DNS attack skaper problemer

 

Det kan bli dyrt å gjøre det enkelt. Det fikk en av våre kunder erfare da de satte systemet på offentlige IP-adresser.

Del:

Kontakt

– Morten M. Karlsen

Telefon: 48134487 morten@nettec.no

Det er fristende å gjøre det enkelt, «bare tildel Digi’n en offentlig IP-adresse og så NATer vi inn trafikken til vår enhet på LANet. Dere kan sikre trafikken med brannmur slik at ikke uvedkommende kommer seg inn». Det var oppdraget fra kunden.
Det er enkelt fordi man ikke har behov for VPN og man har tilgang så lenge man har tilgang til internett – men det er ikke bare eieren som har tilgang …

Behovet er at kunden trenger å styre PLSer i felt og disse skal kunne kommunisere med hverandre. Normalt skal kunden ikke koble seg opp, PLSene skal passe seg selv, det er kun ved endringer at kunden må logge seg på. Det er med andre ord behov for å koble seg til PLSene fra kontoret og det må være mulig for en «Master PLS» å styre en «Slave PLS».

Vi tettet tilgang utenfra i brannmuren og bare åpnet for port 443 som er https-trafikk til PLSene, men det var et problem:

Heldigvis overvåkes kommunikasjonen via vårt sky-system, Doppler, så en dag oppdaget vi unormalt høyt forbruk av trafikk på mobil-interfacet. Vi hører med kunden om dette kunne skyldes økt aktivitet fra PLEsene, eller en softwareoppdatering, men de fant ingen grunn til at det skulle gå mye data.  17. april gikk det over 2GB, så slik kunne det ikke fortsette.

Igjen, heldigvis, har Digi et utmerket verktøy for å spore trafikken og se hva som skjer og grunnen fant vi. Enheten ble rett og slett jammet ned av DNS-requester, og selv om dette ikke besvares var det tydeligvis en host der ute som hadde fått det for seg at «jeg pøser på med DNS-requester helt til noe skjer».

Vi kunne forsøkt å bytte IP-adresse slik at problemet ble borte en stund, men denne kunden har en del enheter så det ville vel bare vært et spørsmål om tid før problemet oppstod på nytt.

Løsningen ble derfor å få alle enhetene bort fra internett og inn i et lukket nett. For denne kunden ble det løst med å bruke Nettecs eksisterende infrastruktur for lukkede mobilnett (Privat APN eller Mobil Data Aksess, som noen liker å kalle det) og gi kunden tilgang inn i dette nettet ved hjelp av en VPN-tunnel. VPNet settes opp fra kunden hovedkontor, mens personell i felt har tilgang via en VPN-klient på PCen som brukes ved behov.

Det er ikke like enkelt lengre, men det er sikkert og vi får ingen flere overraskelser – kunden kan sove godt og vi kan sove godt.
Har du rutere som står på offentlige IP-adresser og kan bli offer for et hacker angrep?

 

Illustrasjonsfoto

 

Om Nettec

Nettec leverer nettverksutstyr og tjenester til kunder som er svært avhengig av pålitelig kommunikasjon. Derfor leverer vi kun de beste produktene, kombinert med høy kompetanse, og en support du kan forvente deg mye av – fordi «det er viktig at det fungerer!»
Vår personvernerklæring - GDPR

Kvalifisert Leverandør til Sellihca

Sellihca kvalifikasjonsordning og leverandørregister, er et unikt samarbeid mellom ledende nordiske energiorganisasjoner. Systemet brukes for å få informasjon om og gjøre utvalg av leverandører ved anskaffelser av varer og tjenester. Sellihca drives på oppdrag av de deltakende organisasjonene av Achilles.

© 2016 Nettec AS | Design og utvikling King Design & TYDE