Šta god kompanija radi, sigurnost treba da bude sastavni deo njegovog bezbednosnog plana. Usluge imena, koje razlučuju mrežna imena hostova u IP adrese, koriste bukvalno sve aplikacije i usluge na mreži.
Ako napadač dobije kontrolu nad DNS-om organizacije, lako može:
- dajte sebi kontrolu nad resursima koji su u javnom domenu
- preusmjeriti dolaznu e-poštu kao i web zahtjeve i pokušaje autentifikacije
- kreirati i potvrditi SSL/TLS certifikate
Ovaj vodič razmatra DNS sigurnost iz dvije perspektive:
- Kontinuirano praćenje i kontrola DNS-a
- Kako novi DNS protokoli kao što su DNSSEC, DOH i DoT mogu pomoći u zaštiti integriteta i povjerljivosti prenesenih DNS upita
Šta je DNS sigurnost?
Postoje dvije važne komponente koncepta DNS sigurnosti:
- Osiguravanje cjelokupnog integriteta i dostupnosti DNS usluga koje razlučuju imena mrežnih hostova u IP adrese
- Pratite DNS aktivnost kako biste identificirali potencijalne sigurnosne probleme bilo gdje na vašoj mreži
Zašto je DNS podložan napadima?
DNS tehnologija je stvorena u ranim danima interneta, mnogo prije nego što je itko uopće pomislio na sigurnost mreže. DNS radi bez autentifikacije i enkripcije, slijepo obrađujući zahtjeve bilo kojeg korisnika.
S tim u vezi, postoji mnogo načina da se korisnik obmane i lažne informacije o tome gdje se zapravo vrši razrješenje imena na IP adrese.
DNS sigurnosni problemi i komponente
DNS sigurnost se sastoji od nekoliko osnovnih komponente, od kojih se svaki mora uzeti u obzir kako bi se osigurala potpuna zaštita:
- Jačanje sigurnosti servera i upravljačkih procedura: povećati sigurnost servera i kreirati standardni šablon za puštanje u rad
- Poboljšanje protokola: implementirati DNSSEC, DoT ili DoH
- Analitika i izvještavanje: dodajte dnevnik DNS događaja vašem SIEM sistemu za dodatni kontekst prilikom istrage incidenata
- Cyber inteligencija i otkrivanje prijetnji: pretplatite se na aktivni izvor informacija o prijetnjama
- automatizacija: kreirajte što više skripti za automatizaciju procesa
Gore navedene komponente visokog nivoa samo su vrh ledenog brega sigurnosti DNS-a. U sljedećem odjeljku ćemo detaljnije pogledati konkretnije slučajeve upotrebe i najbolje prakse kojih morate biti svjesni.
Napadi na DNS
- : iskorištavanje ranjivosti sistema za manipuliranje DNS keš memorijom za preusmjeravanje korisnika na drugu lokaciju
- : uglavnom se koristi za zaobilaženje zaštite daljinskog povezivanja
- DNS presretanje: preusmjeravanje normalnog DNS prometa na drugi ciljni DNS server promjenom registratora domena
- NXDOMAIN napad: izvođenje DDoS napada na autoritativni DNS server slanjem nelegitimnih upita domene kako bi se dobio prisilni odgovor
- fantomska domena: uzrokuje da DNS razrješavač čeka odgovor od nepostojećih domena, što rezultira lošim performansama
- napad na nasumični poddomen: hakirao hostove i botnetove DDoS živu domenu, ali fokusiraj vatru na lažne poddomene kako bi prisilio DNS server da traži zapise i preuzme kontrolu nad uslugom
- blokiranje domena: šalje mnogo neželjenih odgovora da blokira resurse DNS servera
- Botnet napad sa korisničke opreme: zbirka računara, modema, rutera i drugih uređaja koji koncentrišu procesorsku snagu na određenoj web stranici kako bi je preopteretili zahtjevima za promet
DNS napadi
Napadi koji na neki način koriste DNS za napad na druge sisteme (tj. promjena DNS zapisa nije krajnji cilj):
- Fast Flux
- Single Flux Networks
- Dual Flux Networks
Napadi na DNS
Napadi koji vraćaju IP adresu koja je potrebna napadaču sa DNS servera:
- DNS lažiranje ili trovanje keša
- DNS presretanje
Šta je DNSSEC?
DNSSEC - Sigurnosni moduli usluge imena domena - koriste se za provjeru valjanosti DNS zapisa bez potrebe za poznavanjem općih informacija za svaki specifični DNS zahtjev.
DNSSEC koristi ključeve digitalnog potpisa (PKI) da bi provjerio da li su rezultati upita za ime domene iz valjanog izvora.
Implementacija DNSSEC-a nije samo najbolja praksa u industriji, već i efikasno izbjegava većinu DNS napada.
Kako DNSSEC radi
DNSSEC radi slično kao TLS/HTTPS, koristeći parove javnih/privatnih ključeva za digitalno potpisivanje DNS zapisa. Opšti pregled procesa:
- DNS zapisi su potpisani parom privatnih i privatnih ključeva
- Odgovori na DNSSEC upite sadrže traženi unos, kao i potpis i javni ključ
- onda koristi se za upoređivanje autentičnosti zapisa i potpisa
DNS sigurnost i DNSSEC
DNSSEC je alat za provjeru integriteta DNS upita. To ne utiče na privatnost DNS-a. Drugim riječima, DNSSEC vam može dati povjerenje da odgovor na vaš DNS upit nije lažiran, ali svaki napadač može vidjeti rezultate onako kako su vam poslati.
DoT - DNS preko TLS-a
Sigurnost transportnog sloja (TLS) je kriptografski protokol za zaštitu informacija koje se prenose preko mrežne veze. Jednom kada se uspostavi sigurna TLS veza između klijenta i servera, preneseni podaci su šifrirani i nijedan posrednik ih ne može vidjeti.
najčešće se koristi kao dio HTTPS-a (SSL) u vašem web pretraživaču jer se zahtjevi šalju sigurnim HTTP serverima.
DNS-over-TLS (DNS over TLS, DoT) koristi TLS protokol za šifriranje UDP prometa za normalne DNS upite.
Šifriranje ovih zahtjeva u običnom tekstu pomaže u zaštiti korisnika ili aplikacija koje šalju zahtjeve od višestrukih napada.
- MitM, ili "čovek u sredini": bez enkripcije, posredni sistem između klijenta i autoritativnog DNS servera mogao bi potencijalno poslati lažne ili opasne informacije klijentu kao odgovor na zahtjev
- Špijunaža i praćenje: Bez šifriranja zahtjeva, posrednim sistemima je lako vidjeti kojim stranicama pristupa određeni korisnik ili aplikacija. Iako samo iz DNS-a neće biti moguće saznati koja je stranica posjećena na sajtu, dovoljno je samo poznavanje traženih domena za formiranje profila sistema ili pojedinca.
izvor:
DoH - DNS preko HTTPS-a
DNS-over-HTTPS (DNS over HTTPS, DoH) je eksperimentalni protokol koji zajednički promoviraju Mozilla i Google. Njegovi ciljevi su slični DoT protokolu - poboljšanje privatnosti ljudi na Internetu šifriranjem DNS zahtjeva i odgovora.
Standardni DNS upiti se šalju preko UDP-a. Zahtjevi i odgovori mogu se pratiti pomoću alata kao što su . DoT šifrira ove zahtjeve, ali se oni i dalje identificiraju kao prilično različit UDP promet na mreži.
DoH koristi drugačiji pristup i šalje šifrirane zahtjeve za razlučivanje imena hosta preko HTTPS veza koji izgledaju kao bilo koji drugi web zahtjev preko mreže.
Ova razlika ima vrlo važne implikacije i za sistem administratore i za buduće rješavanje imena.
- DNS filtriranje je uobičajen način filtriranja web prometa kako bi se korisnici zaštitili od phishing napada, zlonamjernih web lokacija ili drugih potencijalno štetnih Internet aktivnosti na korporativnoj mreži. DoH protokol zaobilazi ove filtere, potencijalno izlažući korisnike i mrežu većem riziku.
- U trenutnom modelu rezolucije imena, svaki uređaj na mreži, u određenoj mjeri, prima DNS zahtjeve sa iste lokacije (sa određenog DNS servera). DoH, a posebno njegova implementacija od strane Firefoxa, pokazuje da bi se to moglo promijeniti u budućnosti. Svaka aplikacija na računaru može dobiti podatke iz različitih DNS izvora, što otežava rješavanje problema, sigurnost i modeliranje rizika.
izvor:
Koja je razlika između DNS-a preko TLS-a i DNS-a preko HTTPS-a?
Počnimo s DNS-om preko TLS-a (DoT). Fokus je da se originalni DNS protokol ne mijenja, već se jednostavno prenosi bezbedno preko sigurnog kanala. DoH stavlja DNS u HTTP format prije postavljanja zahtjeva.
DNS nadzorna upozorenja
Mogućnost efikasnog nadgledanja DNS saobraćaja na vašoj mreži za sumnjive anomalije je ključna za rano otkrivanje kršenja. Korištenje alata kao što je Varonis Edge pružit će vam mogućnost da ostanete u toku sa svim važnim metrikama i kreirate profile za svaki račun na vašoj mreži. Možete podesiti upozorenja koja se generiraju kao rezultat kombinacije radnji koje se dešavaju tokom određenog vremenskog perioda.
Nadgledanje promjena DNS-a, lokacija računa, te prvo korištenje i pristup osjetljivim podacima, te aktivnosti van radnog vremena samo su neke od metrika koje se mogu uporediti kako bi se izgradila šira slika otkrivanja.
izvor: www.habr.com