ProHoster > Blog > Amministrazione > Guida di Sicurezza DNS

Guida di Sicurezza DNS

Guida di Sicurezza DNS

Qualunque cosa faci a cumpagnia, a sicurità DNS deve esse una parte integrante di u so pianu di sicurità. I servizii di nome, chì risolve i nomi di host à l'indirizzi IP, sò usati da quasi ogni applicazione è serviziu in a reta.

Se un attaccu guadagna u cuntrollu di u DNS di una urganizazione, pò facilmente:

  • dà u cuntrollu di e risorse spartute
  • redirige l'e-mail entranti è e richieste web è i tentativi di autentificazione
  • creà è cunvalidà i certificati SSL / TLS

Questa guida guarda a sicurità DNS da dui anguli:

  1. Realizà un monitoraghju è u cuntrollu cuntinuu di DNS
  2. Cumu i novi protokolli DNS cum'è DNSSEC, DOH è DoT ponu aiutà à prutege l'integrità è a cunfidenziale di e dumande DNS trasmesse

Cosa hè a sicurità DNS?

Guida di Sicurezza DNS

U cuncettu di sicurità DNS include dui cumpunenti impurtanti:

  1. Assicurendu l'integrità generale è a dispunibilità di servizii DNS chì risolve i nomi di host à l'indirizzi IP
  2. Monitorate l'attività DNS per identificà pussibuli prublemi di sicurezza in ogni locu in a vostra reta

Perchè u DNS hè vulnerabile à l'attacchi?

A tecnulugia DNS hè stata creata in i primi tempi di l'Internet, assai prima chì qualcunu hà ancu cuminciatu à pensà à a sicurità di a rete. DNS opera senza autentificazione o criptografia, processendu ciechi e richieste da qualsiasi utilizatore.

Per via di questu, ci sò parechje manere di ingannà l'utilizatore è falsificà l'infurmazioni nantu à induve a risoluzione di i nomi à l'indirizzi IP hè veramente.

Sicurezza DNS: Problemi è cumpunenti

Guida di Sicurezza DNS

A sicurità DNS hè custituita da parechji basi cumpunenti, ognunu deve esse cunsideratu per assicurà a prutezzione cumpleta:

  • U rinfurzà a sicurità di u servitore è e prucedure di gestione: aumentà u livellu di sicurità di u servitore è crea un mudellu standard di cumissioni
  • Migliuramentu di u protocolu: implementà DNSSEC, DoT o DoH
  • Analisi è rapportu: aghjunghje un logu di eventi DNS à u vostru sistema SIEM per un cuntestu supplementu quandu investigate incidenti
  • Cyber ​​​​Intelligenza è Rilevazione di Minacce: abbonate à un feed di intelligenza di minaccia attiva
  • Automatizazione: crea quant'è scripts pussibule per automatizà i prucessi

I cumpunenti d'altu livellu sopra citati sò solu a punta di l'iceberg di sicurità DNS. In a sezione dopu, andemu in i casi d'usu più specifichi è e migliori pratiche chì avete bisognu di sapè.

Attacchi DNS

Guida di Sicurezza DNS

  • Spoofing DNS o avvelenamentu di cache: sfruttendu una vulnerabilità di u sistema per manipulà a cache DNS per reindirizzà l'utilizatori à un altru locu
  • Tunnel DNS: principarmenti usatu pi bypassà prutezzione di cunnessione remota
  • Dirottamentu di DNS: redirigendu u trafficu DNS normale à un servitore DNS di destinazione diversu cambiendu u registratu di u duminiu
  • Attaccu NXDOMAIN: cunducendu un attaccu DDoS à un servitore DNS autoritariu mandendu dumande di duminiu illegittimu per ottene una risposta forzata
  • duminiu fantasma: face chì u resolutore DNS aspittà una risposta da domini inesistenti, risultatu in un rendimentu poviru
  • attaccu à un subdominiu aleatoriu: L'ospiti cumprumessi è i botnets lancianu un attaccu DDoS à un duminiu validu, ma fucalizza u so focu annantu à i subdominii falsi per furzà u servitore DNS à circà i registri è piglià u cuntrollu di u serviziu.
  • bloccu di duminiu: manda parechje risposte spam per bluccà e risorse di u servitore DNS
  • Attaccu di botnet da l'equipaggiu di l'abbonati: una cullizzioni di computer, modem, routers è altri dispositi chì cuncentranu a putenza di l'informatica in un situ web specificu per sopracarcà cù richieste di trafficu

Attacchi DNS

Attacchi chì in qualchì modu utilizanu u DNS per attaccà altri sistemi (vale à dì, cambià i registri DNS ùn hè micca u scopu finale):

  • Flussu rapidu
  • Reti di flussu unicu
  • Reti Doppiu Flussu
  • Tunnel DNS

Attacchi DNS

Attacchi chì risultatu in l'indirizzu IP necessariu da l'attaccante chì hè tornatu da u servitore DNS:

  • Spoofing DNS o avvelenamentu di cache
  • Dirottamentu di DNS

Cosa hè DNSSEC?

Guida di Sicurezza DNS

DNSSEC - Domain Name Service Security Engines - sò usati per validà i registri DNS senza avè bisognu di sapè infurmazione generale per ogni dumanda DNS specifica.

DNSSEC usa Digital Signature Keys (PKIs) per verificà se i risultati di una dumanda di nome di duminiu venenu da una fonte valida.
L'implementazione di DNSSEC ùn hè micca solu una bona pratica di l'industria, ma hè ancu efficace per evità a maiò parte di l'attacchi DNS.

Cumu funziona DNSSEC

DNSSEC funziona in modu simile à TLS / HTTPS, utilizendu coppie di chjave publica è privata per firmà digitalmente i registri DNS. Panoramica generale di u prucessu:

  1. I registri DNS sò firmati cù una coppia di chjave privata-privata
  2. E risposte à e dumande DNSSEC cuntenenu u registru dumandatu è a firma è a chjave publica
  3. tandu chjave publica utilizatu per paragunà l'autenticità di un record è una firma

Sicurezza DNS è DNSSEC

Guida di Sicurezza DNS

DNSSEC hè un strumentu per verificà l'integrità di e dumande DNS. Ùn affetta micca a privacy DNS. In altri palori, DNSSEC pò dà cunfidenza chì a risposta à a vostra dumanda DNS ùn hè micca stata manipulata, ma ogni attaccante pò vede quelli risultati cum'è sò stati mandati à voi.

DoT - DNS sopra TLS

Transport Layer Security (TLS) hè un protokollu criptograficu per a prutezzione di l'infurmazioni trasmesse nantu à una cunnessione di rete. Una volta chì una cunnessione TLS sicura hè stabilita trà u cliente è u servitore, i dati trasmessi sò criptati è nisun intermediariu pò vede.

TLS u più comunmente utilizatu cum'è parte di HTTPS (SSL) in u vostru navigatore web perchè e richieste sò mandate à i servitori HTTP sicuri.

DNS-over-TLS (DNS over TLS, DoT) usa u protocolu TLS per criptà u trafficu UDP di e richieste DNS regulari.
Criptà queste dumande in testu chjaru aiuta à prutege l'utilizatori o l'applicazioni chì facenu richieste da parechji attacchi.

  • MitM, o "omu à mezu": Senza criptografia, u sistema intermediu trà u cliente è u servitore DNS autoritariu puderia invià infurmazione falsa o periculosa à u cliente in risposta à una dumanda.
  • Spionaggio è traccia: Senza richieste di criptu, hè faciule per i sistemi di middleware per vede quale siti accede à un utilizatore o applicazione particulari. Ancu DNS solu ùn revelarà micca a pagina specifica chì hè visitata in un situ web, solu cunnosce i domini richiesti hè abbastanza per creà un prufilu di un sistema o un individuu.

Guida di Sicurezza DNS
Source: University di California Irvine

DoH - DNS sopra HTTPS

DNS-over-HTTPS (DNS over HTTPS, DoH) hè un protokollu sperimentale prumuvutu inseme da Mozilla è Google. I so scopi sò simili à u protocolu DoT - rinfurzà a privacy di e persone in linea criptendu e dumande è e risposte DNS.

E dumande DNS standard sò mandate nantu à UDP. E dumande è e risposte ponu esse tracciate usendu strumenti cum'è Wireshark. DoT cripta queste dumande, ma sò sempre identificate cum'è trafficu UDP abbastanza distintu in a reta.

DoH adopta un approcciu diversu è manda richieste di risoluzione di u nome di host criptate nantu à e cunnessione HTTPS, chì s'assumiglia à qualsiasi altra dumanda web nantu à a reta.

Sta diferenza hà implicazioni assai impurtanti sia per l'amministratori di u sistema sia per u futuru di a risoluzione di nomi.

  1. U filtru DNS hè un modu cumuni per filtrà u trafficu web per prutege l'utilizatori da attacchi di phishing, siti chì distribuiscenu malware, o altre attività Internet potenzialmente dannosa in una reta corporativa. U protokollu DoH ignora questi filtri, espunendu potenzialmente l'utilizatori è a rete à un risicu più grande.
  2. In u mudellu di risoluzione di u nome attuale, ogni dispositivu in a reta riceve più o menu dumande DNS da u listessu locu (un servitore DNS specificu). DoH, è in particulare l'implementazione di Firefox, mostra chì questu pò cambià in u futuru. Ogni applicazione nantu à un computer pò riceve dati da diverse fonti DNS, facendu a risoluzione di prublemi, a sicurità è u mudellu di risicu assai più cumplessu.

Guida di Sicurezza DNS
Source: www.varonis.com/blog/what-is-powershell

Chì ghjè a diffarenza trà DNS over TLS è DNS over HTTPS?

Cuminciamu cù DNS sopra TLS (DoT). U puntu principalu quì hè chì u protocolu DNS originale ùn hè micca cambiatu, ma hè simplicemente trasmessu in modu sicuru per un canale sicuru. DoH, invece, mette DNS in formatu HTTP prima di fà richieste.

Avvisi di Monitoraghju DNS

Guida di Sicurezza DNS

A capacità di monitorà in modu efficace u trafficu DNS in a vostra reta per anomalie sospette hè critica per a rilevazione precoce di una violazione. Utilizà un strumentu cum'è Varonis Edge vi darà a capacità di stà nantu à tutte e metriche impurtanti è di creà profili per ogni contu in a vostra reta. Pudete cunfigurà alerti per esse generati com'è u risultatu di una cumminazione di azzioni chì si trovanu annantu à un periudu specificu di tempu.

U monitoraghju di i cambiamenti di u DNS, i posti di u contu, l'usu di a prima volta è l'accessu à e dati sensittivi, è l'attività dopu l'ora sò solu uni pochi metrichi chì ponu esse correlati per custruisce una stampa di deteczione più larga.

Source: www.habr.com

Add a comment