ኩባንያው የሚያደርገው ምንም ይሁን ምን, ደህንነት የደህንነት እቅዱ ዋና አካል መሆን አለበት። የአውታረ መረብ አስተናጋጅ ስሞችን ወደ አይ ፒ አድራሻዎች የሚፈቱ የስም አገልግሎቶች፣ በአውታረ መረቡ ላይ ባሉ ሁሉም አፕሊኬሽኖች እና አገልግሎቶች ጥቅም ላይ ይውላሉ።
አንድ አጥቂ የድርጅቱን ዲ ኤን ኤስ ከተቆጣጠረ በቀላሉ የሚከተሉትን ማድረግ ይችላል፡-
- በሕዝብ ግዛት ውስጥ ባሉ ሀብቶች ላይ እራስዎን ይቆጣጠሩ
- ገቢ ኢሜይሎችን እንዲሁም የድር ጥያቄዎችን እና የማረጋገጫ ሙከራዎችን አዙር
- SSL/TLS ሰርተፊኬቶችን ይፍጠሩ እና ያረጋግጡ
ይህ መመሪያ የዲኤንኤስ ደህንነትን ከሁለት አቅጣጫዎች ይመለከታል፡-
- የዲ ኤን ኤስ የማያቋርጥ ቁጥጥር እና ቁጥጥር
- እንደ DNSSEC፣ DOH እና DoT ያሉ አዳዲስ የዲ ኤን ኤስ ፕሮቶኮሎች የሚተላለፉ የዲ ኤን ኤስ መጠይቆችን ታማኝነት እና ምስጢራዊነት ለመጠበቅ እንዴት እንደሚረዱ
የዲ ኤን ኤስ ደህንነት ምንድን ነው?
ለዲ ኤን ኤስ ደህንነት ጽንሰ-ሀሳብ ሁለት አስፈላጊ አካላት አሉ-
- የአውታረ መረብ አስተናጋጅ ስሞችን ወደ አይፒ አድራሻዎች የሚፈቱ የዲ ኤን ኤስ አገልግሎቶች አጠቃላይ ታማኝነት እና ተገኝነት ማረጋገጥ
- በአውታረ መረብዎ ውስጥ በማንኛውም ቦታ ሊሆኑ የሚችሉ የደህንነት ችግሮችን ለመለየት የዲ ኤን ኤስ እንቅስቃሴን ይቆጣጠሩ
ዲ ኤን ኤስ ለምን ለጥቃት የተጋለጠ ነው?
የዲ ኤን ኤስ ቴክኖሎጂ የተፈጠረው በመጀመሪያዎቹ የበይነመረብ ቀናት ነው፣ ማንም ስለ አውታረ መረብ ደህንነት እንኳን ሳያስብ ከረጅም ጊዜ በፊት። ዲ ኤን ኤስ ያለ ማረጋገጫ እና ምስጠራ ይሰራል፣ ከማንኛውም ተጠቃሚ የሚቀርቡ ጥያቄዎችን በጭፍን ያስተናግዳል።
በዚህ ረገድ ተጠቃሚውን ለማታለል ብዙ መንገዶች አሉ እና ስለ አይፒ አድራሻዎች የስም መፍታት በትክክል የት እንደሚከናወን የውሸት መረጃ።
የዲ ኤን ኤስ ደህንነት ጉዳዮች እና አካላት
የዲ ኤን ኤስ ደህንነት በርካታ መሰረታዊ ነገሮችን ያቀፈ ነው። ክፍሎችሙሉ ጥበቃን ለማረጋገጥ እያንዳንዳቸው ግምት ውስጥ መግባት አለባቸው-
- የአገልጋዮች እና የአስተዳደር ሂደቶችን ደህንነት ማጠናከር; የአገልጋይ ደህንነትን ይጨምሩ እና መደበኛ የኮሚሽን አብነት ይፍጠሩ
- የፕሮቶኮል ማሻሻያ፡- DNSSEC፣ DoT ወይም DoH መተግበር
- ትንታኔ እና ሪፖርት ማድረግ፡ ክስተቶችን በሚመረምርበት ጊዜ ለተጨማሪ አውድ የDNS ክስተት ምዝግብ ማስታወሻ ወደ የእርስዎ SIEM ስርዓት ያክሉ
- የሳይበር ኢንተለጀንስ እና ስጋት ማወቂያ፡- ገባሪ ስጋት የስለላ ምግብ ይመዝገቡ
- አውቶማቲክ፡ ሂደቶችን በራስ-ሰር ለማድረግ በተቻለ መጠን ብዙ ስክሪፕቶችን ይፍጠሩ
ከላይ ያሉት የከፍተኛ ደረጃ አካላት የዲ ኤን ኤስ ደህንነት የበረዶ ግግር ጫፍ ብቻ ናቸው። በሚቀጥለው ክፍል፣ ልታውቋቸው የሚፈልጓቸውን የአጠቃቀም ጉዳዮችን እና ምርጥ ተሞክሮዎችን በዝርዝር እንመለከታለን።
በዲ ኤን ኤስ ላይ ጥቃቶች
- : ተጠቃሚዎችን ወደ ሌላ ቦታ ለማዞር የዲ ኤን ኤስ መሸጎጫውን ለመቆጣጠር የስርዓት ተጋላጭነትን በመጠቀም
- : በዋናነት የርቀት ግንኙነት ጥበቃዎችን ለማለፍ ይጠቅማል
- የዲ ኤን ኤስ መጥለፍ የጎራ መዝጋቢውን በመቀየር መደበኛውን የዲ ኤን ኤስ ትራፊክ ወደ ሌላ ኢላማ ዲ ኤን ኤስ አገልጋይ በማዞር
- NXDOMAIN ጥቃት፡- የግዳጅ ምላሽ ለማግኘት ህገወጥ የጎራ መጠይቆችን በመላክ ስልጣን ባለው የዲ ኤን ኤስ አገልጋይ ላይ የ DDoS ጥቃትን ማካሄድ
- ምናባዊ ጎራ፡ የዲ ኤን ኤስ ፈላጊው ከሌሉ ጎራዎች ምላሽ እንዲጠብቅ ያደርገዋል፣ ይህም ደካማ አፈጻጸምን ያስከትላል
- በዘፈቀደ ንዑስ ጎራ ላይ ጥቃት; የተጠለፉ አስተናጋጆች እና botnets DDoS የቀጥታ ጎራ ነው፣ ነገር ግን የዲ ኤን ኤስ አገልጋይ ፍለጋዎችን እንዲመዘግብ እና አገልግሎቱን እንዲቆጣጠር ለማስገደድ በሐሰተኛ ንዑስ ጎራዎች ላይ እሳት ላይ ያተኩሩ።
- ጎራ ማገድ፡ የዲ ኤን ኤስ አገልጋይ ሃብቶችን ለማገድ ብዙ አይፈለጌ መልዕክቶችን እየላከ ነው።
- የቦትኔት ጥቃት ከተጠቃሚ መሳሪያዎች: በአንድ የተወሰነ ድረ-ገጽ ላይ የማስኬጃ ሃይልን የሚያተኩሩ የኮምፒዩተሮች፣ ሞደሞች፣ ራውተሮች እና ሌሎች መሳሪያዎች ከትራፊክ ጥያቄዎች ጋር ከመጠን በላይ ለመጫን
የዲ ኤን ኤስ ጥቃቶች
ሌሎች ስርዓቶችን ለማጥቃት በሆነ መንገድ ዲኤንኤስን የሚጠቀሙ ጥቃቶች (ማለትም የዲ ኤን ኤስ መዝገቦችን መቀየር የመጨረሻው ግብ አይደለም)
- ፈጣን ፍሰት
- ነጠላ ፍሰት አውታረ መረቦች
- ባለሁለት ፍሉክስ አውታረ መረቦች
በዲ ኤን ኤስ ላይ ጥቃቶች
አጥቂ ከዲኤንኤስ አገልጋይ የሚፈልገውን የአይፒ አድራሻ የሚመልሱ ጥቃቶች፡-
- የዲ ኤን ኤስ ማፈን ወይም መሸጎጫ መመረዝ
- የዲ ኤን ኤስ መጥለፍ
DNSSEC ምንድን ነው?
DNSSEC - የጎራ ስም የአገልግሎት ደህንነት ሞጁሎች - ለእያንዳንዱ የተለየ የዲ ኤን ኤስ ጥያቄ አጠቃላይ መረጃን ሳያውቁ የዲ ኤን ኤስ መዝገቦችን ለማረጋገጥ ያገለግላሉ።
DNSSEC የጎራ ስም መጠይቅ ውጤቶች ከትክክለኛ ምንጭ መሆናቸውን ለማረጋገጥ ዲጂታል ፊርማ ቁልፎችን (PKI) ይጠቀማል።
DNSSECን መተግበር የኢንዱስትሪ ምርጥ ተሞክሮ ብቻ ሳይሆን አብዛኞቹን የዲ ኤን ኤስ ጥቃቶች በሚገባ ያስወግዳል።
DNSSEC እንዴት እንደሚሰራ
DNSSEC ከTLS/HTTPS ጋር በተመሳሳይ መልኩ ይሰራል፣የዲኤንኤስ መዝገቦችን በዲጂታል ለመፈረም የህዝብ/የግል ቁልፍ ጥንዶችን በመጠቀም። የሂደቱ አጠቃላይ እይታ:
- የዲ ኤን ኤስ መዝገቦች ከግል እና ከግል ቁልፍ ጥንድ ጋር ተፈርመዋል
- ለDNSSEC ጥያቄዎች ምላሾች የተጠየቀውን ግቤት፣ እንዲሁም ፊርማ እና የህዝብ ቁልፉን ይይዛሉ
- እንግዲህ የመዝገብ እና የፊርማ ትክክለኛነት ለማነፃፀር ያገለግል ነበር።
የዲ ኤን ኤስ ደህንነት እና DNSSEC
DNSSEC የዲኤንኤስ መጠይቆችን ትክክለኛነት ለመፈተሽ መሳሪያ ነው። የዲ ኤን ኤስ ግላዊነትን አይጎዳውም. በሌላ አነጋገር፣ DNSSEC ለዲ ኤን ኤስ መጠይቅዎ መልሱ ያልተጣራ እንዳልሆነ በራስ መተማመን ይሰጥዎታል፣ ነገር ግን ማንኛውም አጥቂ ወደ እርስዎ እንደተላኩ ውጤቶቹን ማየት ይችላል።
DoT - ዲ ኤን ኤስ በTLS ላይ
የትራንስፖርት ንብርብር ደህንነት (TLS) በአውታረ መረብ ግንኙነት የሚተላለፉ መረጃዎችን ለመጠበቅ ምስጠራ ፕሮቶኮል ነው። በደንበኛው እና በአገልጋዩ መካከል ደህንነቱ የተጠበቀ የTLS ግንኙነት ከተፈጠረ በኋላ የተላለፈው መረጃ ተመስጥሯል እና ምንም አማላጆች ሊያዩት አይችሉም።
ኤችቲቲፒ አገልጋዮችን ለመጠበቅ ጥያቄዎች በሚላኩበት ጊዜ በአብዛኛው እንደ HTTPS (SSL) አካል በድር አሳሽዎ ውስጥ ጥቅም ላይ ይውላል።
DNS-over-TLS (DNS over TLS፣ DoT) የUDP ትራፊክን ለመደበኛ የዲ ኤን ኤስ መጠይቆች ለማመስጠር TLS ፕሮቶኮሉን ይጠቀማል።
እነዚህን ጥያቄዎች ግልጽ በሆነ ጽሑፍ ማመስጠር ጥያቄዎቹን የሚጠይቁትን ተጠቃሚዎችን ወይም መተግበሪያዎችን ከብዙ ጥቃቶች ለመጠበቅ ይረዳል።
- ሚትኤም፣ ወይም "በመካከል ያለ ሰው"ምስጠራ ከሌለ በደንበኛው እና በባለስልጣኑ ዲ ኤን ኤስ አገልጋይ መካከል ያለው መካከለኛ ስርዓት ለደንበኛው ለተጠየቀው ምላሽ የውሸት ወይም አደገኛ መረጃ ሊልክ ይችላል
- ስለላ እና ክትትልያለጥያቄ ምስጠራ፣ አንድ የተወሰነ ተጠቃሚ ወይም አፕሊኬሽን የትኛውን ድረ-ገጽ እየደረሰ እንደሆነ ለሽምግልና ሲስተሞች ለማየት ቀላል ነው። ምንም እንኳን በጣቢያው ላይ የተጎበኘውን የተወሰነ ገጽ ከዲኤንኤስ ብቻ ማወቅ ባይቻልም የተጠየቁትን ጎራዎች ማወቅ የስርዓት ወይም የግለሰብ መገለጫ ለመፍጠር በቂ ነው።
ምንጭ:
ዶኤች - ዲ ኤን ኤስ በ HTTPS ላይ
DNS-over-HTTPS (DNS over HTTPS፣ DoH) በሞዚላ እና በGoogle በጋራ የሚያስተዋውቅ የሙከራ ፕሮቶኮል ነው። ግቦቹ ከዶቲ ፕሮቶኮል ጋር ተመሳሳይ ናቸው - የዲኤንኤስ ጥያቄዎችን እና ምላሾችን በማመስጠር የሰዎችን ግላዊነት በበይነ መረብ ላይ ማሻሻል።
መደበኛ የዲ ኤን ኤስ መጠይቆች በUDP በኩል ይላካሉ። ጥያቄዎች እና ምላሾች እንደ መሳሪያዎች በመጠቀም መከታተል ይችላሉ። . ዶቲ እነዚህን ጥያቄዎች ያመስጥራቸዋል፣ ነገር ግን አሁንም በኔትወርኩ ላይ በትክክል የተለየ የUDP ትራፊክ እንደሆኑ ተለይተዋል።
ዶኤች ሌላ አካሄድ ወስዶ ኢንክሪፕትድ የተደረገ የአስተናጋጅ ስም ጥራት ጥያቄዎችን በ HTTPS ግንኙነቶች ላይ እንደማንኛውም በአውታረ መረቡ ላይ የሚቀርብ ጥያቄ ይልካል።
ይህ ልዩነት ለሁለቱም የስርዓት አስተዳዳሪዎች እና ለወደፊቱ የስም መፍታት በጣም አስፈላጊ አንድምታዎች አሉት።
- የዲ ኤን ኤስ ማጣሪያ ተጠቃሚዎችን ከአስጋሪ ጥቃቶች፣ ከማልዌር ድረ-ገጾች ወይም በኮርፖሬት አውታረመረብ ላይ ጎጂ ሊሆኑ ከሚችሉ የበይነመረብ እንቅስቃሴዎች ለመጠበቅ የድር ትራፊክን ለማጣራት የተለመደ መንገድ ነው። የDoH ፕሮቶኮል እነዚህን ማጣሪያዎች ያልፋል፣ ይህም ተጠቃሚዎችን እና አውታረ መረቡን ለከፍተኛ አደጋ ሊያጋልጥ ይችላል።
- አሁን ባለው የስም ጥራት ሞዴል፣ በአውታረ መረቡ ላይ ያለው እያንዳንዱ መሳሪያ፣ በተወሰነ ደረጃ፣ ከተመሳሳይ ቦታ (ከተጠቀሰው የዲ ኤን ኤስ አገልጋይ) የዲ ኤን ኤስ ጥያቄዎችን ይቀበላል። ዶኤች እና በተለይም የፋየርፎክስ አተገባበር ይህ ወደፊት ሊለወጥ እንደሚችል ያሳያል። በኮምፒዩተር ላይ ያለ እያንዳንዱ መተግበሪያ ከተለያዩ የዲ ኤን ኤስ ምንጮች መረጃ ማግኘት ይችላል፣ ይህም መላ መፈለግን፣ ደህንነትን እና የአደጋን ሞዴል መስራት የበለጠ ከባድ ያደርገዋል።
ምንጭ:
ዲ ኤን ኤስ በTLS እና ዲ ኤን ኤስ በ HTTPS መካከል ያለው ልዩነት ምንድን ነው?
በዲኤንኤስ በTLS (DoT) እንጀምር። እዚህ ያለው ትኩረት ዋናው የዲ ኤን ኤስ ፕሮቶኮል አልተሻሻለም ነገር ግን በቀላሉ ደህንነቱ በተጠበቀ ቻናል ላይ ደህንነቱ በተጠበቀ ሁኔታ መተላለፉ ነው። ዶኤች ጥያቄዎችን ከማቅረቡ በፊት ዲ ኤን ኤስን በኤችቲቲፒ ቅርጸት ያስቀምጣል።
የዲ ኤን ኤስ ክትትል ማንቂያዎች
በአውታረ መረብዎ ላይ ያለውን የዲኤንኤስ ትራፊክ አጠራጣሪ ጉድለቶችን በብቃት መከታተል መቻል ጥሰትን ቀደም ብሎ ለመለየት ወሳኝ ነው። እንደ ቫሮኒስ ኤጅ ያለ መሳሪያ መጠቀም በሁሉም አስፈላጊ መለኪያዎች ላይ እንዲቆዩ እና በአውታረ መረብዎ ላይ ለእያንዳንዱ መለያ መገለጫዎችን ለመፍጠር ችሎታ ይሰጥዎታል። በተወሰነ ጊዜ ውስጥ በተከሰቱ የድርጊት ጥምር ውጤት የተነሳ የሚፈጠሩ ማንቂያዎችን ማዘጋጀት ይችላሉ።
የዲ ኤን ኤስ ለውጦችን፣ የመለያ መገኛ ቦታዎችን እና ለመጀመሪያ ጊዜ መጠቀም እና ሚስጥራዊ መረጃዎችን ማግኘት እና ከሰዓታት ውጪ ያሉ እንቅስቃሴዎችን መከታተል ሰፋ ያለ የማወቂያ ምስል ከመገንባት ጋር ሊነጻጸሩ ከሚችሉት መለኪያዎች ጥቂቶቹ ናቸው።
ምንጭ: hab.com