibilità e la capacità di risposta agli attacchi.

Ma non solo, alcuni vendor hanno già disponibile la possibilità di fare sicurezza attraverso la categorizzazione del DNS. Sono infatti già disponibili servizi di sicurezza che “profilano” i nomi e ci consentono di fare protezione “per categoria”. Questo può avere degli aspetti molto interessanti da un profilo di security. Se infatti spesso e volentieri si fanno filtri di contenuto basandosi su crawler e categorizzazione “spinta” , filtrare a livello DNS rende molto più veloce il blocco e consente di essere più incisivi su macrocategorie di servizi

Il monitoraggio continuo del traffico DNS e l’analisi approfondita degli eventi sono fondamentali per rilevare e rispondere prontamente alle minacce. Gli amministratori di rete devono implementare strumenti di monitoraggio avanzati e procedure di analisi del traffico DNS per identificare rapidamente le anomalie e intraprendere azioni correttive tempestive.

La progettazione di un’infrastruttura DNS sicura richiede una pianificazione attenta, una segmentazione adeguata e l’implementazione di controlli avanzati per proteggere la rete aziendale da minacce informatiche sempre più sofisticate. Integrare resolver DNS in DMZ e applicare filtri avanzati può contribuire significativamente a rafforzare la sicurezza complessiva del sistema. Investire nella sicurezza del DNS è essenziale per garantire la protezione dei dati aziendali e la continuità operativa nell’era digitale in continua evoluzione.

Continuate a seguirci per rimanere aggiornati sulle ultime tendenze e sviluppi nel campo della sicurezza informatica.