ProHoster > بلوق > إدارة > دليل أمان DNS

دليل أمان DNS

دليل أمان DNS

مهما فعلت الشركة ، الأمن DNS يجب أن تكون جزءًا لا يتجزأ من خطتها الأمنية. تُستخدم خدمات الأسماء ، التي تحل أسماء مضيفي الشبكة إلى عناوين IP ، حرفياً بواسطة كل تطبيق وخدمة على الشبكة.

إذا تمكن المهاجم من السيطرة على DNS الخاص بالمؤسسة ، فيمكنه بسهولة:

  • امنح نفسك السيطرة على الموارد الموجودة في المجال العام
  • إعادة توجيه رسائل البريد الإلكتروني الواردة وكذلك طلبات الويب ومحاولات المصادقة
  • إنشاء والتحقق من صحة شهادات SSL / TLS

يبحث هذا الدليل في أمان DNS من منظورين:

  1. المراقبة والتحكم المستمر في DNS
  2. كيف يمكن لبروتوكولات DNS الجديدة مثل DNSSEC و DOH و DoT أن تساعد في حماية سلامة وسرية استعلامات DNS المرسلة

ما هو أمن DNS؟

دليل أمان DNS

هناك مكونان مهمان لمفهوم أمان DNS:

  1. ضمان التكامل العام وتوافر خدمات DNS التي تحل أسماء مضيف الشبكة لعناوين IP
  2. راقب نشاط DNS لتحديد مشكلات الأمان المحتملة في أي مكان على شبكتك

لماذا يكون DNS عرضة للهجوم؟

تم إنشاء تقنية DNS في الأيام الأولى للإنترنت ، قبل وقت طويل من التفكير في أمان الشبكة. يعمل DNS بدون مصادقة وتشفير ، ويعالج الطلبات بشكل أعمى من أي مستخدم.

في هذا الصدد ، هناك العديد من الطرق لخداع المستخدم والمعلومات المزيفة حول مكان إجراء تحليل الأسماء لعناوين IP بالفعل.

مشكلات ومكونات أمان DNS

دليل أمان DNS

يتكون أمان DNS من عدة عناصر أساسية مكونات، يجب أخذ كل منها بعين الاعتبار لضمان الحماية الكاملة:

  • تعزيز أمن الخوادم وإجراءات الإدارة: زيادة أمان الخادم وإنشاء نموذج قياسي للتكليف
  • تحسين البروتوكول: تنفيذ DNSSEC أو DoT أو DoH
  • التحليلات والتقارير: أضف سجل أحداث DNS إلى نظام SIEM للحصول على سياق إضافي عند التحقيق في الحوادث
  • الذكاء السيبراني واكتشاف التهديدات: الاشتراك في موجز معلومات التهديدات النشطة
  • أتمتة: إنشاء أكبر عدد ممكن من البرامج النصية لأتمتة العمليات

المكونات عالية المستوى المذكورة أعلاه ليست سوى غيض من فيض أمان DNS. في القسم التالي ، سنلقي نظرة فاحصة على حالات استخدام أكثر تحديدًا وأفضل الممارسات التي يجب أن تكون على دراية بها.

الهجمات على DNS

دليل أمان DNS

  • انتحال DNS أو إفساد ذاكرة التخزين المؤقت: استغلال ثغرة في النظام لمعالجة ذاكرة التخزين المؤقت لنظام أسماء النطاقات لإعادة توجيه المستخدمين إلى موقع آخر
  • نفق DNS: تستخدم بشكل رئيسي لتجاوز حماية الاتصال عن بعد
  • اعتراض DNS: إعادة توجيه حركة مرور DNS العادية إلى خادم DNS هدف آخر عن طريق تغيير مسجل المجال
  • هجوم NXDOMAIN: إجراء هجوم DDoS على خادم DNS موثوق عن طريق إرسال استعلامات مجال غير شرعية للحصول على استجابة قسرية
  • المجال الوهمي: يتسبب في انتظار محلل DNS للاستجابة من المجالات غير الموجودة ، مما يؤدي إلى ضعف الأداء
  • الهجوم على مجال فرعي عشوائي: المضيفون المخترقون و botnets DDoS هو مجال مباشر ولكن يركز إطلاق النار على نطاقات فرعية خاطئة لإجبار خادم DNS على البحث عن السجلات والتحكم في الخدمة
  • حظر المجال: يرسل الكثير من ردود البريد العشوائي لحظر موارد خادم DNS
  • هجوم البوت نت من معدات المستخدم: مجموعة من أجهزة الكمبيوتر وأجهزة المودم وأجهزة التوجيه والأجهزة الأخرى التي تركز قوة المعالجة على موقع ويب معين لزيادة تحميله بطلبات المرور

هجمات DNS

الهجمات التي تستخدم DNS بطريقة ما لمهاجمة الأنظمة الأخرى (أي أن تغيير سجلات DNS ليس الهدف النهائي):

  • التدفق السريع
  • شبكات التدفق الأحادي
  • شبكات التدفق المزدوج
  • نفق DNS

الهجمات على DNS

الهجمات التي تُعيد عنوان IP الذي يحتاجه المهاجم من خادم DNS:

  • انتحال DNS أو إفساد ذاكرة التخزين المؤقت
  • اختطاف DNS

ما هو DNSSEC؟

دليل أمان DNS

تُستخدم DNSSEC - وحدات أمان خدمة اسم المجال - للتحقق من صحة سجلات DNS دون الحاجة إلى معرفة المعلومات العامة لكل طلب DNS محدد.

يستخدم DNSSEC مفاتيح التوقيع الرقمي (PKI) للتحقق من أن نتائج استعلام اسم المجال من مصدر صالح.
لا يعد تنفيذ DNSSEC من أفضل الممارسات الصناعية فحسب ، ولكنه أيضًا يتجنب بشكل فعال معظم هجمات DNS.

كيف يعمل DNSSEC

يعمل DNSSEC بشكل مشابه لـ TLS / HTTPS ، باستخدام أزواج المفاتيح العامة / الخاصة لتوقيع سجلات DNS رقميًا. نظرة عامة على العملية:

  1. يتم توقيع سجلات DNS بزوج مفاتيح خاص وخاص
  2. تحتوي الردود على استفسارات DNSSEC على الإدخال المطلوب ، بالإضافة إلى التوقيع والمفتاح العام
  3. ثم المفتاح العمومي تستخدم لمقارنة أصالة السجل والتوقيع

أمان DNS و DNSSEC

دليل أمان DNS

DNSSEC هي أداة للتحقق من سلامة استعلامات DNS. لا يؤثر على خصوصية DNS. بمعنى آخر ، يمكن لـ DNSSEC أن تمنحك الثقة في أن الإجابة على استعلام DNS الخاص بك لم يتم انتحالها ، ولكن يمكن لأي مهاجم رؤية النتائج كما تم إرسالها إليك.

DoT - DNS عبر TLS

بروتوكول أمان طبقة النقل (TLS) هو بروتوكول تشفير لحماية المعلومات المنقولة عبر اتصال الشبكة. بمجرد إنشاء اتصال TLS آمن بين العميل والخادم ، يتم تشفير البيانات المرسلة ولا يمكن لأي وسطاء رؤيتها.

TLS الأكثر استخدامًا كجزء من HTTPS (SSL) في متصفح الويب الخاص بك حيث يتم إرسال الطلبات إلى خوادم HTTP الآمنة.

يستخدم DNS-over-TLS (DNS عبر TLS ، DoT) بروتوكول TLS لتشفير حركة مرور UDP لاستعلامات DNS العادية.
يساعد تشفير هذه الطلبات بنص عادي على حماية المستخدمين أو التطبيقات التي تقدم الطلبات من هجمات متعددة.

  • MitM ، أو "رجل في المنتصف": بدون تشفير ، يمكن لنظام وسيط بين العميل وخادم DNS المعتمد إرسال معلومات خاطئة أو خطيرة إلى العميل استجابة لطلب
  • التجسس والتعقب: بدون تشفير الطلب ، من السهل على الأنظمة الوسيطة معرفة المواقع التي يقوم مستخدم أو تطبيق معين بالوصول إليها. على الرغم من أنه لن يكون من الممكن معرفة الصفحة المحددة التي تمت زيارتها على الموقع من DNS وحده ، فإن مجرد معرفة المجالات المطلوبة يكفي لتشكيل ملف تعريف لنظام أو فرد.

دليل أمان DNS
المصدر: جامعة كاليفورنيا في ايرفين

DoH - DNS عبر HTTPS

DNS-over-HTTPS (DNS عبر HTTPS ، DoH) هو بروتوكول تجريبي يتم الترويج له بشكل مشترك من قبل Mozilla و Google. أهدافه مشابهة لبروتوكول DoT - تعزيز خصوصية الأشخاص على الإنترنت من خلال تشفير طلبات واستجابات DNS.

يتم إرسال استعلامات DNS القياسية عبر UDP. يمكن تتبع الطلبات والردود باستخدام أدوات مثل يريشارك. تقوم DoT بتشفير هذه الطلبات ، ولكن لا يزال يتم تحديدها على أنها حركة مرور UDP مميزة إلى حد ما على الشبكة.

تتبع DoH نهجًا مختلفًا وترسل طلبات تحليل اسم المضيف المشفرة عبر اتصالات HTTPS التي تشبه أي طلب ويب آخر عبر الشبكة.

هذا التمييز له آثار هامة جداً لكل من مسؤولي النظام ودقة الاسم المستقبلية.

  1. تعد تصفية DNS طريقة شائعة لتصفية حركة مرور الويب لحماية المستخدمين من هجمات التصيد الاحتيالي أو مواقع البرامج الضارة أو أنشطة الإنترنت التي قد تكون ضارة على شبكة الشركة. يتجاوز بروتوكول DoH هذه المرشحات ، مما قد يعرض المستخدمين والشبكة لمخاطر أكبر.
  2. في نموذج تحليل الاسم الحالي ، يتلقى كل جهاز على الشبكة ، إلى حد ما ، طلبات DNS من نفس الموقع (من خادم DNS محدد). تُظهر DoH ، ولا سيما تنفيذ Firefox لها ، أن هذا قد يتغير في المستقبل. يمكن لكل تطبيق على جهاز الكمبيوتر الحصول على بيانات من مصادر DNS مختلفة ، مما يجعل استكشاف الأخطاء وإصلاحها والأمان ونمذجة المخاطر أكثر صعوبة.

دليل أمان DNS
المصدر: www.varonis.com/blog/what-is-powershell

ما الفرق بين DNS عبر TLS و DNS عبر HTTPS؟

لنبدأ بـ DNS عبر TLS (DoT). ينصب التركيز هنا على أن بروتوكول DNS الأصلي لم يتم تعديله ، ولكن يتم نقله ببساطة بشكل آمن عبر قناة آمنة. تضع DoH DNS بتنسيق HTTP قبل تقديم الطلبات.

تنبيهات مراقبة DNS

دليل أمان DNS

تعد القدرة على مراقبة حركة مرور DNS بشكل فعال على شبكتك بحثًا عن الحالات الشاذة المشبوهة أمرًا بالغ الأهمية للكشف المبكر عن أي خرق. يمنحك استخدام أداة مثل Varonis Edge القدرة على البقاء مطلعًا على جميع المقاييس المهمة وإنشاء ملفات تعريف لكل حساب على شبكتك. يمكنك إعداد التنبيهات ليتم إنشاؤها نتيجة لمجموعة من الإجراءات التي تحدث خلال فترة زمنية.

تعد مراقبة تغييرات DNS ومواقع الحساب والاستخدام لأول مرة والوصول إلى البيانات الحساسة والنشاط خارج ساعات العمل مجرد عدد قليل من المقاييس التي يمكن مقارنتها لبناء صورة أوسع للاكتشاف.

المصدر: www.habr.com

إضافة تعليق