Artykuł pochodzi z wydania: Październik 2023
Architektura kompleksowego systemu bezpieczeństwa w organizacji to system naczyń połączonych spięty klamrą w postaci dobrze opisanej i ustrukturyzowanej polityki. Testujemy rozwiązanie, które z powodzeniem uzupełnia podstawową linię ochrony zasobów firmowych.
Bezpieczeństwo danych powinno być traktowane priorytetowo bez względu na wielkość przedsiębiorstwa czy rodzaj prowadzonej działalności. Niektóre instytucje narażone są dużo bardziej na potencjalne ataki, co przenosi się bezpośrednio na wymagania formalne stawiane firmom z wybranych sektorów. Mowa tu chociażby o przedsiębiorstwach działających w branży finansowej czy szeroko rozumianej opiece medycznej. Dotychczas przetestowaliśmy niemalże wszystkie dostępne rozwiązania oferujące zróżnicowany zakres mechanizmów ochronnych: począwszy od zapór ogniowych różnych producentów i systemów IPS/IDS, poprzez web application firewalle, systemy forward oraz reverse proxy, systemy SIEM, a na kluczach U2F czy oprogramowaniu do przechowywania haseł skończywszy. Tym razem na redakcyjny stół trafiło rozwiązanie przeznaczone do ochrony komunikacji z wykorzystaniem protokołu DNS, czyli dość istotnego i często ignorowanego elementu, który może stanowić ważną lukę bezpieczeństwa.
Whalebone to czeska firma z siedzibą w Brnie, działająca od 2016 r. i dostarczająca produkty do ochrony komunikacji DNS dla przedsiębiorstw oraz operatorów. Na liście klientów znajduje się m.in. czeski o2 oraz Telekom Slovenije. W zależności od klienta końcowego Whalebone oferuje trzy osobne produkty, bazujące na tej samej technologii, choć różniące się chociażby na poziomie licencjonowania. Whalebone Immunity przeznaczony jest dla różnej wielkości przedsiębiorstw oraz instytucji publicznych, z kolei Aura i Peacemaker to produkty stworzone dla operatorów telekomunikacyjnych oraz regionalnych dostawców internetu. Co ciekawe to właśnie Whalebone został wybrany jako dostawca technologii dla ochrony ruchu DNS w projekcie DNS4EU prowadzonym przez Komisję Europejską.
> ARCHITEKTURA
Immunity to w dużym uproszczeniu resolver DNS, wprowadzający dodatkowe mechanizmy bezpieczeństwa związane z ochroną użytkowników przed podatnościami samego protokołu, jak również wykorzystaniem go do dystrybucji szkodliwego oprogramowania, spamu oraz wykradania informacji. Podstawowym elementem ochrony jest tutaj utrzymywana przez producenta baza zagrożeń, do której trafia dziennie około 150 tys. nowych domen w celu analizy i oceny, a sednem działania jest przekierowanie wszystkich lokalnych kwerend DNS do serwera Whalebone w celu weryfikacji. Producent wykorzystuje techniki uczenia maszynowego w połączeniu z AI oraz analizą statystyczną. Wewnętrzna baza zagrożeń wypełniana jest też informacjami pochodzącymi od partnerów posiadających własne algorytmy analizy ruchu sieciowego związanego z zapytaniami DNS.
W praktyce wdrożenie Whalebone Immunity oznacza, że konieczna jest taka rekonfiguracja usług sieciowych na urządzeniach klienckich, aby cały wychodzący ruch DNS kierowany był właśnie na wskazane publiczne adresy IP firmy Whalebone. Efekt ten można osiągnąć na kilka sposobów. Ten pierwszy i najprostszy to bezpośrednie połączenie do serwerów DNS firmy Whalebone wprost z urządzeń klienckich. W tym celu wystarczy odpowiednio zmodyfikować konfigurację serwera DHCP lub skonfigurować DNS na urządzeniach niekorzystających z automatycznego przydzielania adresów. Niestety w większości przypadków urządzenia końcowe będą „schowane” za NAT-em, zatem nie będzie możliwości łatwej identyfikacji zainfekowanych hostów lub użytkowników sięgających do niekoniecznie pożądanych zasobów w internecie. Praktycznie identyczny efekt uzyskamy poprzez rekonfigurację DNS resolvera używanego już w firmie, wskazując serwery Whalebone jako właściwe do rozwiązywania publicznych nazw. Trzecim i zarazem oferującym najwięcej możliwości rozwiązaniem jest skorzystanie z lokalnego forwardera DNS dostarczanego przez producenta. W ten sposób źródłowe adresy IP klientów nie zostaną utracone, zyskując dodatkową funkcję pamięci podręcznej przy rozwiązywaniu zapytań DNS. Inną zaletą tego typu wdrożenia jest możliwość przekierowania zapytań dotyczących konkretnej domeny do lokalnego zasobu, jakim może być chociażby kontroler domeny. Whalebone Immunity to właśnie rozwiązanie bazujące na lokalnych forwarderach DNS i właśnie ten wariant został przez nas przetestowany. Oczywiście ze względu na wymagania danego przedsiębiorstwa oraz dostępność usługi powinno się używać przynajmniej dwóch hostów świadczących usługę lokalnie, a także dodatkowych maszyn do obsługi rozproszonych geograficznie lokalizacji. Producent na szczęście nie uzależnia ceny od liczby forwarderów, a koszt licencji bazuje na modelu subskrypcyjnym opartym na liczbie chronionych użytkowników.
[…]
Marcin Jurczyk
Autor pracuje jako architekt IT w firmie Kyndryl. Zajmuje się infrastrukturą sieciowo-serwerową, wirtualizacją infrastruktury i pamięcią masową.