DNS-servers als beveiligingslaag op je netwerk

Leer hoe DNS-servers je gemakkelijk en gratis kunnen helpen bij het beveiligen van jouw zakelijk en privaat netwerk.

DNS-servers als beveiligingslaag op je netwerk

Om je zakelijk of privé netwerk te beveiligen, bestaan er tal van oplossingen op allerlei niveau's. Denk maar aan hardwarematige firewalls, netwerksegmentatie en Endpoint Detection and Response (EDR) software, om er maar enkele te noemen. Het volstaat al lang niet meer om volledig in te zetten op slechts 1 beveiligingsoplossing; beveiliging moet op verschillende lagen toegepast worden.

Een van die lagen is DNS. DNS (Domain Name Service) zorgt voor de vertaling van een domeinnaam naar een IP-adres. Zo is het eenvoudiger om het domein www.nexxwave.be te onthouden in plaats van het IP-adres 167.235.239.216.

DNS-resolvers als vertaalmachines

Om de domeinnamen naar een IP-adres te vertalen, gebruikt je computer een zogenaamde DNS-resolver. Dat is een server die op internet op zoek gaat naar het IP-adres dat hoort bij de domeinnaam die jouw computer opvraagt als je bijvoorbeeld op internet surft. Deze DNS-resolver doet de vertaling van bijvoorbeeld domeinnaam www.nexxwave.be naar IP-adres 167.235.239.216.

Standaard gebruik je de DNS-resolvers van je internet provider (zoals Telenet of Proximus). En die werken prima. Daarnaast bestaan er nog tal van andere publieke DNS-resolvers die je kan gebruiken. Misschien heb je al gehoord van 'Google Public DNS' of 'Cloudflare DNS' of 'OpenDNS'.

Wat is het probleem?

Met DNS als protocol op zich, is er niet direct een probleem. Maar de server waarnaar een domeinnaam verwijst, kan malware bevatten. Denk bijvoorbeeld aan reacties die (onbekenden) geven als review op een product of op social media of forum posts en daarbij linken naar een malafide website. Zodra je die website bezoekt, kan je computer geïnfecteerd raken. Je lokale EDR-software zal dat dan - hopelijk - wel opmerken en de malware blokkeren. Maar nog beter is om gewoonweg niet op de malafide website terecht te komen, toch?

Of een ander voorbeeld: je hebt een aantal leuke IoT gadgets die je - uiteraard - aangesloten hebt op internet. Zijn die gadgets altijd zo betrouwbaar? En wat als ze gehacked worden? Dan kunnen ze verbinding maken met Command and Control (C&C) servers die jouw gadgets, zonder dat je het weet, gebruiken voor niet zo legale doeleinden.

Het gevaar van DNS-resolvers

DNS-resolvers vertalen alle opgevraagde domeinnamen naar IP-adressen zodat jouw computer verbinding kan maken met de gewenste website. Jouw computer en de DNS-resolver hebben er geen idee van of de opgevraagde website al dan niet malware bevat.

Klik je bijvoorbeeld onbewust op een link die verwijst naar een malafide website, dan zal je DNS-resolver met alle plezier zorgen voor de vertaling van de domeinnaam naar het IP-adres van die malafide website. Je DNS-resolver maakt met andere woorden geen onderscheid tussen 'goede' en 'slechte' websites.

De oplossing: DNS-resolvers die filteren op malafide websites

Als oplossing hiervoor kan je gebruik maken van DNS-resolvers die malafide domeinnamen herkennen en niet vertalen naar een IP-adres. Daardoor mag je nog zoveel klikken op een link die verwijst naar een malafide website, er zal dan geen vertaling naar het IP-adres gebeuren en jouw computer zal nooit op die malafide website terecht kunnen komen. Dat heet DNS-filtering.

Publieke en private DNS-filtering

Er bestaan verschillende publieke DNS-resolvers die DNS-filtering toepassen. Deze publieke DNS-resolvers kunnen vrij gebruikt worden. Twee grote namen zijn bijvoorbeeld 'Quad9' en 'Cloudflare for families'.

📢
De DNS-resolvers van jouw internetprovider passen geen DNS-filtering toe.

Naast publieke DNS-filtering resolvers bestaan ook betalende private DNS-filtering resolvers. Ook daarvan zijn er verschillende aanbieders, zoals bijvoorbeeld 'Cisco Umbrella', 'OpenDNS', Cloudflare Zero Trust Platform' en 'NextDNS'. Deze betalende providers hebben meestal pakketten voor thuisgebruik en voor bedrijven.

Het verschil tussen de gratis en de betalende DNS-filtering resolvers, is dat je bij de gratis diensten hun aanbod moet nemen "as is". Bij de betalende providers kan je zelf invloed uitoefenen op de domeinnamen die geblokkeerd moeten worden; zo kan je domeinnamen op een whitelist plaatsen en extra domeinen aan een blacklist toevoegen. Bij de betalende providers heb je ook extra opties die je kan inschakelen, zoals het blokkeren van advertenties, porno, gokken, video streaming, specifieke TLD's (domein-extensies zoals .com), enz.

Censuur als gevaar van DNS-filtering

DNS-filtering om malware websites te blokkeren en jouw computer of netwerk te beschermen, dat is fantastisch. Maar als de DNS-resolver op die manier malafide websites kan blokkeren, dan kan hij natuurlijk ook websites blokkeren die niet aan zijn filosofie voldoet. Of dat hij door overheidswege of door een gerechtelijk bevel bepaalde domeinen moet blokkeren - en dan dreigt censuur om de hoek.

Zo leert ons een rechtszaak die in 2022 door Sony aangespannen werd tegen de publieke DNS-resolver Quad9 omdat laatstgenoemde een bepaalde domeinnaam vertaalde die volgens Sony inbreuk maakt op zijn copyright. Het gerecht heeft Quad9 uiteindelijk verplicht om de desbetreffende website te blokkeren.

Publieke DNS-resolvers getest

We hebben een test gedaan waarbij we verschillende publieke DNS-resolvers met elkaar vergeleken hebben. We hebben een lijst met 130.101 gekende malafide domeinnamen erbij genomen. Van de 130.101 websites bleken er uiteindelijk nog 44.542 effectief bereikbaar te zijn. Deze 44.542 domeinen hebben we elk aan de DNS-resolvers aangeboden om de vertaalslag te maken.

Onderstaande lijst geeft aan hoeveel procent van de malafide domeinen door de DNS-resolver succesvol als "malafide" herkend en bijgevolg niet vertaald werden. Dus zoveel te hoger de score, zoveel te beter.

Conclusie

Uit deze test blijkt dat de DNS-resolvers van de internetproviders Telenet en Proximus erg slecht scoren, evenals de DNS-servers van Google. Dat is niet abnormaal, want zij passen geen DNS-filtering toe.

De DNS-resolver van Comodo scoort slechts 0,09% alsook de bekende 'Cloudflare for Families' scoort met 13,12% ondermaats. Dat is frappant, want beide providers passen wel DNS-filtering tegen malware toe.

👍
Zowel Quad9 als CleanBrowsing scoren goed. dns0.eu komt het beste uit deze test.

Hoe pas je je eigen DNS-resolver aan?

Je DNS-resolver kan je op meerdere plaatsen aanpassen: op je DHCP-server, op je router of op je lokale computer. Een voordeel om dit op bv. je router aan te passen, is dat automatisch alle computers in je netwerk dan gebruik maken van de door jouw gekozen DNS-resolver. Pas je dit op je eigen computer aan, dan maakt enkel jouw computer gebruik van de gekozen DNS-resolver, maar niet al je andere computers of smart devices.

Welke stappen je precies moet volgen om dit aan te passen, is afhankelijk van je besturingssysteem. dns0.eu heeft voor de meest voorkomende een goede Nederlandstalig stappenplan geschreven. Zij gebruiken uiteraard de IP-adressen van hun eigen DNS-resolvers als voorbeeld, maar je kiest natuurlijk zelf de IP-adressen van de DNS-resolvers die jij wilt gebruiken. Een meer uitgebreide Engelstalige handleiding vind je op Quad9.

Wij zijn een grote voorstander om dit op het niveau van de firewall / router te configureren. Het nadeel hiervan is dat wanneer een laptop buiten het bedrijfsnetwerk gebruikt wordt, deze de veilige DNS-servers niet meer gebruikt. Voor zakelijke omgevingen adviseren we dan ook sterk het gebruik van een betalende DNS-resolver die dit per beheerd apparaat kan afdwingen.

💡
Heb je hulp nodig bij de keuze van een DNS-resolver of bij de configuratie ervan op je netwerk? Neem dan gerust contact met ons op!