Каквото и да прави компанията, сигурност трябва да бъде неразделна част от неговия план за сигурност. Услугите за имена, които преобразуват имената на мрежови хостове в IP адреси, се използват буквално от всяко приложение и услуга в мрежата.
Ако нападател получи контрол върху DNS на организация, той може лесно:
- дайте си контрол върху ресурсите, които са обществено достояние
- пренасочване на входящи имейли, както и уеб заявки и опити за удостоверяване
- създаване и валидиране на SSL/TLS сертификати
Това ръководство разглежда DNS сигурността от две гледни точки:
- Непрекъснато наблюдение и контрол на DNS
- Как новите DNS протоколи като DNSSEC, DOH и DoT могат да помогнат за защитата на целостта и поверителността на предадените DNS заявки
Какво е DNS сигурност?
Има два важни компонента на концепцията за DNS сигурност:
- Осигуряване на цялостна цялост и наличност на DNS услуги, които преобразуват имена на мрежови хостове в IP адреси
- Наблюдавайте DNS активността, за да идентифицирате потенциални проблеми със сигурността навсякъде във вашата мрежа
Защо DNS е уязвим за атаки?
DNS технологията е създадена в ранните дни на Интернет, много преди някой дори да се замисли за мрежова сигурност. DNS работи без удостоверяване и криптиране, като сляпо обработва заявки от всеки потребител.
В тази връзка има много начини за измама на потребителя и фалшива информация за това къде всъщност се извършва преобразуването на имена в IP адреси.
Проблеми и компоненти на DNS сигурността
DNS сигурността се състои от няколко основни елементи, всеки от които трябва да се вземе предвид, за да се осигури пълна защита:
- Укрепване на сигурността на сървърите и процедурите за управление: повишете сигурността на сървъра и създайте стандартен шаблон за въвеждане в експлоатация
- Подобряване на протокола: внедрите DNSSEC, DoT или DoH
- Анализ и отчитане: добавете регистър на DNS събития към вашата SIEM система за допълнителен контекст при разследване на инциденти
- Киберразузнаване и откриване на заплахи: абонирайте се за активна емисия за разузнаване на заплахи
- Автоматизация: създайте възможно най-много скриптове за автоматизиране на процесите
Горните компоненти на високо ниво са само върхът на айсберга за сигурност на DNS. В следващия раздел ще разгледаме по-отблизо по-конкретни случаи на употреба и най-добри практики, с които трябва да сте наясно.
Атаки срещу DNS
- : използване на уязвимост на системата за манипулиране на DNS кеша за пренасочване на потребителите към друго място
- : използва се главно за заобикаляне на защитата на отдалечената връзка
- DNS прихващане: пренасочване на нормален DNS трафик към друг целеви DNS сървър чрез промяна на регистратора на домейни
- NXDOMAIN атака: провеждане на DDoS атака на авторитетен DNS сървър чрез изпращане на нелегитимни заявки за домейн за получаване на принудителен отговор
- фантомен домейн: кара DNS резолвера да чака отговор от несъществуващи домейни, което води до лоша производителност
- атака срещу случаен поддомейн: хакнати хостове и ботнети DDoS домейн на живо, но съсредоточете огъня върху фалшиви поддомейни, за да принудите DNS сървъра да търси записи и да поеме контрола над услугата
- блокиране на домейн: изпраща много спам отговори, за да блокира ресурсите на DNS сървъра
- Ботнет атака от потребителско оборудване: колекция от компютри, модеми, рутери и други устройства, които концентрират мощността за обработка на определен уебсайт, за да го претоварят със заявки за трафик
DNS атаки
Атаки, които по някакъв начин използват DNS, за да атакуват други системи (т.е. промяната на DNS записите не е крайната цел):
- Бърз поток
- Мрежи с единичен поток
- Мрежи с двоен поток
Атаки срещу DNS
Атаки, които връщат IP адрес, от който нападателят се нуждае от DNS сървър:
- DNS подправяне или отравяне на кеша
- DNS прихващане
Какво е DNSSEC?
DNSSEC - Модули за сигурност на услугата за имена на домейни - се използват за валидиране на DNS записи, без да е необходимо да знаете общата информация за всяка конкретна DNS заявка.
DNSSEC използва ключове за цифров подпис (PKI), за да провери дали резултатите от заявка за име на домейн са от валиден източник.
Внедряването на DNSSEC е не само най-добра практика в индустрията, но и ефективно избягва повечето DNS атаки.
Как работи DNSSEC
DNSSEC работи подобно на TLS/HTTPS, като използва двойки публичен/частен ключ за цифрово подписване на DNS записи. Общ преглед на процеса:
- DNS записите се подписват с частен и частен ключ
- Отговорите на DNSSEC заявки съдържат искания запис, както и подписа и публичния ключ
- След това използвани за сравняване на автентичността на запис и подпис
DNS сигурност и DNSSEC
DNSSEC е инструмент за проверка на целостта на DNS заявки. Това не засяга поверителността на DNS. С други думи, DNSSEC може да ви даде увереност, че отговорът на вашата DNS заявка не е подправен, но всеки нападател може да види резултатите, както са ви изпратени.
DoT - DNS през TLS
Защита на транспортния слой (TLS) е криптографски протокол за защита на информацията, предавана през мрежова връзка. След като се установи защитена TLS връзка между клиента и сървъра, предаваните данни се криптират и никой посредник не може да ги види.
най-често се използва като част от HTTPS (SSL) във вашия уеб браузър, тъй като заявките се изпращат към защитени HTTP сървъри.
DNS-over-TLS (DNS през TLS, DoT) използва TLS протокола за криптиране на UDP трафик за нормални DNS заявки.
Шифроването на тези заявки в обикновен текст помага за защита на потребителите или приложенията, които правят заявките, от множество атаки.
- MitM, или "човек по средата": без криптиране, междинна система между клиента и авторитетен DNS сървър може потенциално да изпрати невярна или опасна информация на клиента в отговор на заявка
- Шпионаж и проследяване: Без криптиране на заявка за междинните системи е лесно да видят до кои сайтове има достъп определен потребител или приложение. Въпреки че няма да е възможно да се знае конкретната посетена страница на сайта само от DNS, просто познаването на заявените домейни е достатъчно, за да се формира профил на система или индивид.
Източник:
DoH - DNS през HTTPS
DNS през HTTPS (DNS през HTTPS, DoH) е експериментален протокол, насърчаван съвместно от Mozilla и Google. Неговите цели са подобни на DoT протокола - подобряване на поверителността на хората в Интернет чрез криптиране на DNS заявки и отговори.
Стандартните DNS заявки се изпращат през UDP. Заявките и отговорите могат да се проследяват с помощта на инструменти като . DoT криптира тези заявки, но те все още се идентифицират като доста различен UDP трафик в мрежата.
DoH използва различен подход и изпраща криптирани заявки за разрешаване на име на хост през HTTPS връзки, които изглеждат като всяка друга уеб заявка в мрежата.
Това разграничение има много важни последици както за системните администратори, така и за бъдещото разрешаване на имена.
- DNS филтрирането е често срещан начин за филтриране на уеб трафик, за да защитите потребителите от фишинг атаки, сайтове със зловреден софтуер или друга потенциално вредна интернет дейност в корпоративна мрежа. Протоколът DoH заобикаля тези филтри, като потенциално излага потребителите и мрежата на по-висок риск.
- В настоящия модел за разрешаване на имена всяко устройство в мрежата до известна степен получава DNS заявки от едно и също местоположение (от определен DNS сървър). DoH, и по-специално внедряването му от Firefox, показва, че това може да се промени в бъдеще. Всяко приложение на компютър може да получава данни от различни DNS източници, което прави отстраняването на проблеми, сигурността и моделирането на риска много по-трудни.
Източник:
Каква е разликата между DNS през TLS и DNS през HTTPS?
Нека започнем с DNS през TLS (DoT). Фокусът тук е, че оригиналният DNS протокол не се модифицира, а просто се предава сигурно по защитен канал. DoH поставя DNS в HTTP формат, преди да прави заявки.
Сигнали за наблюдение на DNS
Възможността за ефективно наблюдение на DNS трафика във вашата мрежа за подозрителни аномалии е от решаващо значение за ранното откриване на пробив. Използването на инструмент като Varonis Edge ще ви даде възможност да сте в крак с всички важни показатели и да създавате профили за всеки акаунт във вашата мрежа. Можете да настроите предупреждения, които да се генерират в резултат на комбинация от действия, извършвани за определен период от време.
Наблюдаването на промените в DNS, местоположенията на акаунти и първото използване и достъп до чувствителни данни и активността извън работното време са само някои от показателите, които могат да бъдат сравнени, за да се изгради по-широка картина на откриването.
Източник: www.habr.com