Bisan unsa ang buhaton sa kompanya, seguridad kinahanglan nga usa ka integral nga bahin sa plano sa seguridad niini. Ang mga serbisyo sa ngalan, nga nagsulbad sa mga hostname sa mga IP address, gigamit sa halos matag aplikasyon ug serbisyo sa network.
Kung makontrol sa usa ka tig-atake ang DNS sa usa ka organisasyon, dali niya nga:
- hatagi ang imong kaugalingon nga kontrol sa gipaambit nga mga kapanguhaan
- I-redirect ang umaabot nga mga email ingon man ang mga hangyo sa web ug pagsulay sa pag-authenticate
- paghimo ug pag-validate sa mga sertipiko sa SSL/TLS
Kini nga giya nagtan-aw sa seguridad sa DNS gikan sa duha ka anggulo:
- Pagbuhat sa padayon nga pag-monitor ug pagkontrol sa DNS
- Sa unsang paagi ang mga bag-ong DNS protocol sama sa DNSSEC, DOH ug DoT makatabang sa pagpanalipod sa integridad ug pagkakompidensyal sa gipasa nga mga hangyo sa DNS
Unsa ang DNS Security?
Ang konsepto sa seguridad sa DNS naglakip sa duha ka hinungdanon nga sangkap:
- Pagsiguro sa kinatibuk-ang integridad ug pagkaanaa sa mga serbisyo sa DNS nga nagsulbad sa mga hostname sa mga IP address
- Pag-monitor sa kalihokan sa DNS aron mahibal-an ang posible nga mga isyu sa seguridad bisan asa sa imong network
Ngano nga ang DNS bulnerable sa mga pag-atake?
Ang teknolohiya sa DNS gihimo sa unang mga adlaw sa Internet, sa wala pa magsugod ang bisan kinsa nga maghunahuna bahin sa seguridad sa network. Ang DNS naglihok nga walay authentication o encryption, buta nga pagproseso sa mga hangyo gikan sa bisan kinsa nga tiggamit.
Tungod niini, adunay daghang mga paagi sa paglingla sa tiggamit ug pagpalsipikar sa impormasyon mahitungod sa diin ang resolusyon sa mga ngalan ngadto sa mga IP address aktuwal nga nahitabo.
Seguridad sa DNS: Mga Isyu ug Mga Bahagi
Ang seguridad sa DNS naglangkob sa daghang sukaranan mga sangkap, ang matag usa niini kinahanglang tagdon aron maseguro ang hingpit nga proteksyon:
- Pagpalig-on sa seguridad sa server ug mga pamaagi sa pagdumala: dugangi ang lebel sa seguridad sa server ug paghimo usa ka sumbanan nga template sa komisyon
- Mga pag-uswag sa protocol: ipatuman ang DNSSEC, DoT o DoH
- Pag-analisa ug pagreport: idugang ang DNS event log sa imong SIEM system para sa dugang nga konteksto kung mag-imbestiga sa mga insidente
- Cyber Intelligence ug Threat Detection: mag-subscribe sa usa ka aktibo nga feed sa paniktik sa hulga
- Automation: paghimo og daghang mga script kutob sa mahimo aron ma-automate ang mga proseso
Ang nahisgutan nga taas nga lebel nga mga sangkap mao ra ang tumoy sa iceberg sa seguridad sa DNS. Sa sunod nga seksyon, atong susihon ang mas espesipiko nga mga kaso sa paggamit ug labing maayo nga mga gawi nga kinahanglan nimong mahibal-an.
Mga pag-atake sa DNS
- : gipahimuslan ang pagkahuyang sa sistema sa pagmaniobra sa DNS cache aron ma-redirect ang mga tiggamit sa laing lokasyon
- : una nga gigamit sa pag-bypass sa layo nga mga proteksyon sa koneksyon
- Pag-hijack sa DNS: pag-redirect sa normal nga trapiko sa DNS ngadto sa laing target nga DNS server pinaagi sa pagbag-o sa domain registrar
- Pag-atake sa NXDOMAIN: pagpahigayon sa usa ka DDoS nga pag-atake sa usa ka awtoritatibo nga DNS server pinaagi sa pagpadala sa dili lehitimong mga pangutana sa domain aron makakuha og pinugos nga tubag
- phantom domain: hinungdan nga ang DNS resolver maghulat alang sa tubag gikan sa wala nga mga domain, nga moresulta sa dili maayo nga performance
- pag-atake sa usa ka random nga subdomain: Ang mga nakompromiso nga mga host ug botnets naglunsad og usa ka pag-atake sa DDoS sa usa ka balido nga domain, apan ipunting ang ilang kalayo sa peke nga mga subdomain aron mapugos ang DNS server sa pagpangita sa mga rekord ug pagkuha sa kontrol sa serbisyo
- pag-block sa domain: Nagpadala og daghang mga tubag sa spam aron babagan ang mga kapanguhaan sa DNS server
- Pag-atake sa botnet gikan sa kagamitan sa suskritor: usa ka koleksyon sa mga kompyuter, modem, router ug uban pang mga himan nga nagkonsentrar sa gahum sa pag-compute sa usa ka piho nga website aron ma-overload kini sa mga hangyo sa trapiko
Mga pag-atake sa DNS
Mga pag-atake nga sa unsang paagi naggamit sa DNS sa pag-atake sa ubang mga sistema (pananglitan, ang pagbag-o sa mga rekord sa DNS dili ang katapusan nga katuyoan):
- Paspas nga Pag-agos
- Single Flux Networks
- Doble nga Flux Networks
Mga pag-atake sa DNS
Mga pag-atake nga moresulta sa IP address nga gikinahanglan sa tig-atake nga gibalik gikan sa DNS server:
- DNS spoofing o cache poisoning
- Pag-hijack sa DNS
Unsa ang DNSSEC?
DNSSEC - Domain Name Service Security Engines - gigamit sa pag-validate sa mga rekord sa DNS nga dili kinahanglan nga mahibal-an ang kinatibuk-ang impormasyon alang sa matag piho nga hangyo sa DNS.
Ang DNSSEC naggamit sa Digital Signature Keys (PKIs) aron masusi kung ang mga resulta sa pangutana sa domain name gikan ba sa balido nga tinubdan.
Ang pagpatuman sa DNSSEC dili lamang usa ka labing maayong praktis sa industriya, apan epektibo usab kini sa paglikay sa kadaghanan sa mga pag-atake sa DNS.
Giunsa pagtrabaho ang DNSSEC
Ang DNSSEC nagtrabaho parehas sa TLS/HTTPS, gamit ang publiko ug pribado nga mga pares nga yawe aron digital nga mapirmahan ang mga rekord sa DNS. Kinatibuk-ang pagtan-aw sa proseso:
- Ang mga rekord sa DNS gipirmahan sa usa ka pribado-pribado nga pares nga yawe
- Ang mga tubag sa mga pangutana sa DNSSEC naglangkob sa gihangyo nga rekord ingon man ang pirma ug yawe sa publiko
- unya gigamit sa pagtandi sa pagkatinuod sa usa ka rekord ug usa ka pirma
DNS ug DNSSEC Security
Ang DNSSEC usa ka himan alang sa pagsusi sa integridad sa mga pangutana sa DNS. Wala kini makaapekto sa pagkapribado sa DNS. Sa laing pagkasulti, ang DNSSEC makahatag kanimo ug pagsalig nga ang tubag sa imong DNS nga pangutana wala gisamok, apan bisan kinsa nga tig-atake makakita sa mga resulta samtang kini gipadala kanimo.
DoT - DNS sa TLS
Ang Transport Layer Security (TLS) usa ka cryptographic protocol alang sa pagpanalipod sa impormasyon nga gipasa pinaagi sa koneksyon sa network. Sa higayon nga ang usa ka luwas nga koneksyon sa TLS matukod tali sa kliyente ug sa server, ang gipasa nga datos ma-encrypt ug walay tigpataliwala nga makakita niini.
labing kasagarang gigamit isip bahin sa HTTPS (SSL) sa imong web browser tungod kay ang mga hangyo gipadala aron ma-secure ang mga HTTP server.
Ang DNS-over-TLS (DNS over TLS, DoT) naggamit sa TLS protocol aron ma-encrypt ang UDP nga trapiko sa regular nga DNS nga mga hangyo.
Ang pag-encrypt niini nga mga hangyo sa yano nga teksto makatabang sa pagpanalipod sa mga tiggamit o mga aplikasyon nga naghangyo gikan sa daghang mga pag-atake.
- MitM, o "tawo sa tunga": Kung walay encryption, ang intermediate system tali sa kliyente ug sa awtoritatibong DNS server posibleng magpadala ug sayop o peligrosong impormasyon ngadto sa kliyente isip tubag sa usa ka hangyo
- Espionage ug pagsubay: Kung wala’y pag-encrypt nga mga hangyo, dali alang sa mga sistema sa middleware nga makita kung unsang mga site ang gi-access sa usa ka partikular nga tiggamit o aplikasyon. Bisan kung ang DNS ra dili magpadayag sa piho nga panid nga gibisitahan sa usa ka website, ang pagkahibalo lang sa gihangyo nga mga domain igo na aron makahimo usa ka profile sa usa ka sistema o usa ka indibidwal.
Source:
DoH - DNS sa HTTPS
Ang DNS-over-HTTPS (DNS over HTTPS, DoH) usa ka eksperimento nga protocol nga gipasiugdahan sa Mozilla ug Google. Ang mga tumong niini susama sa protocol sa DoT—pagpauswag sa pribasiya sa mga tawo online pinaagi sa pag-encrypt sa mga hangyo ug tubag sa DNS.
Ang standard DNS nga mga pangutana gipadala sa UDP. Ang mga hangyo ug tubag mahimong masubay gamit ang mga himan sama sa . Gi-encrypt sa DoT kini nga mga hangyo, apan giila gihapon kini nga medyo lahi nga trapiko sa UDP sa network.
Ang DoH nagkuha ug lahi nga pamaagi ug nagpadala ug naka-encrypt nga hostname resolution nga mga hangyo pinaagi sa HTTPS nga mga koneksyon, nga morag bisan unsa nga web request sa network.
Kini nga kalainan adunay hinungdanon kaayo nga mga implikasyon alang sa mga tigdumala sa sistema ug alang sa umaabot nga resolusyon sa ngalan.
- Ang pagsala sa DNS usa ka komon nga paagi sa pagsala sa trapiko sa web aron mapanalipdan ang mga tiggamit gikan sa mga pag-atake sa phishing, mga site nga nag-apod-apod sa malware, o uban pang posibleng makadaot nga kalihokan sa Internet sa usa ka corporate network. Ang protocol sa DoH nag-bypass niini nga mga filter, nga posibleng magladlad sa mga tiggamit ug sa network sa mas dakong risgo.
- Sa kasamtangan nga modelo sa resolusyon sa ngalan, ang matag device sa network mas daghan o dili kaayo makadawat sa mga pangutana sa DNS gikan sa samang lokasyon (usa ka piho nga DNS server). Ang DoH, ug ilabina ang pagpatuman niini sa Firefox, nagpakita nga kini mahimong mausab sa umaabot. Ang matag aplikasyon sa usa ka kompyuter mahimong makadawat og datos gikan sa lain-laing mga tinubdan sa DNS, nga naghimo sa pag-troubleshoot, seguridad, ug pagmodelo sa risgo nga mas komplikado.
Source:
Unsa ang kalainan tali sa DNS sa TLS ug DNS sa HTTPS?
Magsugod ta sa DNS sa TLS (DoT). Ang panguna nga punto dinhi mao nga ang orihinal nga protocol sa DNS wala mabag-o, apan gipasa ra nga luwas sa usa ka luwas nga channel. Ang DoH, sa laing bahin, nagbutang sa DNS sa HTTP nga format sa dili pa mohimo og mga hangyo.
Mga Alerto sa Pag-monitor sa DNS
Ang katakus sa epektibo nga pagmonitor sa trapiko sa DNS sa imong network alang sa mga kadudahang anomaliya hinungdanon sa sayo nga pag-ila sa usa ka paglapas. Ang paggamit sa usa ka himan sama sa Varonis Edge maghatag kanimo sa katakus nga magpabilin sa ibabaw sa tanan nga hinungdanon nga mga sukatan ug maghimo mga profile alang sa matag account sa imong network. Mahimo nimong i-configure ang mga alerto nga mabuhat ingon usa ka sangputanan sa kombinasyon sa mga aksyon nga mahitabo sa usa ka piho nga yugto sa panahon.
Ang pag-monitor sa mga pagbag-o sa DNS, mga lokasyon sa account, paggamit sa una nga higayon ug pag-access sa sensitibo nga datos, ug pagkahuman sa mga oras nga kalihokan pipila ra nga mga sukatan nga mahimong i-correlated aron makahimo og mas lapad nga hulagway sa detection.
Source: www.habr.com