Beheer

Security
Internet of Things

IoT veiliger maken met DNS Resolution Required

Bescherm je eigen stukje IoT.

© Shutterstock PowerUp
23 maart 2022

De vele miljarden IoT-apparaten die nu worden gebruikt, zijn een kwetsbaar doelwit van botnets. Het concept van DNS Resolution Required zien Jelte Jansen, Caspar Schutijser en Elmer Lastdrager als een mogelijke oplossing voor dit probleem. Maar dan wel alleen voor beperkte scenario's als IoT-apparaten in een thuisnetwerk.

DNS-firewalls worden ingezet om phishing en malware tegen te gaan, maar er zijn botnets die deze firewalls weten te omzeilen. Zo zijn er voorbeelden van malware die zelf de DNS-resolutie (het proces waarbij een IP-adres vertaald wordt naar een domeinnaam) uitvoeren (bijvoorbeeld Cutwail), de DNS-resolutie simpelweg helemaal overslaan (zoals Nugache) of zelfs de DNS-configuratie van het systeem volledig veranderen (bijvoorbeeld DNSChanger). In dit soort scenario's is de malware niet afhankelijk van de DNS-resolver (de server waarop de daadwerkelijke vertaling van domeinnaam naar IP-adres plaatsvindt) die door de systeembeheerder of ISP is ingesteld. DNS-firewalls bieden geen enkele bescherming tegen dergelijke methoden en daarom zijn er aanvullende beveiligingsmaatregelen nodig.

DRR als concept

Het concept van DNS Resolution Required (DRR) kan hierbij een oplossing vormen. In een notendop: DRR is een nieuw mechanisme voor edge-netwerken dat een client alleen toestaat om een netwerkverbinding met een extern eindpunt te initiëren als er een DNS-zoekactie op een geautoriseerde DNS-server aan vooraf is gegaan. Oftewel: een netwerk met DRR zorgt ervoor dat elke verbinding tussen een client en een externe dienst pas tot stand komt na een DNS-antwoord van een van de geautoriseerde DNS-resolvers van het netwerk: de resolvers die door de gebruiker, systeembeheerder of ISP zijn geconfigureerd.

Hoe zou dit concept er in praktijk uit kunnen zien? DRR analyseert al het DNS-verkeer op het netwerk. Standaard wordt al het uitgaande verkeer naar elk willekeurig IP-adres geblokkeerd, behalve DNS-verkeer naar specifieke geconfigureerde DNS-resolvers. Als er in reactie op een DNS-verzoek van een client een DNS-antwoord van een van die resolvers wordt waargenomen, wordt de firewall van het lokale systeem of lokale netwerk dynamisch geopend voor de IP-adressen in dat specifieke antwoord.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!