Canllaw Diogelwch DNS

Beth bynnag mae'r cwmni'n ei wneud, diogelwch DNS dylai fod yn rhan annatod o'i gynllun diogelwch. Mae gwasanaethau enw, sy'n datrys enwau gwesteiwr i gyfeiriadau IP, yn cael eu defnyddio gan bron bob rhaglen a gwasanaeth ar y rhwydwaith.

Os yw ymosodwr yn ennill rheolaeth ar DNS sefydliad, gall yn hawdd:

• rhoi rheolaeth dros adnoddau a rennir
• ailgyfeirio e-byst sy'n dod i mewn yn ogystal â cheisiadau gwe ac ymdrechion dilysu
• creu a dilysu tystysgrifau SSL/TLS

Mae'r canllaw hwn yn edrych ar ddiogelwch DNS o ddwy ongl:

1. Perfformio monitro a rheolaeth barhaus dros DNS
2. Sut y gall protocolau DNS newydd fel DNSSEC, DOH a DoT helpu i ddiogelu cywirdeb a chyfrinachedd ceisiadau DNS a drosglwyddir

Beth yw diogelwch DNS?

Mae'r cysyniad o ddiogelwch DNS yn cynnwys dwy gydran bwysig:

1. Sicrhau cywirdeb cyffredinol ac argaeledd gwasanaethau DNS sy'n datrys enwau gwesteiwr i gyfeiriadau IP
2. Monitro gweithgaredd DNS i nodi materion diogelwch posibl unrhyw le ar eich rhwydwaith

Pam mae DNS yn agored i ymosodiadau?

Crëwyd technoleg DNS yn nyddiau cynnar y Rhyngrwyd, ymhell cyn i unrhyw un hyd yn oed ddechrau meddwl am ddiogelwch rhwydwaith. Mae DNS yn gweithredu heb ddilysu neu amgryptio, gan brosesu ceisiadau gan unrhyw ddefnyddiwr yn ddall.

Oherwydd hyn, mae yna lawer o ffyrdd i dwyllo'r defnyddiwr a ffugio gwybodaeth am ble mae datrysiad enwau i gyfeiriadau IP yn digwydd mewn gwirionedd.

Diogelwch DNS: Materion a Chydrannau

Mae diogelwch DNS yn cynnwys sawl elfen sylfaenol cydrannau, a rhaid ystyried pob un ohonynt i sicrhau amddiffyniad llwyr:

• Cryfhau gweithdrefnau diogelwch a rheoli gweinyddwyr: cynyddu lefel diogelwch gweinydd a chreu templed comisiynu safonol
• Gwelliannau protocol: gweithredu DNSSEC, DoT neu DoH
• Dadansoddeg ac adrodd: ychwanegu log digwyddiad DNS i'ch system SIEM ar gyfer cyd-destun ychwanegol wrth ymchwilio i ddigwyddiadau
• Cudd-wybodaeth Seiber a Chanfod Bygythiad: tanysgrifio i borthiant cudd-wybodaeth bygythiad gweithredol
• Awtomatiaeth: creu cymaint o sgriptiau â phosibl i awtomeiddio prosesau

Dim ond blaen y mynydd iâ diogelwch DNS yw'r cydrannau lefel uchel a grybwyllir uchod. Yn yr adran nesaf, byddwn yn plymio i achosion defnydd mwy penodol ac arferion gorau y mae angen i chi wybod amdanynt.

Ymosodiadau DNS

• DNS spoofing neu wenwyn cache: manteisio ar fregusrwydd system i drin y storfa DNS i ailgyfeirio defnyddwyr i leoliad arall
• twnelu DNS: a ddefnyddir yn bennaf i osgoi amddiffyniadau cysylltiad o bell
• herwgipio DNS: ailgyfeirio traffig DNS arferol i weinydd DNS targed gwahanol trwy newid y cofrestrydd parth
• Ymosodiad NXDOMAIN: cynnal ymosodiad DDoS ar weinydd DNS awdurdodol trwy anfon ymholiadau parth anghyfreithlon i gael ymateb gorfodol
• parth rhithiol: yn achosi i'r datryswr DNS aros am ymateb gan barthau nad ydynt yn bodoli, gan arwain at berfformiad gwael
• ymosod ar is-barth ar hap: mae gwesteiwyr a botnets dan fygythiad yn lansio ymosodiad DDoS ar barth dilys, ond yn canolbwyntio eu tân ar is-barthau ffug i orfodi'r gweinydd DNS i chwilio am gofnodion a chymryd rheolaeth dros y gwasanaeth
• blocio parth: yn anfon ymatebion sbam lluosog i rwystro adnoddau gweinydd DNS
• Ymosodiad botnet gan offer tanysgrifiwr: casgliad o gyfrifiaduron, modemau, llwybryddion a dyfeisiau eraill sy'n canolbwyntio pŵer cyfrifiadurol ar wefan benodol i'w orlwytho â cheisiadau traffig

Ymosodiadau DNS

Ymosodiadau sydd rywsut yn defnyddio'r DNS i ymosod ar systemau eraill (h.y. nid newid cofnodion DNS yw'r nod terfynol):

• Cyflym-Flux
• Rhwydweithiau Flux Sengl
• Rhwydweithiau Flux Dwbl
• twnelu DNS

Ymosodiadau DNS

Ymosodiadau sy'n arwain at ddychwelyd y cyfeiriad IP sydd ei angen ar yr ymosodwr o'r gweinydd DNS:

• DNS spoofing neu wenwyn cache
• herwgipio DNS

Beth yw DNSSEC?

DNSSEC - Peiriannau Diogelwch Gwasanaeth Enw Parth - yn cael eu defnyddio i ddilysu cofnodion DNS heb fod angen gwybod gwybodaeth gyffredinol ar gyfer pob cais DNS penodol.

Mae DNSSEC yn defnyddio Allweddi Llofnod Digidol (PKIs) i wirio a ddaeth canlyniadau ymholiad enw parth o ffynhonnell ddilys.
Mae gweithredu DNSSEC nid yn unig yn arfer gorau yn y diwydiant, ond mae hefyd yn effeithiol wrth osgoi'r rhan fwyaf o ymosodiadau DNS.

Sut mae DNSSEC yn gweithio

Mae DNSSEC yn gweithio'n debyg i TLS/HTTPS, gan ddefnyddio parau allweddi cyhoeddus a phreifat i lofnodi cofnodion DNS yn ddigidol. Trosolwg cyffredinol o'r broses:

1. Mae cofnodion DNS wedi'u llofnodi â phâr o allweddi preifat-preifat
2. Mae ymatebion i ymholiadau DNSSEC yn cynnwys y cofnod y gofynnwyd amdano yn ogystal â'r llofnod a'r allwedd gyhoeddus
3. Yna allwedd gyhoeddus a ddefnyddir i gymharu dilysrwydd cofnod a llofnod

DNS a DNSSEC Security

Offeryn ar gyfer gwirio cywirdeb ymholiadau DNS yw DNSSEC. Nid yw'n effeithio ar breifatrwydd DNS. Mewn geiriau eraill, gall DNSSEC roi hyder i chi nad yw'r ateb i'ch ymholiad DNS wedi'i ymyrryd ag ef, ond gall unrhyw ymosodwr weld y canlyniadau hynny wrth iddynt gael eu hanfon atoch.

DoT - DNS dros TLS

Mae Transport Layer Security (TLS) yn brotocol cryptograffig ar gyfer diogelu gwybodaeth a drosglwyddir dros gysylltiad rhwydwaith. Unwaith y bydd cysylltiad TLS diogel wedi'i sefydlu rhwng y cleient a'r gweinydd, caiff y data a drosglwyddir ei amgryptio ac ni all unrhyw gyfryngwr ei weld.

TLS a ddefnyddir amlaf fel rhan o HTTPS (SSL) yn eich porwr gwe oherwydd anfonir ceisiadau at weinyddion HTTP diogel.

Mae DNS-over-TLS (DNS dros TLS, DoT) yn defnyddio'r protocol TLS i amgryptio traffig CDU ceisiadau DNS rheolaidd.
Mae amgryptio'r ceisiadau hyn mewn testun plaen yn helpu i amddiffyn defnyddwyr neu raglenni sy'n gwneud ceisiadau rhag sawl ymosodiad.

• MitM, neu "ddyn yn y canol": Heb amgryptio, gallai'r system ganolraddol rhwng y cleient a'r gweinydd DNS awdurdodol anfon gwybodaeth ffug neu beryglus i'r cleient mewn ymateb i gais
• Ysbïo ac olrhain: Heb amgryptio ceisiadau, mae'n hawdd i systemau canolwedd weld pa wefannau y mae defnyddiwr neu raglen benodol yn eu cyrchu. Er na fydd DNS yn unig yn datgelu'r dudalen benodol yr ymwelir â hi ar wefan, mae gwybod y parthau y gofynnwyd amdanynt yn ddigon i greu proffil o system neu unigolyn

Ffynhonnell: Prifysgol California Irvine

DoH - DNS dros HTTPS

Mae DNS-over-HTTPS (DNS dros HTTPS, DoH) yn brotocol arbrofol a hyrwyddir ar y cyd gan Mozilla a Google. Mae ei nodau yn debyg i brotocol DoT - gwella preifatrwydd pobl ar-lein trwy amgryptio ceisiadau ac ymatebion DNS.

Anfonir ymholiadau DNS safonol dros y CDU. Gellir olrhain ceisiadau ac ymatebion gan ddefnyddio offer megis Wireshark. Mae DoT yn amgryptio'r ceisiadau hyn, ond maent yn dal i gael eu nodi fel traffig CDU eithaf gwahanol ar y rhwydwaith.

Mae'r Adran Iechyd yn cymryd agwedd wahanol ac yn anfon ceisiadau datrysiad enw gwesteiwr wedi'u hamgryptio dros gysylltiadau HTTPS, sy'n edrych fel unrhyw gais gwe arall dros y rhwydwaith.

Mae gan y gwahaniaeth hwn oblygiadau pwysig iawn i weinyddwyr systemau ac i ddyfodol datrysiad enwau.

1. Mae hidlo DNS yn ffordd gyffredin o hidlo traffig gwe i amddiffyn defnyddwyr rhag ymosodiadau gwe-rwydo, gwefannau sy'n dosbarthu malware, neu weithgaredd Rhyngrwyd a allai fod yn niweidiol arall ar rwydwaith corfforaethol. Mae protocol yr Adran Iechyd yn osgoi'r ffilterau hyn, gan wneud defnyddwyr a'r rhwydwaith o bosibl yn agored i fwy o risg.
2. Yn y model datrys enw cyfredol, mae pob dyfais ar y rhwydwaith fwy neu lai yn derbyn ymholiadau DNS o'r un lleoliad (gweinydd DNS penodedig). Mae'r Adran Iechyd, ac yn arbennig y modd y mae Firefox yn ei weithredu, yn dangos y gallai hyn newid yn y dyfodol. Gall pob cymhwysiad ar gyfrifiadur dderbyn data o wahanol ffynonellau DNS, gan wneud datrys problemau, diogelwch a modelu risg yn llawer mwy cymhleth.

Ffynhonnell: www.varonis.com/blog/what-is-powershell

Beth yw'r gwahaniaeth rhwng DNS dros TLS a DNS dros HTTPS?

Gadewch i ni ddechrau gyda DNS dros TLS (DoT). Y prif bwynt yma yw nad yw'r protocol DNS gwreiddiol yn cael ei newid, ond ei fod yn cael ei drosglwyddo'n ddiogel dros sianel ddiogel. Ar y llaw arall, mae DoH yn rhoi DNS i fformat HTTP cyn gwneud ceisiadau.

Rhybuddion Monitro DNS

Mae'r gallu i fonitro traffig DNS yn effeithiol ar eich rhwydwaith am anomaleddau amheus yn hanfodol i ganfod toriad yn gynnar. Bydd defnyddio teclyn fel Varonis Edge yn rhoi'r gallu i chi gadw ar ben yr holl fetrigau pwysig a chreu proffiliau ar gyfer pob cyfrif ar eich rhwydwaith. Gallwch chi ffurfweddu rhybuddion i'w cynhyrchu o ganlyniad i gyfuniad o gamau gweithredu sy'n digwydd dros gyfnod penodol o amser.

Mae monitro newidiadau DNS, lleoliadau cyfrifon, defnydd tro cyntaf a mynediad at ddata sensitif, a gweithgaredd ar ôl oriau yn ddim ond ychydig o fetrigau y gellir eu cydberthyn i adeiladu darlun canfod ehangach.

Ffynhonnell: hab.com