DNS Security: perché è fondamentale per proteggere la navigazione

La DNS security è protezione adeguata per evitare di finire in siti pericolosi

In cosa consiste la DNS security e perché proteggere i DNS è necessario per una navigazione senza rischi. In questo articolo ricordiamo il significato di DNS, ne analizziamo le vulnerabilità che usano i cybercriminali ed indichiamo la soluzione migliore.

1. Cosa è un DNS

La DNS Security – ovvero la sicurezza del DNS – è un tema particolarmente caldo, visto che le vulnerabilità del protocollo DNS sono sfruttate dai cybercriminali per aggirare i tradizionali sistemi di protezione. Per capire perché succede questo e, soprattutto, come difendere i sistemi aziendali e i dispositivi personali, cerchiamo prima di tutto di spiegare il contesto.

Il DNS (Domain Name System) viene spesso definito come l’elenco telefonico di Internet. Si tratta di un sistema di denominazione gerarchico e decentralizzato utilizzato per identificare computer e servizi raggiungibili in rete. Generalmente abbiamo due modalità per accedere a un sito Internet o a una specifica pagina web. Possiamo digitare il nome di dominio del sito (flashstart.com) direttamente nella barra di navigazione di un browser, oppure attiviamo l’apertura automatica del programma di navigazione (il browser, appunto) di un link a una pagina (https://flashstart.com/it/filtraggio-dns/), magari ricevuto via mail o via chat.

Ma, nel momento in cui nella barra di navigazione di un browser si digita flashstart.com e si preme il tasto Invio, il browser trasforma (risolve) automaticamente il nome di dominio in un indirizzo IP, perché il computer riconosce l’IP e non una stringa di testo. In verità il browser chiede all’Internet Provider che utilizziamo di interrogare il servizio di risoluzione DNS, di cui parleremo tra un attimo, per convertire il nome di dominio in una sequenza di numeri intervallati da punti.

Nel caso di flashstart.com, l’indirizzo IP è 151.139.128.11. Ciò significa che il programma di navigazione si collega al server che ha quell’indirizzo e che ospita il sito flashstart.com. In particolare, le prime tre parti dell’IP, nel caso di indirizzi di tipo Ipv4, corrispondono al network ID, l’ultima all’host ID, il computer vero e proprio.

Da sottolineare, però, che non c’è una corrispondenza biunivoca tra indirizzo IP e nome di dominio. Per esempio, al nome di dominio 151.139.128.11 corrispondono 44mila siti ospitati nello stesso server. Dunque, il DNS è il modo in cui a un nome di dominio si associa un indirizzo IP.
Ma DNS è anche il protocollo che regola il funzionamento del servizio. Il sistema fu introdotto nel 1983 e le sue specifiche originarie sono descritte nel protocollo RFC 882. L’RFC (Request for Comment) è il documento in cui, appunto, viene specificato nel dettaglio come deve funzionare il sistema DNS.

In pratica, il DNS system è un registro universale, un database distribuito di server DNS categorizzato in prima battuta in estensioni di dominio (.com, .it, .edu). A ogni dominio corrisponde un “contenitore” che archivia le informazioni dei domini e che è in grado anche di attingere informazioni su altri domini non archiviati. Tra le informazioni (i record del database), ovviamente, la più importante è l’indirizzo IP corrispondente al nome di dominio, l’informazione che riceverà il browser per accedere al sito richiesto.
I server sparsi nel mondo che archiviano e gestiscono i nomi di dominio, categorizzati secondo le estensioni di dominio (tecnicamente DNS root zone) si chiamano root nameservers e ne esistono 13 in tutto il mondo.


>> FlashStart ti protegge da una vasta gamma di minacce e vieta l’accesso a siti malevoli → Inizia ora la tua prova gratuita


2. Perché i DNS sono vulnerabili

Nel percorso tra un computer e il sito che si vuole raggiungere, dunque l’altro computer con cui si vuole stabilire una connessione, si incontrano diversi database o tabelle connessi in qualche modo alla risoluzione del DNS. Uno, per esempio, l’abbiamo in casa ed è integrato nel nostro modem/router. Inoltre, ogni computer contiene un file di testo con la lista di alcune associazioni nome-di-dominio-IP. Un file che viene “letto” dal computer, nel caso di connessioni tra computer appartenenti alla stessa rete locale. Esistono diversi sistemi DNS lungo il percorso per due motivi principali: eseguire l’associazione corretta e velocizzare la navigazione. Più in fretta avviene la trasformazione e più si velocizza la connessione tra i due computer, e quindi la navigazione.

Ed è proprio sulle diverse tabelle di associazione che si incontrano lungo la strada che agiscono i cybercriminali. Il principio di base che sfruttano è abbastanza semplice: modificare le tabelle per associare a un nome di dominio un indirizzo IP non corretto che indirizza a un sito, un servizio o una risorsa pericolosa. L’utente digiterà il nome di dominio, o cliccherà su un link apparentemente “pulito” e si ritroverà in un attimo all’inferno.

Gli attacchi man-in-the-middle, per fare un esempio semplice, modificano il traffico indirizzandolo verso un server proxy “trasparente” che intercetta il traffico e, dunque, tutte le informazioni che stanno transitando.
Come molti protocolli Internet, il sistema DNS non è stato progettato pensando a eventuali rischi per la sicurezza. Questi limiti rendono i server DNS vulnerabili a tante tipologie di attacchi. Tra cui lo spoofing, l’amplificazione, il DDoS (Denial of Service) e, come detto, l’acquisizione di informazioni personali private. È evidente che, se il sistema DNS è fondamentale per navigare, sia anche lo strumento più manipolato per eseguire un attacco.
Inoltre, gli attacchi DNS vanno a braccetto con altre tipologie di attacchi. I cybercriminali li utilizzano per “distrarre” gli amministratori di rete di un’azienda mentre l’incursione avviene in altro modo.

DNS spoofing, tunneling, hijacking, attacco nxdomain, phantom, random subdomain, domain lookup, botnet CPE (Customer Premise Equipment, come il router di casa) sono gli attacchi che possono essere perpetuati usando il sistema DNS. Ebbene, in un modo o nell’altro, tutti puntano a modificare i database DNS reindirizzando le richieste.


>> Su qualunque Router e Firewall puoi attivare la protezione FlashStart® Cloud per mettere in sicurezza i device desktop e mobile e i dispositivi IoT sulle reti locali.


3. Come risolvere il problema della DNS Security

Preso atto che è necessario intervenire per proteggere meglio i sistemi DNS, già alla fine degli anni Novanta si pensò di aggiornare il protocollo con delle estensioni di sicurezza, le DNSSEC (Domain Name System Security Extensions).
Con queste estensioni è stata introdotto un processo di autenticazione nello scambio di informazioni tra i sistemi DNS, ma non è sufficiente. Questo perché l’autenticazione è crittografata e non alterabile, ma non le informazioni. Se, infatti, ed è ciò che succede, gli attaccanti prendono possesso di database, tabelle e regole, presenti nei server che ospitano i sistemi DNS, non c’è autenticazione che si accorga che i dati sono stati modificati all’origine.

Cosa fare, dunque? L’ideale sarebbe che le organizzazioni mondiali che gestiscono i server DNS abbiano il pieno controllo di questi sistemi, ma questi per definizione devono essere aperti e facilmente gestibili. E, in ogni caso, se anche fosse possibile un controllo che non rallenti l’esecuzione di questi sistemi, esisterebbero sempre tabelle locali vulnerabili.

La DNS Security si occupa proprio di trovare delle soluzioni valide per raggiungere un unico obiettivo: proteggere i server DNS. Si può contrastare un DDos, per esempio, preparando i server DNS ad accettare più richieste di quelle ricevute mediamente, o tramite un sistema ridondante che salvi il servizio. Si può anche usare un hardware specifico, un Firewall DNS.
Oppure, un’azienda o un utente finale può usare un filtro per i contenuti che agisce anche sui DNS che si incontrano durante la comunicazione tra un computer, uno smartphone o un tablet e il sito che si vuole raggiungere.

4. Come funziona un filtro che protegge i DNS

Per proteggere la navigazione, in casa come in ufficio, ed evitare l’accesso a siti pericolosi o non opportuni è utile usare un filtro. Si tratta di una soluzione, oggi disponibile sotto forma di servizio basato su cloud che installa un piccolo agente – sul PC o sul router – che non influisce sulla velocità di navigazione.
Un filtro DNS permette di filtrare i contenuti Internet basandosi sul controllo del DNS di un determinato sito web. Per quanto detto finora, per proteggere al meglio la navigazione è meglio utilizzare un filtro DNS che agisca fin dalla prima richiesta dell’utente. Questo a causa del fatto che i controlli sul DNS si effettuano a diversi livelli, a partire dal primo, quello preimpostato dall’Internet Service Provider all’interno del router del cliente.

Un filtro DNS lavora direttamente sugli indirizzi IP numerici ai quali l’utente vuole accedere, verificandone la conformità con le regole stabilite dal sistema, ed eventualmente blocca l’accesso all’origine. In questo modo, il filtro blocca i contenuti pericolosi, come malware, attacchi ransomware, e tentativi di phishing, e indesiderati, come pornografia e gioco d’azzardo.
Inoltre, in azienda, il filtro DNS, come la soluzione proposta da FlashStart, si installa direttamente nel gateway o nel router aziendale senza bisogno di hardware aggiuntivo da acquistare, installare e manutenere.

Nella scelta del servizio di filtraggio DNS è importante considerare tre aspetti: la distribuzione, la latenza e l’aggiornamento continuo delle tabelle di controllo. Per distribuzione si intende la portata del servizio: più database DNS si riescono a consultare e più accurato sarà il filtro. FlashStart, per esempio, è distribuito a livello globale tramite una rete Anycast di datacenter presenti nei diversi continenti e che permettono collegamenti istantanei.

Altro aspetto fondamentale riguarda la latenza: più è alta e più la navigazione sarà rallentata. Il filtro DNS di Flashstart garantisce una latenza pari quasi a zero, e quindi una navigazione sicura e anche veloce.
Anche l’aggiornamento continuo è una caratteristica fondamentale. FlashStart utilizza un mix di intelligenza umana e artificiale per scannerizzare costantemente il web e intercettare le nuove minacce.

I DNS ritenuti pericolosi vengono aggiunti in tempo reale alle liste presenti nel cloud e i clienti hanno la garanzia di un servizio di protezione costantemente aggiornato. Last but not least, FlashStart garantisce un servizio di assistenza attivo 24/7 in italiano, inglese e spagnolo.


>> Se hai già attivato FlashStart, leggi questa guida che spiega come estendere le Blacklist per il filtraggio DNS di Internet


Su qualunque Router e Firewall puoi attivare la protezione FlashStart® Cloud per mettere in sicurezza i device desktop e mobile e i dispositivi IoT sulle reti locali.

Articoli correlati