DNS filters in de strijd tegen malware

Firewalls en EDR-oplossingen zijn onmisbaar in de beveiliging van netwerken en hun clients. Een kleine, maar zeker niet onbelangrijke, schakel is DNS.

De kans is groot dat je gebruikmaakt van de DNS-resolvers van jouw internetprovider. That's fine, they work. Gebruiken je interne clients jouw router of firewall als DNS-server? Dan nog is de kans groot dat jouw router of firewall de DNS-resolvers van je internetprovider gebruikt.

Ongefilterde DNS-resolvers

De (althans Belgische) Internet Service Providers (ISP) zoals Telenet en Proximus bieden ongefilterde DNS-resolvers aan die de vertaalslag maken tussen domeinnamen en IP-adressen. En daar zijn we blij om, want we willen geen censuur. Onze ISP's hoeven ons niet op te leggen welke websites we wel en niet mogen bezoeken.

Willen we nieuwssites lezen? Dan kan dat. Willen we op social media surfen? Dan kan dat. Willen we onze tijd verdoen met kattenfilmpjes? Dan kan dat. Willen we p0rno kijken? Dan kan dat. (voila, 't is gezegd)

Naast de DNS-resolvers van de ISP's zijn er nog tal van publieke DNS-resolvers. Denk aan Cloudflare's 1.1.1.1, Google's 8.8.8.8 en OpenDNS' 208.67.222.222. Allemaal ongefilterde en ongecensureerde (daar gaan we toch vanuit) publieke DNS-resolvers.

Gefilterde DNS-resolvers

DNS-filtering kunnen we op ons eigen bedrijfsnetwerk (of thuisnetwerk uiteraard ook) toepassen. Dan kunnen we zelf bepalen welke domeinnamen onze clients wel en niet mogen resolven. Denk aan bv. pfBlocker-NG op een pfSense firewall.

Naast de DNS-resolvers die niet filteren, bestaan er ook DNS-resolvers die DNS-filtering toepassen om malafide websites niet te resolven. Wanneer een client een DNS-request doet voor een door hun gekend malafide domein, dan wordt als resultaat een leeg antwoord of IP-adres '0.0.0.0' gestuurd. Daardoor kan de client geen verbinding maken met de domeinnaam van een gekende malafide website.

Publieke en private DNS-resolvers met malware filtering

DNS-filtering op ons eigen intern netwerk met bv. pfBlocker-NG toepassen is prima, maar dan moet je ook je eigen blacklists onderhouden. Of je kan gebruikmaken van een gratis publieke DNS-resolver die malware filtering toepast. Maar wat als de bedrijfslaptops buiten het interne netwerk gebruikt worden? Dan gebruiken zij alsnog publieke DNS-resolvers en kunnen zij de malafide domeinnamen wel bereiken.

Dan komen betalende DNS-resolvers in het vizier. Deze DNS-resolvers voorzien een kleine agent die op iedere client draait en de gekozen DNS-resolver altijd forceert; ongeacht op welk netwerk het toestel zich bevindt. Daarnaast hebben deze betalende DNS-resolvers als voordeel dat je zelf categorieën (cryptojacking, DNS rebinding, Typo squatting, porno, social media, enz.) kunt bepalen van domeinnamen die geblokkeerd moeten worden. Heb je interesse in deze betalende DNS-resolvers? Check dan zeker 'Cisco Umbrella', 'OpenDNS', 'Cloudflare Zero Trust Platform' en 'NextDNS'.

Wil je in eerste instantie gebruikmaken van publieke DNS-resolvers die malware blokkeren? Dan kan je kijken naar 'Quad9', 'Cloudflare for Families' (ook al doet de naam anders vermoeden), 'dns0.eu' en 'CleanBrowsing Security Filter'.

Hoe kies je een goede DNS-resolver?

Volgens ons moet een goede DNS-resolver aan deze voorwaarden voldoen:

  • Snelheid: is de DNS-resolver vlot genoeg bereikbaar? Alles onder de 20ms is goed.
  • Veiligheid: neemt de DNS-resolver voldoende acties om de veiligheid van zijn systemen en de correctheid van de DNS-records te garanderen?
  • Filter: blokkeert de DNS-resolver malafide websites? Waar haalt hij zijn informatie van malafide domeinen vandaan? Worden die bronnen vaak bijgewerkt?
  • Betrouwbaarheid: heeft de DNS-resolver een privacyverklaring waarin je je kan vinden? Worden er logs bijgehouden? Voldoet hij aan de GDPR-wetgeving?

Publieke DNS-resolvers met malware filter

Quad9

Quad9 is van oorsprong een Amerikaanse (Californië) DNS-provider, maar heeft in 2021 zijn hoofdkantoor verplaatst naar Zurich, Zwitserland zodat zij onder de streng gereguleerde Zwitserse privacywetgeving zouden vallen en niet meer onder de Amerikaanse wetgeving (wil je daarover meer weten, lees dan dit artikel).

Quad9 is opgericht in 2016 en is een 'not-for-profit foundation'. Hun doel is om een veilige, snelle en private DNS-resolver te zijn die malware, spyware, botnets en phishing domeinen weet te blokkeren.

Quad9 werkt samen met 'Threat Inlligence' partners om een up-to-date lijst van malafide domeinen te onderhouden. Partners hierin zijn onder andere DomainTools, ECHAP, Netlab360, AbuseCH, IBM X-Force, SwitchCH, H-ISAC en F-Secure. Zij hebben op meer dan 150 locaties in 90 landen een PoP, hoofdzakelijk op Internet Exchange points zoals de AMS-IX.

Website: www.quad9.net

1.1.1.1 for Families

De bekende Cloudflare DNS-resolver 1.1.1.1 gebruikt geen filter. Zij voorzien sinds de introductie van '1.1.1.1 for Families' in 2020 IP-adres 1.1.1.2 wel van een 'malware protection' filter.

Naast deze gratis DNS-resolver bieden zij voor bedrijven ook Cloudflare One aan, waarbij je de DNS-filter kan beheren.

Website: 1.1.1.1/family

dns0.eu

dns0.eu is een Franse non-profitorganisatie die in 2022 opgericht werd door mede-oprichters van NextDNS. Zij focussen zich volledig op Europese gebruikers en hebben dan ook enkel DNS-servers staan in Europese landen. Momenteel hebben zij servers in 55 datacentra gespreid over 27 Europese steden.

dns0.eu filtert op kwaadwillige domeinen, gaande van phishing-websites tot Command & Control (C&C) servers. Daarnaast filteren zij met hun 'ZERO' filter nog harder op onder andere typosquatting, DNS-rebinding, crypto jacking, geparkeerde domeinen, nieuwe actieve domeinen, enz.

Hun informatie van kwaadwillige domeinen halen zij bij hun 'Thread Intelligence' partners. Daaronder horen NetxtDNS, AbuseCH, Shreshta, Lionic, gandi.net, Red Flag Domains, Certgo, Anexia en GCore.

Website: www.dns0.eu

CleanBrowsing

CleanBrowsing is gevestigd in Texas (Verenigde Staten). Zij bieden abonnementen aan voor zowel families als bedrijven om hun gefilterde DNS-dienst te leveren. Naast betalende abonnementen hebben ze ook een gratis DNS-resolver die filtert op phishing, spam en malware domeinnamen.

Op basis van welke informatie zij domeinen blokkeren, konden we jammer genoeg niet vinden.

Website: www.cleanbrowsing.org

Comodo Secure DNS

Comodo, vooral bekend van de SSL/TLS certificaten, biedt ook een gratis gefilterde DNS-resolver aan sinds begin jaren 2000. Zij hebben hun DNS-infrastructuur in meer dan 25 landen staan (die zij niet opsommen). Voor het vinden van malafide domeinen vertrouwen zij op hun eigen Thread Intelligence Research Lab dat analyses doet in meer dan 190 laden wereldwijd.

Website: www.comodo.com/secure-dns

Publieke DNS-resolvers getest

We hebben een aantal publieke DNS-resolvers aan een test onderworpen waarbij we testen of zij gekende malware domeinen al dan niet resolven. Meer daarover in een volgend blogartikel!