Ať už společnost dělá cokoli, bezpečnost DNS by měla být nedílnou součástí jejího bezpečnostního plánu. Názvové služby, které překládají názvy hostitelů na IP adresy, jsou používány prakticky každou aplikací a službou v síti.
Pokud útočník získá kontrolu nad DNS organizace, může snadno:
dejte si kontrolu nad sdílenými zdroji
přesměrovat příchozí e-maily i webové požadavky a pokusy o ověření
vytvářet a ověřovat certifikáty SSL/TLS
Tato příručka se zabývá zabezpečením DNS ze dvou úhlů:
Provádění nepřetržitého monitorování a kontroly nad DNS
Jak mohou nové protokoly DNS, jako jsou DNSSEC, DOH a DoT, pomoci chránit integritu a důvěrnost přenášených požadavků DNS
Co je zabezpečení DNS?
Koncept zabezpečení DNS zahrnuje dvě důležité složky:
Zajištění celkové integrity a dostupnosti služeb DNS, které převádějí názvy hostitelů na adresy IP
Monitorujte aktivitu DNS a identifikujte možné problémy se zabezpečením kdekoli ve vaší síti
Proč je DNS zranitelný vůči útokům?
Technologie DNS byla vytvořena v počátcích internetu, dlouho předtím, než někdo vůbec začal přemýšlet o zabezpečení sítě. DNS funguje bez ověřování nebo šifrování, slepě zpracovává požadavky od jakéhokoli uživatele.
Z tohoto důvodu existuje mnoho způsobů, jak oklamat uživatele a zfalšovat informace o tom, kde vlastně probíhá překlad jmen na IP adresy.
Zabezpečení DNS: Problémy a součásti
Zabezpečení DNS se skládá z několika základních komponenty, z nichž každý musí být zohledněn, aby byla zajištěna úplná ochrana:
Posílení zabezpečení serveru a postupů správy: zvýšit úroveň zabezpečení serveru a vytvořit standardní šablonu pro uvedení do provozu
Vylepšení protokolu: implementovat DNSSEC, DoT nebo DoH
Analýzy a přehledy: přidejte do svého systému SIEM protokol událostí DNS pro další kontext při vyšetřování incidentů
Kybernetická inteligence a detekce hrozeb: přihlásit se k odběru aktivního informačního kanálu o hrozbách
Automatizace: vytvořit co nejvíce skriptů pro automatizaci procesů
Výše zmíněné komponenty na vysoké úrovni jsou jen špičkou ledovce zabezpečení DNS. V další části se ponoříme do konkrétnějších případů použití a osvědčených postupů, o kterých potřebujete vědět.
DNS tunelování: primárně se používá k obejití ochrany vzdáleného připojení
Únos DNS: přesměrování běžného provozu DNS na jiný cílový server DNS změnou registrátora domény
Útok NXDOMAIN: provádění DDoS útoku na autoritativní server DNS odesíláním nelegitimních doménových dotazů za účelem získání vynucené odpovědi
fantomová doména: způsobí, že překladač DNS čeká na odpověď z neexistujících domén, což má za následek slabý výkon
útok na náhodnou subdoménu: kompromitovaní hostitelé a botnety zahájí DDoS útok na platnou doménu, ale zaměří svou palbu na falešné subdomény, aby donutily DNS server vyhledat záznamy a převzít kontrolu nad službou
blokování domény: odesílá více spamových odpovědí za účelem blokování zdrojů serveru DNS
Botnetový útok ze zařízení předplatitele: sbírka počítačů, modemů, směrovačů a dalších zařízení, která soustředí výpočetní výkon na konkrétní web, aby jej přetížily požadavky na provoz
DNS útoky
Útoky, které nějakým způsobem využívají DNS k útoku na jiné systémy (tj. změna DNS záznamů není konečným cílem):
Útoky, které vedou k tomu, že IP adresa potřebná útočníkem je vrácena ze serveru DNS:
DNS spoofing nebo otrava mezipaměti
Únos DNS
Co je DNSSEC?
DNSSEC – Domain Name Service Security Engines – se používají k ověření DNS záznamů, aniž byste potřebovali znát obecné informace pro každý konkrétní DNS požadavek.
DNSSEC používá digitální podpisové klíče (PKI) k ověření, zda výsledky dotazu na název domény pocházejí z platného zdroje.
Implementace DNSSEC není jen osvědčeným postupem v oboru, ale je také účinná při předcházení většině útoků DNS.
Jak DNSSEC funguje
DNSSEC funguje podobně jako TLS/HTTPS, k digitálnímu podepisování DNS záznamů používá páry veřejného a soukromého klíče. Obecný přehled procesu:
DNS záznamy jsou podepisovány párem soukromých a soukromých klíčů
Odpovědi na DNSSEC dotazy obsahují požadovaný záznam a také podpis a veřejný klíč
pak veřejný klíč slouží k porovnání pravosti záznamu a podpisu
Zabezpečení DNS a DNSSEC
DNSSEC je nástroj pro kontrolu integrity DNS dotazů. Nemá vliv na soukromí DNS. Jinými slovy, DNSSEC vám může dát jistotu, že odpověď na váš DNS dotaz nebyla zmanipulována, ale každý útočník může vidět tyto výsledky tak, jak vám byly zaslány.
DoT – DNS přes TLS
Transport Layer Security (TLS) je kryptografický protokol pro ochranu informací přenášených přes síťové připojení. Jakmile je mezi klientem a serverem navázáno zabezpečené TLS spojení, přenášená data jsou zašifrována a žádný prostředník je nevidí.
TLS nejčastěji se používá jako součást HTTPS (SSL) ve vašem webovém prohlížeči, protože požadavky jsou odesílány na zabezpečené servery HTTP.
DNS-over-TLS (DNS over TLS, DoT) používá protokol TLS k šifrování UDP provozu běžných požadavků DNS.
Šifrování těchto požadavků v prostém textu pomáhá chránit uživatele nebo aplikace, které podávají požadavky, před několika útoky.
MitM, neboli „muž uprostřed“: Bez šifrování by zprostředkující systém mezi klientem a autoritativním serverem DNS mohl v reakci na požadavek potenciálně odeslat klientovi falešné nebo nebezpečné informace.
Špionáž a sledování: Bez šifrování požadavků mohou middlewarové systémy snadno zjistit, na které stránky konkrétní uživatel nebo aplikace přistupuje. Ačkoli samotný DNS neodhalí konkrétní navštívenou stránku na webu, k vytvoření profilu systému nebo jednotlivce stačí znát požadované domény.
DNS-over-HTTPS (DNS over HTTPS, DoH) je experimentální protokol propagovaný společně Mozillou a Googlem. Jeho cíle jsou podobné protokolu DoT – zlepšit soukromí lidí online pomocí šifrování požadavků a odpovědí DNS.
Standardní DNS dotazy jsou odesílány přes UDP. Požadavky a odpovědi lze sledovat pomocí nástrojů, jako je např Wireshark. DoT tyto požadavky zašifruje, ale stále jsou identifikovány jako poměrně odlišný UDP provoz v síti.
DoH používá jiný přístup a odesílá šifrované požadavky na rozlišení názvu hostitele přes připojení HTTPS, která vypadají jako jakýkoli jiný webový požadavek přes síť.
Tento rozdíl má velmi důležité důsledky jak pro systémové administrátory, tak pro budoucnost překladu jmen.
Filtrování DNS je běžný způsob filtrování webového provozu za účelem ochrany uživatelů před phishingovými útoky, weby, které šíří malware, nebo jinými potenciálně škodlivými internetovými aktivitami v podnikové síti. Protokol DoH tyto filtry obchází a potenciálně vystavuje uživatele a síť většímu riziku.
V aktuálním modelu překladu názvů každé zařízení v síti víceméně přijímá dotazy DNS ze stejného umístění (zadaný server DNS). DoH, a zejména jeho implementace Firefoxem, ukazuje, že se to může v budoucnu změnit. Každá aplikace v počítači může přijímat data z různých zdrojů DNS, takže řešení problémů, zabezpečení a modelování rizik je mnohem složitější.
Jaký je rozdíl mezi DNS přes TLS a DNS přes HTTPS?
Začněme DNS přes TLS (DoT). Hlavním bodem je, že původní protokol DNS se nemění, ale je jednoduše přenášen zabezpečeným kanálem. Na druhou stranu DoH vkládá DNS do formátu HTTP před odesláním požadavků.
Upozornění na monitorování DNS
Schopnost efektivně monitorovat provoz DNS ve vaší síti na podezřelé anomálie je zásadní pro včasné odhalení narušení. Použití nástroje, jako je Varonis Edge, vám dá možnost zůstat na vrcholu všech důležitých metrik a vytvářet profily pro každý účet ve vaší síti. Výstrahy můžete nakonfigurovat tak, aby byly generovány jako výsledek kombinace akcí, ke kterým dojde během určitého časového období.
Sledování změn DNS, umístění účtů, prvního použití a přístupu k citlivým datům a aktivity po pracovní době jsou jen některé metriky, které lze korelovat za účelem vytvoření širšího detekčního obrazu.