Menu

Whalebone

Monitoring DNS komunikace

Článek z Technické přílohy časopisu Login 2/2018

Blokujte vadné webové stránky a komunikaci ještě dříve než se na ni přistoupí.

Obvyklá počítačová síť poskytuje všem zařízením službu překladu DNS (Domain Name System). Ta se stará o překlad pro člověka zapamatovatelného doménového jména (např. k-net.cz) na IP adresu, kterou použije počítač pro síťovou komunikaci (např. 40.114.243.70). Doménová jména nepoužívají jen uživatelé, ale i malware a jeho provozovatelé. Z infikovaných domén šíří nové verze svého malwaru, další domény potom používají k ovládání již nakažených zařízení.

Překladač DNS při své práci vidí obrovské množství informací o tom, kam chtějí komunikovat zařízení z lokální sítě. Pokud by uměl rozlišit dobré a zlé domény, tak by mohl zabránit malwaru v jeho komunikaci a zastavit uživatele ještě předtím, než přistoupí na podvodnou phishingovou stránku. A to je přesně myšlenka, se kterou se vydala společnost Whalebone. Za velkou výhodu navíc považujem, že DNS využívají prakticky všechny typy zařízení – od osobních počítačů přes smartphony až po webkamery a třeba i chytré ledničky.

Rozpoznávání náhodně generovaných domén


Velmi zajímavou metodou pro nalezení problému v síti, je detekce podezřelých domén a podezřelého provozu přímo v dotazech, které na překladačích vidíme. Společnost Whalebone spolupracuje na více nezávislých postupech, ale všechny mají společné to, že jsou založeny na neuronových sítích a jsou schopny rozpoznávat odchylky v názvech domén nebo v určitém časovém období DNS provozu. Jedna z neuronových sítí například počítá, s jakou pravděpodobností je název domény generován náhodně nebo se jedná o smysluplný název vytvořený člověkem. Příkladem detekované domény může být „zkzpfpoazfgq.com“. Infikovaný počítač se většinou snaží kontaktovat více domén zároveň, což pomáhá s identifikací infikovaných strojů. Některé validní domény mají totiž bohužel velmi podobné vzezření jako ty náhodně generované. Příkladem může být Záchranná brigáda kynologů s webem na doméně „zbkjmkcr.cz“ nebo web včelařů na Novoměstsku „csvnmnm.cz“.

Příklad domén zneužívaných malwarem detekovaných neuronovou sítí bez jejich předchozí znalosti je na obrázku:

Infography Rozpoznávání náhodně generovaných domén

Detekce stanice rozesílající SPAM


Další možností jak odhalit napadenou stanici v síti je velká komunikace z její strany do internetu, tedy velké množství DNS požadavků v krátkém časovém intervalu. Na grafu je vidět detekce rozesílání spamu. Jedno zařízení se pokouší kontaktovat obrovské množství poštovních serverů v krátkém intervalu.

Infography Detekce stanice rozesílající SPAM

Databáze závadných domén


Hlavním prvkem systému je samozřejmě databáze závadných domén. Systém Whalebone podobně jakýkoli jiný antivirový produkt neustále aktualizuje databázi webových domén a díky ní je schopen zablokovat komunikaci na veškeré závadné domény nejen od uživatelů, ale i od škodlivých kódů a samozřejmě na tuto komunikaci upozornit správce.

Příkladem závadných domén může být například Noblock.pro - Coin Miner - Doména hostující javaskript, který těží kryptoměnu pro útočníka.

Jednoduchost nasazení systému


Myšlenka využití DNS provozu s sebou nese velké množství výhod. Protože se Whalebone stará přímo o překlad DNS, může v případě potřeby nebezpečný provoz i blokovat bez složitých integrací nebo manuálních zásahů administrátora. Právě možnost blokovat hrozby pro nás byl zásadní argument volby DNS pro aplikaci našich filtrů.

Další výhodou je jednoduchost nasazení. V menších sítích si zákazníci volí kompletně cloudové řešení a celé nasazení proběhne jen změnou konfigurace DNS překladu a během několika minut je síť pokryta bezpečnostní filtrací. Ve větších sítích je preferovanou volbou nasazení Whalebone DNS překladače jako softwaru, který se buď stará o vše spojené s překladem, nebo ponechá překlad na původních překladačích a řeší pouze bezpečnostní nadstavbu.

V obou případech ale analýza a vyhodnocování hrozeb probíhá v cloudové aplikaci Whalebone. To přináší možnost rozložit jednorázové špičky zátěže mezi velké množství zákazníků, a tak minimalizovat hardwarové požadavky na straně zákazníka. Ty jsou v případě plně cloudového řešení opravdu nulové a v případě lokálního překladače jsou jen mírně vyšší než při použití tradičního DNS překladače bez bezpečnostních funkcí.

Možnost jednorázové analýzy sítě


Velmi oceňovanou součástí služby bývá i kompletní audit DNS provozu s možností filtrace, detekce anomálií, sledování trendů a vyhledávání konkrétních dotazů v historii. Jedná se o základní a velmi jednoduchý audit toho, jestli je v síti všechno v pořádku. Hlavní význam z bezpečnostního hlediska ale má rozhodně komplexní nasazení v provozu a z hlediska porovnání s ostatními bezpečnostními analytickými nástroji se jedná o velmi levnou záležitost.

Whalebone seriál:


GDPR


Tato technologie je vhodná pro řešení ochrany osobních údajů a bezpečnosti

Pro více informací o GDPR navštivte:

GDPR - nařízení o ochraně osobních údajů

Bezplatná konzultace

Máte zájem o bezplatnou konzultaci? Kontaktujte nás nebo nám zanechte svůj e-mail, my se vám ozveme.

Petr-Nepustil
Ing. Petr Nepustil
IT konzultant
 
+420 734 686 014
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.