DNS নিরাপত্তা নির্দেশিকা

কোম্পানি যাই করুক, নিরাপত্তা ডিএনএস এর নিরাপত্তা পরিকল্পনার একটি অবিচ্ছেদ্য অংশ হওয়া উচিত। নাম পরিষেবাগুলি, যা IP ঠিকানাগুলিতে হোস্টনামগুলি সমাধান করে, নেটওয়ার্কে কার্যত প্রতিটি অ্যাপ্লিকেশন এবং পরিষেবা দ্বারা ব্যবহৃত হয়।

যদি কোনো আক্রমণকারী কোনো প্রতিষ্ঠানের DNS-এর নিয়ন্ত্রণ লাভ করে, তাহলে সে সহজেই:

• ভাগ করা সম্পদের উপর নিজেকে নিয়ন্ত্রণ করুন
• ইনকামিং ইমেল পুনঃনির্দেশিত সেইসাথে ওয়েব অনুরোধ এবং প্রমাণীকরণ প্রচেষ্টা
• SSL/TLS শংসাপত্র তৈরি এবং যাচাই করুন

এই নির্দেশিকা দুটি কোণ থেকে DNS নিরাপত্তা দেখে:

1. DNS এর উপর অবিচ্ছিন্ন পর্যবেক্ষণ এবং নিয়ন্ত্রণ সম্পাদন করা
2. কিভাবে নতুন DNS প্রোটোকল যেমন DNSSEC, DOH এবং DoT প্রেরিত DNS অনুরোধের অখণ্ডতা এবং গোপনীয়তা রক্ষা করতে সাহায্য করতে পারে

DNS নিরাপত্তা কি?

DNS নিরাপত্তার ধারণার মধ্যে দুটি গুরুত্বপূর্ণ উপাদান রয়েছে:

1. আইপি ঠিকানায় হোস্টনামগুলি সমাধান করে এমন DNS পরিষেবাগুলির সামগ্রিক অখণ্ডতা এবং প্রাপ্যতা নিশ্চিত করা
2. আপনার নেটওয়ার্কের যেকোনো জায়গায় সম্ভাব্য নিরাপত্তা সমস্যা চিহ্নিত করতে DNS কার্যকলাপ নিরীক্ষণ করুন

কেন DNS আক্রমণের জন্য ঝুঁকিপূর্ণ?

DNS প্রযুক্তি ইন্টারনেটের প্রারম্ভিক দিনগুলিতে তৈরি করা হয়েছিল, এমনকি কেউ নেটওয়ার্ক নিরাপত্তা সম্পর্কে চিন্তা করা শুরু করার অনেক আগে। ডিএনএস প্রমাণীকরণ বা এনক্রিপশন ছাড়াই কাজ করে, যেকোনো ব্যবহারকারীর কাছ থেকে অন্ধভাবে অনুরোধ প্রক্রিয়াকরণ করে।

এই কারণে, ব্যবহারকারীকে প্রতারিত করার এবং আইপি ঠিকানাগুলিতে নামের রেজোলিউশনটি আসলে কোথায় ঘটে সে সম্পর্কে তথ্য মিথ্যা করার অনেক উপায় রয়েছে।

DNS নিরাপত্তা: সমস্যা এবং উপাদান

DNS নিরাপত্তা বেশ কিছু মৌলিক নিয়ে গঠিত উপাদান, যার প্রতিটিকে অবশ্যই সম্পূর্ণ সুরক্ষা নিশ্চিত করতে বিবেচনায় নিতে হবে:

• সার্ভার নিরাপত্তা এবং ব্যবস্থাপনা পদ্ধতি শক্তিশালীকরণ: সার্ভার নিরাপত্তার স্তর বাড়ান এবং একটি আদর্শ কমিশনিং টেমপ্লেট তৈরি করুন
• প্রোটোকল উন্নতি: DNSSEC, DoT বা DoH প্রয়োগ করুন
• বিশ্লেষণ এবং রিপোর্টিং: ঘটনা তদন্ত করার সময় অতিরিক্ত প্রসঙ্গের জন্য আপনার SIEM সিস্টেমে একটি DNS ইভেন্ট লগ যোগ করুন
• সাইবার ইন্টেলিজেন্স এবং হুমকি সনাক্তকরণ: একটি সক্রিয় হুমকি বুদ্ধিমত্তা ফিড সদস্যতা
• অটোমেশন: প্রক্রিয়াগুলি স্বয়ংক্রিয় করতে যতটা সম্ভব স্ক্রিপ্ট তৈরি করুন

উপরে উল্লিখিত উচ্চ-স্তরের উপাদানগুলি হল DNS নিরাপত্তা আইসবার্গের টিপ। পরবর্তী বিভাগে, আমরা আরও নির্দিষ্ট ব্যবহারের ক্ষেত্রে এবং সেরা অনুশীলনগুলি সম্পর্কে আপনার জানা দরকার।

DNS আক্রমণ

• DNS স্পুফিং বা ক্যাশে বিষক্রিয়া: ব্যবহারকারীদের অন্য অবস্থানে পুনঃনির্দেশিত করতে DNS ক্যাশে ম্যানিপুলেট করার জন্য একটি সিস্টেমের দুর্বলতাকে কাজে লাগানো
• DNS টানেলিং: প্রাথমিকভাবে দূরবর্তী সংযোগ সুরক্ষা বাইপাস ব্যবহৃত
• DNS হাইজ্যাকিং: ডোমেন রেজিস্ট্রার পরিবর্তন করে একটি ভিন্ন টার্গেট ডিএনএস সার্ভারে সাধারণ ডিএনএস ট্র্যাফিক পুনঃনির্দেশিত করা
• NXDOMAIN আক্রমণ: বাধ্যতামূলক প্রতিক্রিয়া পাওয়ার জন্য অবৈধ ডোমেন প্রশ্ন পাঠিয়ে একটি প্রামাণিক DNS সার্ভারে একটি DDoS আক্রমণ পরিচালনা করা
• ফ্যান্টম ডোমেইন: DNS সমাধানকারীকে অস্তিত্বহীন ডোমেন থেকে প্রতিক্রিয়ার জন্য অপেক্ষা করতে দেয়, যার ফলে কার্যক্ষমতা খারাপ হয়
• একটি র্যান্ডম সাবডোমেনে আক্রমণ: আপস করা হোস্ট এবং বটনেট একটি বৈধ ডোমেনে একটি DDoS আক্রমণ শুরু করে, কিন্তু DNS সার্ভারকে রেকর্ডগুলি দেখতে এবং পরিষেবার নিয়ন্ত্রণ নিতে বাধ্য করার জন্য নকল সাবডোমেনের উপর তাদের আগুন ফোকাস করে
• ডোমেইন ব্লক করা: DNS সার্ভার সংস্থানগুলিকে ব্লক করতে একাধিক স্প্যাম প্রতিক্রিয়া পাঠাচ্ছে৷
• গ্রাহক সরঞ্জাম থেকে বটনেট আক্রমণ: কম্পিউটার, মডেম, রাউটার এবং অন্যান্য ডিভাইসের একটি সংগ্রহ যা ট্রাফিক অনুরোধের সাথে ওভারলোড করার জন্য একটি নির্দিষ্ট ওয়েবসাইটে কম্পিউটিং শক্তিকে কেন্দ্রীভূত করে

DNS আক্রমণ

এমন আক্রমণ যা অন্য সিস্টেমে আক্রমণ করতে DNS ব্যবহার করে (যেমন DNS রেকর্ড পরিবর্তন করা শেষ লক্ষ্য নয়):

• ফাস্ট-ফ্লাক্স
• একক ফ্লাক্স নেটওয়ার্ক
• ডাবল ফ্লাক্স নেটওয়ার্ক
• DNS টানেলিং

DNS আক্রমণ

আক্রমণের ফলে আক্রমণকারীর প্রয়োজনীয় আইপি ঠিকানা DNS সার্ভার থেকে ফিরে আসে:

• DNS স্পুফিং বা ক্যাশে বিষক্রিয়া
• DNS হাইজ্যাকিং

DNSSEC কি?

DNSSEC - ডোমেন নেম সার্ভিস সিকিউরিটি ইঞ্জিন - প্রতিটি নির্দিষ্ট DNS অনুরোধের জন্য সাধারণ তথ্য জানার প্রয়োজন ছাড়াই DNS রেকর্ড যাচাই করতে ব্যবহৃত হয়।

DNSSEC ডিজিটাল স্বাক্ষর কী (PKIs) ব্যবহার করে একটি ডোমেন নামের প্রশ্নের ফলাফল একটি বৈধ উৎস থেকে এসেছে কিনা তা যাচাই করতে।
DNSSEC প্রয়োগ করা শুধুমাত্র একটি শিল্পের সর্বোত্তম অনুশীলন নয়, এটি বেশিরভাগ DNS আক্রমণ এড়াতেও কার্যকর।

কিভাবে DNSSEC কাজ করে

DNSSEC একইভাবে TLS/HTTPS এর মতো কাজ করে, DNS রেকর্ডে ডিজিটাল সাইন করার জন্য সর্বজনীন এবং ব্যক্তিগত কী জোড়া ব্যবহার করে। প্রক্রিয়ার সাধারণ ওভারভিউ:

1. DNS রেকর্ডগুলি একটি ব্যক্তিগত-ব্যক্তিগত কী জোড়া দিয়ে স্বাক্ষরিত হয়৷
2. DNSSEC প্রশ্নের উত্তরে অনুরোধ করা রেকর্ডের পাশাপাশি স্বাক্ষর এবং সর্বজনীন কী থাকে
3. তারপর সর্বজনীন কী একটি রেকর্ড এবং একটি স্বাক্ষরের সত্যতা তুলনা করতে ব্যবহৃত হয়

DNS এবং DNSSEC নিরাপত্তা

DNSSEC হল DNS প্রশ্নের অখণ্ডতা পরীক্ষা করার জন্য একটি টুল। এটি DNS গোপনীয়তাকে প্রভাবিত করে না। অন্য কথায়, DNSSEC আপনাকে আস্থা দিতে পারে যে আপনার DNS ক্যোয়ারির উত্তরের সাথে কোনো পরিবর্তন করা হয়নি, কিন্তু যে কোনো আক্রমণকারী সেই ফলাফলগুলি দেখতে পাবে কারণ সেগুলি আপনাকে পাঠানো হয়েছে।

DoT - TLS এর উপর DNS

ট্রান্সপোর্ট লেয়ার সিকিউরিটি (TLS) হল একটি ক্রিপ্টোগ্রাফিক প্রোটোকল যা একটি নেটওয়ার্ক সংযোগের মাধ্যমে প্রেরিত তথ্য সুরক্ষার জন্য। একবার ক্লায়েন্ট এবং সার্ভারের মধ্যে একটি নিরাপদ TLS সংযোগ প্রতিষ্ঠিত হলে, প্রেরিত ডেটা এনক্রিপ্ট করা হয় এবং কোনও মধ্যস্থতাকারী এটি দেখতে পায় না।

TLS এর আপনার ওয়েব ব্রাউজারে HTTPS (SSL) এর অংশ হিসাবে সর্বাধিক ব্যবহৃত হয় কারণ অনুরোধগুলি নিরাপদ HTTP সার্ভারগুলিতে পাঠানো হয়।

DNS-over-TLS (DNS over TLS, DoT) নিয়মিত DNS অনুরোধের UDP ট্র্যাফিক এনক্রিপ্ট করতে TLS প্রোটোকল ব্যবহার করে।
এই অনুরোধগুলিকে প্লেইন টেক্সটে এনক্রিপ্ট করা ব্যবহারকারী বা অ্যাপ্লিকেশনগুলিকে বিভিন্ন আক্রমণ থেকে রক্ষা করতে সাহায্য করে।

• MitM, বা "মাঝখানের মানুষ": এনক্রিপশন ছাড়া, ক্লায়েন্ট এবং প্রামাণিক DNS সার্ভারের মধ্যে মধ্যবর্তী সিস্টেম একটি অনুরোধের প্রতিক্রিয়ায় ক্লায়েন্টকে সম্ভাব্য মিথ্যা বা বিপজ্জনক তথ্য পাঠাতে পারে
• গুপ্তচরবৃত্তি এবং ট্র্যাকিং: অনুরোধগুলি এনক্রিপ্ট না করে, মিডলওয়্যার সিস্টেমের জন্য কোন নির্দিষ্ট ব্যবহারকারী বা অ্যাপ্লিকেশন অ্যাক্সেস করছে তা দেখতে সহজ৷ যদিও DNS একা একটি ওয়েবসাইটে পরিদর্শন করা নির্দিষ্ট পৃষ্ঠাটি প্রকাশ করবে না, শুধুমাত্র অনুরোধ করা ডোমেনগুলি জেনে রাখাই একটি সিস্টেম বা ব্যক্তির প্রোফাইল তৈরি করার জন্য যথেষ্ট।

উত্স: ক্যালিফোর্নিয়া আরভাইন বিশ্ববিদ্যালয়ের

DoH - HTTPS এর উপর DNS

DNS-over-HTTPS (DNS over HTTPS, DoH) হল Mozilla এবং Google দ্বারা যৌথভাবে প্রচারিত একটি পরীক্ষামূলক প্রোটোকল। এর লক্ষ্যগুলি DoT প্রোটোকলের অনুরূপ - DNS অনুরোধ এবং প্রতিক্রিয়াগুলি এনক্রিপ্ট করে অনলাইনে লোকেদের গোপনীয়তা বাড়ানো৷

স্ট্যান্ডার্ড DNS প্রশ্নগুলি UDP এর মাধ্যমে পাঠানো হয়। অনুরোধ এবং প্রতিক্রিয়া যেমন সরঞ্জাম ব্যবহার করে ট্র্যাক করা যেতে পারে Wireshark. DoT এই অনুরোধগুলিকে এনক্রিপ্ট করে, কিন্তু তারা এখনও নেটওয়ার্কে মোটামুটি স্বতন্ত্র UDP ট্র্যাফিক হিসাবে চিহ্নিত।

DoH একটি ভিন্ন পদ্ধতি অবলম্বন করে এবং এনক্রিপ্ট করা হোস্টনাম রেজোলিউশন অনুরোধ পাঠায় HTTPS সংযোগে, যা নেটওয়ার্কে অন্য যেকোনো ওয়েব অনুরোধের মতো দেখায়।

এই পার্থক্যটি সিস্টেম অ্যাডমিনিস্ট্রেটর এবং নামের রেজোলিউশনের ভবিষ্যত উভয়ের জন্যই অত্যন্ত গুরুত্বপূর্ণ প্রভাব ফেলে।

1. DNS ফিল্টারিং হল ফিশিং আক্রমণ, ম্যালওয়্যার বিতরণকারী সাইট বা কর্পোরেট নেটওয়ার্কে অন্যান্য সম্ভাব্য ক্ষতিকারক ইন্টারনেট কার্যকলাপ থেকে ব্যবহারকারীদের রক্ষা করার জন্য ওয়েব ট্র্যাফিক ফিল্টার করার একটি সাধারণ উপায়৷ DoH প্রোটোকল এই ফিল্টারগুলিকে বাইপাস করে, সম্ভাব্যভাবে ব্যবহারকারীদের এবং নেটওয়ার্ককে আরও ঝুঁকির মধ্যে ফেলে।
2. বর্তমান নামের রেজোলিউশন মডেলে, নেটওয়ার্কের প্রতিটি ডিভাইস কমবেশি একই অবস্থান (একটি নির্দিষ্ট ডিএনএস সার্ভার) থেকে ডিএনএস কোয়েরি গ্রহণ করে। DoH, এবং বিশেষ করে Firefox এর বাস্তবায়ন, দেখায় যে এটি ভবিষ্যতে পরিবর্তন হতে পারে। একটি কম্পিউটারে প্রতিটি অ্যাপ্লিকেশন বিভিন্ন DNS উত্স থেকে ডেটা গ্রহণ করতে পারে, যা সমস্যা সমাধান, সুরক্ষা এবং ঝুঁকি মডেলিংকে আরও জটিল করে তোলে।

উত্স: www.varonis.com/blog/what-is-powershell

TLS এর উপর DNS এবং HTTPS এর উপর DNS এর মধ্যে পার্থক্য কি?

চলুন শুরু করি DNS ওভার TLS (DoT) দিয়ে। এখানে মূল বিষয় হল মূল DNS প্রোটোকল পরিবর্তন করা হয় না, তবে একটি নিরাপদ চ্যানেলে নিরাপদে প্রেরণ করা হয়। অন্যদিকে, DoH অনুরোধ করার আগে DNS কে HTTP ফরম্যাটে রাখে।

DNS মনিটরিং সতর্কতা

সন্দেহজনক অসঙ্গতির জন্য আপনার নেটওয়ার্কে কার্যকরভাবে DNS ট্র্যাফিক নিরীক্ষণ করার ক্ষমতা একটি লঙ্ঘনের প্রাথমিক সনাক্তকরণের জন্য গুরুত্বপূর্ণ। Varonis Edge এর মতো একটি টুল ব্যবহার করা আপনাকে সমস্ত গুরুত্বপূর্ণ মেট্রিক্সের উপরে থাকার এবং আপনার নেটওয়ার্কে প্রতিটি অ্যাকাউন্টের জন্য প্রোফাইল তৈরি করার ক্ষমতা দেবে। আপনি একটি নির্দিষ্ট সময়ের মধ্যে ঘটে যাওয়া ক্রিয়াগুলির সংমিশ্রণের ফলে জেনারেট হওয়ার জন্য সতর্কতাগুলি কনফিগার করতে পারেন৷

ডিএনএস পরিবর্তন, অ্যাকাউন্টের অবস্থান, প্রথমবার ব্যবহার এবং সংবেদনশীল ডেটাতে অ্যাক্সেস, এবং ঘন্টা পরে কার্যকলাপ পর্যবেক্ষণ করা হল কয়েকটি মেট্রিক্স যা একটি বিস্তৃত সনাক্তকরণ ছবি তৈরি করতে পারস্পরিক সম্পর্কযুক্ত হতে পারে।

উত্স: www.habr.com