Guia de seguretat DNS

Sigui el que faci l'empresa, seguretat DNS hauria de formar part integral del seu pla de seguretat. Els serveis de noms, que resolen els noms d'amfitrió de la xarxa en adreces IP, són utilitzats literalment per totes les aplicacions i serveis de la xarxa.

Si un atacant aconsegueix el control del DNS d'una organització, pot:

• doneu-vos el control sobre els recursos que són de domini públic
• redirigeix ​​els correus electrònics entrants, així com les sol·licituds web i els intents d'autenticació
• crear i validar certificats SSL/TLS

Aquesta guia analitza la seguretat DNS des de dues perspectives:

1. Monitorització i control continus del DNS
2. Com els nous protocols DNS com DNSSEC, DOH i DoT poden ajudar a protegir la integritat i la confidencialitat de les consultes DNS transmeses

Què és la seguretat DNS?

Hi ha dos components importants en el concepte de seguretat DNS:

1. Garantir la integritat i la disponibilitat generals dels serveis DNS que resolen els noms d'amfitrió de la xarxa en adreces IP
2. Superviseu l'activitat del DNS per identificar possibles problemes de seguretat a qualsevol lloc de la vostra xarxa

Per què el DNS és vulnerable als atacs?

La tecnologia DNS es va crear als primers dies d'Internet, molt abans que ningú ni tan sols pensava en la seguretat de la xarxa. El DNS funciona sense autenticació i xifratge, processant a cegues les sol·licituds de qualsevol usuari.

En aquest sentit, hi ha moltes maneres d'enganyar l'usuari i falsificar informació sobre on es realitza realment la resolució de noms a adreces IP.

Problemes i components de seguretat del DNS

La seguretat DNS consta de diversos elements bàsics components, cadascun dels quals s'ha de tenir en compte per garantir una protecció total:

• Reforç de la seguretat dels servidors i dels procediments de gestió: augmentar la seguretat del servidor i crear una plantilla estàndard de posada en marxa
• Millora del protocol: implementar DNSSEC, DoT o DoH
• Analítica i informes: afegiu un registre d'esdeveniments DNS al vostre sistema SIEM per obtenir un context addicional quan investigueu incidents
• Ciberintel·ligència i detecció d'amenaces: subscriure's a una font activa d'intel·ligència sobre amenaces
• Automatització: crear tants scripts com sigui possible per automatitzar processos

Els components d'alt nivell anteriors són només la punta de l'iceberg de seguretat DNS. A la secció següent, analitzarem més de prop els casos d'ús més específics i les pràctiques recomanades que cal tenir en compte.

Atacs al DNS

• Suplantació de DNS o intoxicació de la memòria cau: explotant una vulnerabilitat del sistema per manipular la memòria cau DNS per redirigir els usuaris a una altra ubicació
• Túnel DNS: s'utilitza principalment per evitar les proteccions de connexió remota
• Intercepció de DNS: redirigir el trànsit DNS normal a un altre servidor DNS objectiu canviant el registrador de dominis
• Atac a NXDOMAIN: realitzar un atac DDoS a un servidor DNS autoritzat enviant consultes de domini il·legítimes per obtenir una resposta forçada
• domini fantasma: fa que el solucionador de DNS esperi una resposta de dominis inexistents, donant lloc a un rendiment baix
• atac a un subdomini aleatori: ha piratejat amfitrions i botnets DDoS un domini en directe, però centra el foc en subdominis falsos per forçar el servidor DNS a buscar registres i prendre el control del servei
• bloqueig de domini: està enviant moltes respostes de correu brossa per bloquejar els recursos del servidor DNS
• Atac de botnet des de l'equip d'usuari: col·lecció d'ordinadors, mòdems, encaminadors i altres dispositius que concentren la potència de processament en un lloc web concret per sobrecarregar-lo amb sol·licituds de trànsit.

Atacs DNS

Atacs que d'alguna manera utilitzen DNS per atacar altres sistemes (és a dir, canviar els registres DNS no és l'objectiu final):

• Flux ràpid
• Xarxes de flux únic
• Xarxes de doble flux
• Túnel DNS

Atacs al DNS

Atacs que retornen una adreça IP que un atacant necessita des d'un servidor DNS:

• Suplantació de DNS o intoxicació de la memòria cau
• Intercepció de DNS

Què és DNSSEC?

DNSSEC - Mòduls de seguretat del servei de noms de domini - s'utilitzen per validar els registres DNS sense haver de conèixer la informació general de cada sol·licitud de DNS específica.

DNSSEC utilitza claus de signatura digital (PKI) per verificar que els resultats d'una consulta de nom de domini provenen d'una font vàlida.
La implementació de DNSSEC no només és una bona pràctica del sector, sinó que també evita de manera efectiva la majoria dels atacs DNS.

Com funciona DNSSEC

DNSSEC funciona de manera similar a TLS/HTTPS, utilitzant parells de claus públiques/privades per signar digitalment els registres DNS. Visió general del procés:

1. Els registres DNS es signen amb un parell de claus privades i privades
2. Les respostes a les consultes DNSSEC contenen l'entrada sol·licitada, així com la signatura i la clau pública
3. Llavors clau pública s'utilitza per comparar l'autenticitat d'un registre i una signatura

Seguretat DNS i DNSSEC

DNSSEC és una eina per comprovar la integritat de les consultes DNS. No afecta la privadesa del DNS. En altres paraules, DNSSEC us pot donar la confiança que la resposta a la vostra consulta de DNS no està falsificada, però qualsevol atacant pot veure els resultats tal com us van enviar.

DoT - DNS sobre TLS

Transport Layer Security (TLS) és un protocol criptogràfic per protegir la informació transmesa a través d'una connexió de xarxa. Un cop s'estableix una connexió TLS segura entre el client i el servidor, les dades transmeses es xifren i cap intermediari pot veure-les.

TLS s'utilitza més com a part d'HTTPS (SSL) al vostre navegador web, ja que les sol·licituds s'envien a servidors HTTP segurs.

DNS-over-TLS (DNS sobre TLS, DoT) utilitza el protocol TLS per xifrar el trànsit UDP per a consultes DNS normals.
Xifrar aquestes sol·licituds en text sense format ajuda a protegir els usuaris o les aplicacions que fan les sol·licituds de diversos atacs.

• MitM, o "home al mig": sense xifratge, un sistema intermedi entre el client i un servidor DNS autoritzat podria enviar informació falsa o perillosa al client en resposta a una sol·licitud.
• Espionatge i seguiment: Sense el xifratge de sol·licitud, és fàcil per als sistemes intermedis veure a quins llocs accedeix un usuari o una aplicació en particular. Tot i que no serà possible conèixer la pàgina concreta visitada al lloc només des del DNS, el simple fet de conèixer els dominis sol·licitats és suficient per formar un perfil d'un sistema o d'un individu.

Font: Universitat de Califòrnia Irvine

DoH - DNS sobre HTTPS

DNS-over-HTTPS (DNS sobre HTTPS, DoH) és un protocol experimental promogut conjuntament per Mozilla i Google. Els seus objectius són similars al protocol DoT: millorar la privadesa de les persones a Internet xifrant les sol·licituds i respostes de DNS.

Les consultes DNS estàndard s'envien mitjançant UDP. Les sol·licituds i les respostes es poden fer un seguiment mitjançant eines com ara Wireshark. DoT xifra aquestes sol·licituds, però encara s'identifiquen com a trànsit UDP força diferent a la xarxa.

DoH adopta un enfocament diferent i envia sol·licituds de resolució de noms d'amfitrió xifrades a través de connexions HTTPS que s'assemblen a qualsevol altra sol·licitud web a la xarxa.

Aquesta distinció té implicacions molt importants tant per als administradors del sistema com per a la futura resolució de noms.

1. El filtratge DNS és una manera habitual de filtrar el trànsit web per protegir els usuaris d'atacs de pesca, llocs de programari maliciós o altres activitats d'Internet potencialment perjudicials en una xarxa corporativa. El protocol DoH evita aquests filtres, exposant potencialment els usuaris i la xarxa a un risc més elevat.
2. En el model actual de resolució de noms, tots els dispositius de la xarxa, fins a cert punt, reben sol·licituds DNS des de la mateixa ubicació (des d'un servidor DNS especificat). DoH, i en particular la seva implementació per part de Firefox, demostra que això pot canviar en el futur. Cada aplicació d'un ordinador pot obtenir dades de diferents fonts DNS, cosa que fa que la resolució de problemes, la seguretat i el modelatge de riscos siguin molt més difícils.

Font: www.varonis.com/blog/what-is-powershell

Quina diferència hi ha entre DNS sobre TLS i DNS sobre HTTPS?

Comencem amb DNS sobre TLS (DoT). El focus aquí és que el protocol DNS original no es modifica, sinó que simplement es transmet de manera segura a través d'un canal segur. DoH posa DNS en format HTTP abans de fer sol·licituds.

Alertes de monitorització de DNS

Ser capaç de controlar de manera eficaç el trànsit DNS a la vostra xarxa per detectar anomalies sospitoses és fonamental per a la detecció precoç d'una incompliment. L'ús d'una eina com Varonis Edge us permetrà estar al dia de totes les mètriques importants i crear perfils per a cada compte de la vostra xarxa. Podeu configurar alertes perquè es generin com a resultat d'una combinació d'accions que es produeixin durant un període de temps.

La supervisió dels canvis de DNS, les ubicacions del compte i l'ús i l'accés per primera vegada a dades sensibles i l'activitat fora de l'horari són només algunes de les mètriques que es poden comparar per crear una imatge més àmplia de la detecció.

Font: www.habr.com