Şirkət nə edirsə etsin, təhlükəsizlik onun təhlükəsizlik planının tərkib hissəsi olmalıdır. Şəbəkə host adlarını IP ünvanlarına həll edən ad xidmətləri şəbəkədəki hər bir proqram və xidmət tərəfindən istifadə olunur.
Təcavüzkar təşkilatın DNS-nə nəzarəti ələ keçirərsə, onlar asanlıqla:
- ictimai mülkiyyətdə olan resurslara nəzarəti özünüzə verin
- daxil olan e-poçtları, həmçinin veb sorğuları və autentifikasiya cəhdlərini yönləndirin
- SSL/TLS sertifikatlarını yaradın və doğrulayın
Bu təlimat DNS təhlükəsizliyinə iki baxımdan baxır:
- DNS-in davamlı monitorinqi və nəzarəti
- DNSSEC, DOH və DoT kimi yeni DNS protokolları ötürülən DNS sorğularının bütövlüyünü və məxfiliyini qorumağa necə kömək edə bilər
DNS təhlükəsizliyi nədir?
DNS təhlükəsizliyi konsepsiyasının iki mühüm komponenti var:
- Şəbəkə host adlarını IP ünvanlarına həll edən DNS xidmətlərinin ümumi bütövlüyünü və mövcudluğunu təmin etmək
- Şəbəkənizin istənilən yerində potensial təhlükəsizlik problemlərini müəyyən etmək üçün DNS fəaliyyətinə nəzarət edin
DNS niyə hücumlara qarşı həssasdır?
DNS texnologiyası İnternetin ilk dövrlərində, heç kəs şəbəkə təhlükəsizliyi haqqında düşünməmişdən çox əvvəl yaradılmışdır. DNS autentifikasiya və şifrələmə olmadan işləyir, istənilən istifadəçinin sorğularını kor-koranə emal edir.
Bununla əlaqədar olaraq, istifadəçini aldatmağın bir çox yolu və adların IP ünvanlarına həllinin əslində harada həyata keçirildiyi barədə saxta məlumatlar var.
DNS Təhlükəsizlik Problemləri və Komponentləri
DNS təhlükəsizliyi bir neçə əsas hissədən ibarətdir komponentləritam mühafizəni təmin etmək üçün hər biri nəzərə alınmalıdır:
- Serverlərin və idarəetmə prosedurlarının təhlükəsizliyinin gücləndirilməsi: server təhlükəsizliyini artırmaq və standart istismara vermə şablonu yaratmaq
- Protokolun təkmilləşdirilməsi: DNSSEC, DoT və ya DoH tətbiq edin
- Analitika və hesabat: hadisələri araşdırarkən əlavə kontekst üçün SIEM sisteminizə DNS hadisə jurnalı əlavə edin
- Kiber kəşfiyyat və təhlükənin aşkarlanması: aktiv təhlükə kəşfiyyatı lentinə abunə olun
- Avtomatlaşdırma: prosesləri avtomatlaşdırmaq üçün mümkün qədər çox skript yaradın
Yuxarıdakı yüksək səviyyəli komponentlər DNS təhlükəsizlik aysberqinin yalnız görünən hissəsidir. Növbəti bölmədə biz daha konkret istifadə hallarına və bilməli olduğunuz ən yaxşı təcrübələrə daha yaxından nəzər salacağıq.
DNS-ə hücumlar
- : istifadəçiləri başqa yerə yönləndirmək üçün DNS keşini manipulyasiya etmək üçün sistem zəifliyindən istifadə
- : əsasən uzaqdan əlaqə qorumalarını keçmək üçün istifadə olunur
- DNS müdaxiləsi: domen registratorunu dəyişdirərək normal DNS trafikinin başqa bir hədəf DNS serverinə yönləndirilməsi
- NXDOMAIN hücumu: məcburi cavab almaq üçün qeyri-qanuni domen sorğuları göndərməklə nüfuzlu DNS serverinə DDoS hücumu həyata keçirmək
- fantom domen: DNS həlledicisinin mövcud olmayan domenlərdən cavab gözləməsinə səbəb olur və nəticədə zəif performans yaranır
- təsadüfi subdomenə hücum: sındırılmış hostlar və botnetlər DDoS canlı domendir, lakin DNS serverini qeydləri axtarmağa və xidmətə nəzarət etməyə məcbur etmək üçün yanğını yalançı subdomenlərə yönəldin
- domen bloklanması: DNS server resurslarını bloklamaq üçün çoxlu spam cavabları göndərir
- İstifadəçi avadanlıqlarından botnet hücumu: kompüterlərin, modemlərin, marşrutlaşdırıcıların və emal gücünü müəyyən bir veb-saytda trafik sorğuları ilə yükləmək üçün cəmləyən digər cihazların toplusu
DNS hücumları
Digər sistemlərə hücum etmək üçün bir şəkildə DNS istifadə edən hücumlar (yəni, DNS qeydlərinin dəyişdirilməsi son məqsəd deyil):
- Sürətli axın
- Tək Flux Şəbəkələri
- İkiqat axını şəbəkələri
DNS-ə hücumlar
Təcavüzkarın DNS serverindən ehtiyac duyduğu IP ünvanını qaytaran hücumlar:
- DNS saxtakarlığı və ya keş zəhərlənməsi
- DNS müdaxiləsi
DNSSEC nədir?
DNSSEC - Domen Adı Xidməti Təhlükəsizlik Modulları - hər bir xüsusi DNS sorğusu üçün ümumi məlumatı bilmədən DNS qeydlərini yoxlamaq üçün istifadə olunur.
DNSSEC domen adı sorğusunun nəticələrinin etibarlı mənbədən olduğunu yoxlamaq üçün Rəqəmsal İmza Açarlarından (PKI) istifadə edir.
DNSSEC-in tətbiqi təkcə sənayenin ən yaxşı təcrübəsi deyil, həm də əksər DNS hücumlarının qarşısını effektiv şəkildə alır.
DNSSEC necə işləyir
DNSSEC, DNS qeydlərini rəqəmsal imzalamaq üçün açıq/özəl açar cütlərindən istifadə edərək TLS/HTTPS ilə eyni şəkildə işləyir. Prosesə ümumi baxış:
- DNS qeydləri şəxsi və şəxsi açar cütü ilə imzalanır
- DNSSEC sorğularına cavablar tələb olunan girişi, həmçinin imza və açıq açarı ehtiva edir
- Sonra qeydin və imzanın həqiqiliyini müqayisə etmək üçün istifadə olunur
DNS Təhlükəsizliyi və DNSSEC
DNSSEC, DNS sorğularının bütövlüyünü yoxlamaq üçün bir vasitədir. DNS məxfiliyinə təsir göstərmir. Başqa sözlə, DNSSEC sizə DNS sorğunuza cavabın saxta olmadığına əminlik verə bilər, lakin istənilən təcavüzkar nəticələri sizə göndərildiyi kimi görə bilər.
DoT - TLS üzərindən DNS
Nəqliyyat Layer Təhlükəsizliyi (TLS) şəbəkə bağlantısı üzərindən ötürülən məlumatı qorumaq üçün kriptoqrafik protokoldur. Müştəri və server arasında təhlükəsiz TLS əlaqəsi qurulduqdan sonra ötürülən məlumatlar şifrələnir və heç bir vasitəçi onu görə bilməz.
sorğular təhlükəsiz HTTP serverlərinə göndərildiyi üçün veb brauzerinizdə HTTPS-in (SSL) bir hissəsi kimi ən çox istifadə olunur.
DNS-over-TLS (TLS üzərində DNS, DoT) normal DNS sorğuları üçün UDP trafikini şifrələmək üçün TLS protokolundan istifadə edir.
Bu sorğuların düz mətnlə şifrələnməsi sorğu edən istifadəçiləri və ya proqramları çoxsaylı hücumlardan qorumağa kömək edir.
- MitM və ya "ortadakı adam": şifrələmə olmadan, müştəri ilə nüfuzlu DNS serveri arasındakı ara sistem sorğuya cavab olaraq müştəriyə potensial olaraq yanlış və ya təhlükəli məlumat göndərə bilər.
- Casusluq və izləmə: Sorğu şifrələməsi olmadan, ara sistemlər üçün xüsusi istifadəçi və ya proqramın hansı saytlara daxil olduğunu görmək asandır. Yalnız DNS-dən saytda ziyarət edilən xüsusi səhifəni bilmək mümkün olmasa da, sistemin və ya fərdin profilini yaratmaq üçün sadəcə olaraq tələb olunan domenləri bilmək kifayətdir.
Mənbə:
DoH - HTTPS üzərindən DNS
DNS-over-HTTPS (HTTPS üzərindən DNS, DoH) Mozilla və Google tərəfindən birgə təşviq edilən eksperimental protokoldur. Onun məqsədləri DoT protokoluna bənzəyir - DNS sorğularını və cavablarını şifrələməklə internetdə insanların məxfiliyini artırmaq.
Standart DNS sorğuları UDP üzərindən göndərilir. kimi alətlərdən istifadə etməklə sorğular və cavablar izlənilə bilər . DoT bu sorğuları şifrələyir, lakin onlar hələ də şəbəkədə kifayət qədər fərqli UDP trafiki kimi müəyyən edilir.
DoH fərqli bir yanaşma tətbiq edir və şəbəkə üzərindən hər hansı digər veb sorğu kimi görünən HTTPS bağlantıları üzərindən şifrələnmiş host adının həlli sorğuları göndərir.
Bu fərq həm sistem administratorları, həm də gələcək ad həlli üçün çox vacib təsirlərə malikdir.
- DNS filtrasiyası istifadəçiləri fişinq hücumlarından, zərərli proqram saytlarından və ya korporativ şəbəkədə digər potensial zərərli İnternet fəaliyyətindən qorumaq üçün veb trafiki filtrləmənin ümumi üsuludur. DoH protokolu bu filtrləri aşaraq istifadəçiləri və şəbəkəni daha yüksək riskə məruz qoyur.
- Mövcud ad həlli modelində şəbəkədəki hər bir cihaz müəyyən dərəcədə eyni yerdən (müəyyən edilmiş DNS serverindən) DNS sorğularını qəbul edir. DoH və xüsusən də Firefox-un tətbiqi bunun gələcəkdə dəyişə biləcəyini göstərir. Kompüterdəki hər bir proqram müxtəlif DNS mənbələrindən məlumat əldə edə bilər ki, bu da problemlərin həllini, təhlükəsizliyi və risk modelləşdirməsini xeyli çətinləşdirir.
Mənbə:
TLS üzərindən DNS ilə HTTPS üzərindən DNS arasındakı fərq nədir?
TLS (DoT) üzərindən DNS ilə başlayaq. Burada diqqət odur ki, orijinal DNS protokolu dəyişdirilmir, sadəcə olaraq təhlükəsiz kanal vasitəsilə təhlükəsiz ötürülür. DoH sorğu verməzdən əvvəl DNS-i HTTP formatına qoyur.
DNS monitorinq siqnalları
Şübhəli anomaliyalar üçün şəbəkənizdəki DNS trafikini effektiv şəkildə izləyə bilmək pozuntunun erkən aşkarlanması üçün vacibdir. Varonis Edge kimi bir alətdən istifadə etmək sizə bütün vacib ölçülərdən xəbərdar olmaq və şəbəkənizdəki hər hesab üçün profillər yaratmaq imkanı verəcək. Siz müəyyən müddət ərzində baş verən hərəkətlərin birləşməsi nəticəsində yaradılacaq xəbərdarlıqları qura bilərsiniz.
DNS dəyişikliklərinin, hesab yerlərinin monitorinqi, ilk dəfə istifadə və həssas məlumatlara giriş və işdənkənar fəaliyyət aşkarlamanın daha geniş mənzərəsini yaratmaq üçün müqayisə edilə bilən ölçülərdən yalnız bir neçəsidir.
Mənbə: www.habr.com