ProHoster > Blog > administrasie > DNS-sekuriteitsgids

DNS-sekuriteitsgids

DNS-sekuriteitsgids

Wat die maatskappy ook al doen, sekuriteit DNS behoort 'n integrale deel van sy sekuriteitsplan te wees. Naamdienste, wat netwerkgasheername na IP-adresse oplos, word deur letterlik elke toepassing en diens op die netwerk gebruik.

As 'n aanvaller beheer oor 'n organisasie se DNS verkry, kan hulle maklik:

  • gee jouself beheer oor die hulpbronne wat in die publieke domein is
  • herlei inkomende e-posse sowel as webversoeke en verifikasiepogings
  • skep en valideer SSL/TLS-sertifikate

Hierdie gids kyk na DNS-sekuriteit vanuit twee perspektiewe:

  1. Deurlopende monitering en beheer van die DNS
  2. Hoe nuwe DNS-protokolle soos DNSSEC, DOH en DoT kan help om die integriteit en vertroulikheid van gestuurde DNS-navrae te beskerm

Wat is DNS-sekuriteit?

DNS-sekuriteitsgids

Daar is twee belangrike komponente van die konsep van DNS-sekuriteit:

  1. Versekering van die algehele integriteit en beskikbaarheid van DNS-dienste wat netwerkgasheername na IP-adresse omskakel
  2. Monitor DNS-aktiwiteit om potensiële sekuriteitskwessies op enige plek op jou netwerk te identifiseer

Waarom is DNS kwesbaar vir aanval?

DNS-tegnologie is in die vroeë dae van die internet geskep, lank voordat iemand eers aan netwerksekuriteit gedink het. DNS werk sonder verifikasie en enkripsie, en verwerk blindelings versoeke van enige gebruiker.

In hierdie verband is daar baie maniere om die gebruiker te mislei en vals inligting oor waar die resolusie van name na IP-adresse werklik uitgevoer word.

DNS-sekuriteitskwessies en -komponente

DNS-sekuriteitsgids

DNS-sekuriteit bestaan ​​uit verskeie basiese komponente, wat elkeen in ag geneem moet word om volle beskerming te verseker:

  • Versterking van die sekuriteit van bedieners en bestuursprosedures: verhoog bedienersekuriteit en skep 'n standaard ingebruiknemingsjabloon
  • Protokol verbetering: implementeer DNSSEC, DoT of DoH
  • Ontleding en verslagdoening: voeg 'n DNS-gebeurtenislogboek by jou SIEM-stelsel vir bykomende konteks wanneer voorvalle ondersoek word
  • Kuber-intelligensie en bedreigingsopsporing: teken in op 'n aktiewe bedreigingsintelligensie-feed
  • Outomatisering: skep soveel skrifte as moontlik om prosesse te outomatiseer

Bogenoemde hoëvlakkomponente is net die punt van die DNS-sekuriteitysberg. In die volgende afdeling gaan ons nader kyk na meer spesifieke gebruiksgevalle en beste praktyke waarvan u bewus moet wees.

Aanvalle op DNS

DNS-sekuriteitsgids

  • DNS-spoofing of kasvergiftiging: die uitbuiting van 'n stelselkwesbaarheid om die DNS-kas te manipuleer om gebruikers na 'n ander ligging te herlei
  • DNS tonnel: hoofsaaklik gebruik om afstandverbindingbeskermings te omseil
  • DNS-onderskepping: herlei normale DNS-verkeer na 'n ander teiken-DNS-bediener deur die domeinregistrateur te verander
  • NXDOMAIN aanval: 'n DDoS-aanval op 'n gesaghebbende DNS-bediener uit te voer deur onwettige domeinnavrae te stuur om 'n gedwonge reaksie te kry
  • spookdomein: veroorsaak dat die DNS-oplosser wag vir 'n reaksie van nie-bestaande domeine, wat lei tot swak werkverrigting
  • aanval op 'n ewekansige subdomein: gekapte gashere en botnets DDoS 'n lewendige domein, maar fokus vuur op vals subdomeine om die DNS-bediener te dwing om rekords op te soek en beheer oor die diens te neem
  • domein blokkering: stuur baie strooiposreaksies om DNS-bedienerhulpbronne te blokkeer
  • Botnet-aanval vanaf gebruikertoerusting: versameling van rekenaars, modems, routers en ander toestelle wat verwerkingskrag op 'n spesifieke webwerf konsentreer om dit te oorlaai met verkeersversoeke

DNS-aanvalle

Aanvalle wat DNS op een of ander manier gebruik om ander stelsels aan te val (d.w.s. die verandering van DNS-rekords is nie die einddoel nie):

  • Vinnige Flux
  • Enkelstroomnetwerke
  • Dual Flux Networks
  • DNS tonnel

Aanvalle op DNS

Aanvalle wat 'n IP-adres terugstuur wat 'n aanvaller benodig vanaf 'n DNS-bediener:

  • DNS-spoofing of kasvergiftiging
  • DNS-onderskepping

Wat is DNSSEC?

DNS-sekuriteitsgids

DNSSEC - Domain Name Service Security Modules - word gebruik om DNS-rekords te valideer sonder om die algemene inligting vir elke spesifieke DNS-versoek te ken.

DNSSEC gebruik Digital Signature Keys (PKI) om te verifieer dat die resultate van 'n domeinnaam-navraag van 'n geldige bron afkomstig is.
Die implementering van DNSSEC is nie net 'n beste praktyk in die bedryf nie, maar vermy ook effektief die meeste DNS-aanvalle.

Hoe DNSSEC werk

DNSSEC werk soortgelyk aan TLS/HTTPS, deur publieke/private sleutelpare te gebruik om DNS-rekords digitaal te onderteken. Algemene oorsig van die proses:

  1. DNS-rekords word onderteken met 'n private en private sleutelpaar
  2. Antwoorde op DNSSEC-navrae bevat die gevraagde inskrywing, sowel as die handtekening en publieke sleutel
  3. Dan publieke sleutel gebruik om die egtheid van 'n rekord en 'n handtekening te vergelyk

DNS-sekuriteit en DNSSEC

DNS-sekuriteitsgids

DNSSEC is 'n instrument om die integriteit van DNS-navrae na te gaan. Dit beïnvloed nie DNS-privaatheid nie. Met ander woorde, DNSSEC kan jou die vertroue gee dat die antwoord op jou DNS-navraag nie bedrieglik is nie, maar enige aanvaller kan die resultate sien soos dit aan jou gestuur is.

DoT - DNS oor TLS

Transport Layer Security (TLS) is 'n kriptografiese protokol vir die beskerming van inligting wat oor 'n netwerkverbinding versend word. Sodra 'n veilige TLS-verbinding tussen die kliënt en die bediener tot stand gebring is, word die oorgedra data geïnkripteer en geen tussengangers kan dit sien nie.

TLS mees algemeen gebruik as deel van HTTPS (SSL) in jou webblaaier aangesien versoeke na veilige HTTP-bedieners gestuur word.

DNS-oor-TLS (DNS oor TLS, DoT) gebruik die TLS-protokol om UDP-verkeer vir normale DNS-navrae te enkripteer.
Deur hierdie versoeke in gewone teks te enkripteer, help dit om die gebruikers of toepassings wat die versoeke rig, teen veelvuldige aanvalle te beskerm.

  • MitM, of "man in die middel": sonder enkripsie kan 'n tussenstelsel tussen die kliënt en 'n gesaghebbende DNS-bediener moontlik vals of gevaarlike inligting na die kliënt stuur in reaksie op 'n versoek
  • Spioenasie en opsporing: Sonder versoekenkripsie is dit maklik vir intermediêre stelsels om te sien watter webwerwe 'n spesifieke gebruiker of toepassing toegang verkry. Alhoewel dit nie moontlik sal wees om die spesifieke bladsy wat op die webwerf besoek word vanaf DNS alleen te ken nie, is dit genoeg om die gevraagde domeine te ken om 'n profiel van 'n stelsel of 'n individu te vorm.

DNS-sekuriteitsgids
Bron: Universiteit van Kalifornië Irvine

DoH - DNS oor HTTPS

DNS-oor-HTTPS (DNS oor HTTPS, DoH) is 'n eksperimentele protokol wat gesamentlik deur Mozilla en Google bevorder word. Die doelwitte daarvan is soortgelyk aan die DoT-protokol - om die privaatheid van mense op die internet te verbeter deur DNS-versoeke en -antwoorde te enkripteer.

Standaard DNS-navrae word oor UDP gestuur. Versoeke en antwoorde kan opgespoor word met behulp van gereedskap soos Wireshark. DoT enkripteer hierdie versoeke, maar hulle word steeds geïdentifiseer as redelik duidelike UDP-verkeer op die netwerk.

DoH neem 'n ander benadering en stuur geënkripteerde gasheernaam-resolusieversoeke oor HTTPS-verbindings wat soos enige ander webversoek oor die netwerk lyk.

Hierdie onderskeid het baie belangrike implikasies vir beide stelseladministrateurs en toekomstige naamresolusie.

  1. DNS-filtrering is 'n algemene manier om webverkeer te filter om gebruikers te beskerm teen uitvissing-aanvalle, wanwarewebwerwe of ander potensieel skadelike internetaktiwiteit op 'n korporatiewe netwerk. Die DoH-protokol omseil hierdie filters, wat gebruikers en die netwerk moontlik aan groter risiko blootstel.
  2. In die huidige naamresolusiemodel ontvang elke toestel op die netwerk, tot 'n mate, DNS-versoeke vanaf dieselfde plek (van 'n gespesifiseerde DNS-bediener). DoH, en veral Firefox se implementering daarvan, wys dat dit in die toekoms kan verander. Elke toepassing op 'n rekenaar kan data van verskillende DNS-bronne verkry, wat probleemoplossing, sekuriteit en risikomodellering baie moeiliker maak.

DNS-sekuriteitsgids
Bron: www.varonis.com/blog/what-is-powershell

Wat is die verskil tussen DNS oor TLS en DNS oor HTTPS?

Kom ons begin met DNS oor TLS (DoT). Die fokus hier is dat die oorspronklike DNS-protokol nie gewysig word nie, maar bloot veilig oor 'n veilige kanaal versend word. DoH plaas DNS in HTTP-formaat voordat versoeke gemaak word.

DNS monitering waarskuwings

DNS-sekuriteitsgids

Om DNS-verkeer op u netwerk effektief te kan monitor vir verdagte afwykings, is van kritieke belang vir die vroeë opsporing van 'n oortreding. Die gebruik van 'n instrument soos Varonis Edge sal jou die vermoë gee om op hoogte te bly van al die belangrike maatstawwe en profiele te skep vir elke rekening op jou netwerk. U kan waarskuwings opstel om gegenereer te word as gevolg van 'n kombinasie van aksies wat oor 'n tydperk plaasvind.

Monitering van DNS-veranderinge, rekeningliggings en die eerste keer gebruik en toegang tot sensitiewe data, en buite-uurse aktiwiteit is slegs 'n paar van die maatstawwe wat vergelyk kan word om 'n breër prentjie van opsporing te bou.

Bron: will.com

Voeg 'n opmerking