ProHoster > Blog > administration > DNS-sikkerhedsvejledning

DNS-sikkerhedsvejledning

DNS-sikkerhedsvejledning

Uanset hvad virksomheden gør, sikkerhed DNS bør være en integreret del af dens sikkerhedsplan. Navnetjenester, som opløser værtsnavne til IP-adresser, bruges af stort set alle applikationer og tjenester på netværket.

Hvis en angriber får kontrol over en organisations DNS, kan han nemt:

  • giv dig selv kontrol over delte ressourcer
  • omdirigere indgående e-mails samt webanmodninger og autentificeringsforsøg
  • oprette og validere SSL/TLS-certifikater

Denne vejledning ser på DNS-sikkerhed fra to vinkler:

  1. Udførelse af løbende overvågning og kontrol over DNS
  2. Hvordan nye DNS-protokoller såsom DNSSEC, DOH og DoT kan hjælpe med at beskytte integriteten og fortroligheden af ​​transmitterede DNS-anmodninger

Hvad er DNS-sikkerhed?

DNS-sikkerhedsvejledning

Begrebet DNS-sikkerhed omfatter to vigtige komponenter:

  1. Sikring af den overordnede integritet og tilgængelighed af DNS-tjenester, der løser værtsnavne til IP-adresser
  2. Overvåg DNS-aktivitet for at identificere mulige sikkerhedsproblemer overalt på dit netværk

Hvorfor er DNS sårbar over for angreb?

DNS-teknologi blev skabt i de tidlige dage af internettet, længe før nogen overhovedet begyndte at tænke på netværkssikkerhed. DNS fungerer uden godkendelse eller kryptering, og behandler blindt anmodninger fra enhver bruger.

På grund af dette er der mange måder at bedrage brugeren og forfalske oplysninger om, hvor opløsningen af ​​navne til IP-adresser rent faktisk finder sted.

DNS-sikkerhed: Problemer og komponenter

DNS-sikkerhedsvejledning

DNS-sikkerhed består af flere grundlæggende komponenter, som hver især skal tages i betragtning for at sikre fuldstændig beskyttelse:

  • Styrkelse af serversikkerhed og administrationsprocedurer: øge niveauet af serversikkerhed og oprette en standard idriftsættelsesskabelon
  • Protokolforbedringer: implementere DNSSEC, DoT eller DoH
  • Analyse og rapportering: tilføje en DNS-hændelseslog til dit SIEM-system for yderligere kontekst, når du undersøger hændelser
  • Cyber ​​​​intelligens og trusselsdetektion: abonnere på et aktivt trusselsefterretningsfeed
  • Automatisering: oprette så mange scripts som muligt for at automatisere processer

De ovennævnte komponenter på højt niveau er kun toppen af ​​DNS-sikkerhedens isbjerg. I det næste afsnit vil vi dykke ned i mere specifikke use cases og bedste praksis, du har brug for at vide om.

DNS-angreb

DNS-sikkerhedsvejledning

  • DNS-spoofing eller cacheforgiftning: at udnytte en systemsårbarhed til at manipulere DNS-cachen til at omdirigere brugere til en anden placering
  • DNS-tunneling: bruges primært til at omgå fjernforbindelsesbeskyttelse
  • DNS-kapring: omdirigere normal DNS-trafik til en anden mål-DNS-server ved at ændre domæneregistratoren
  • NXDOMAIN angreb: udføre et DDoS-angreb på en autoritativ DNS-server ved at sende illegitime domæneforespørgsler for at opnå et tvungent svar
  • fantom domæne: får DNS-resolveren til at vente på et svar fra ikke-eksisterende domæner, hvilket resulterer i dårlig ydeevne
  • angreb på et tilfældigt underdomæne: kompromitterede værter og botnet starter et DDoS-angreb på et gyldigt domæne, men fokuserer deres ild på falske underdomæner for at tvinge DNS-serveren til at slå optegnelser og overtage kontrollen over tjenesten
  • domæneblokering: sender flere spam-svar for at blokere DNS-serverressourcer
  • Botnet-angreb fra abonnentudstyr: en samling af computere, modemer, routere og andre enheder, der koncentrerer computerkraften på et specifikt websted for at overbelaste det med trafikanmodninger

DNS-angreb

Angreb, der på en eller anden måde bruger DNS til at angribe andre systemer (dvs. at ændre DNS-poster er ikke slutmålet):

  • Hurtig Flux
  • Single Flux netværk
  • Double Flux netværk
  • DNS-tunneling

DNS-angreb

Angreb, der resulterer i, at den IP-adresse, som angriberen skal bruge, returneres fra DNS-serveren:

  • DNS-spoofing eller cacheforgiftning
  • DNS-kapring

Hvad er DNSSEC?

DNS-sikkerhedsvejledning

DNSSEC - Domain Name Service Security Engines - bruges til at validere DNS-poster uden at skulle kende generelle oplysninger for hver specifik DNS-anmodning.

DNSSEC bruger Digital Signature Keys (PKI'er) til at kontrollere, om resultaterne af en domænenavnsforespørgsel kom fra en gyldig kilde.
Implementering af DNSSEC er ikke kun en bedste praksis i branchen, men det er også effektivt til at undgå de fleste DNS-angreb.

Sådan fungerer DNSSEC

DNSSEC fungerer på samme måde som TLS/HTTPS og bruger offentlige og private nøglepar til digitalt at signere DNS-poster. Generelt overblik over processen:

  1. DNS-poster er signeret med et privat-privat nøglepar
  2. Svar på DNSSEC-forespørgsler indeholder den anmodede post samt signaturen og den offentlige nøgle
  3. derefter offentlig nøgle bruges til at sammenligne ægtheden af ​​en post og en signatur

DNS- og DNSSEC-sikkerhed

DNS-sikkerhedsvejledning

DNSSEC er et værktøj til at kontrollere integriteten af ​​DNS-forespørgsler. Det påvirker ikke DNS-privatliv. Med andre ord kan DNSSEC give dig tillid til, at svaret på din DNS-forespørgsel ikke er blevet manipuleret, men enhver angriber kan se disse resultater, som de blev sendt til dig.

DoT - DNS over TLS

Transport Layer Security (TLS) er en kryptografisk protokol til beskyttelse af information, der sendes over en netværksforbindelse. Når en sikker TLS-forbindelse er etableret mellem klienten og serveren, er de overførte data krypteret, og ingen mellemmand kan se dem.

TLS mest almindeligt brugt som en del af HTTPS (SSL) i din webbrowser, fordi anmodninger sendes til sikre HTTP-servere.

DNS-over-TLS (DNS over TLS, DoT) bruger TLS-protokollen til at kryptere UDP-trafikken for almindelige DNS-anmodninger.
Kryptering af disse anmodninger i almindelig tekst hjælper med at beskytte brugere eller applikationer, der fremsætter anmodninger, mod flere angreb.

  • MitM, eller "mand i midten": Uden kryptering kan det mellemliggende system mellem klienten og den autoritative DNS-server potentielt sende falsk eller farlig information til klienten som svar på en anmodning
  • Spionage og sporing: Uden at kryptere anmodninger er det nemt for middleware-systemer at se, hvilke websteder en bestemt bruger eller applikation har adgang til. Selvom DNS alene ikke vil afsløre den specifikke side, der besøges på et websted, er blot at kende de anmodede domæner nok til at oprette en profil af et system eller en person

DNS-sikkerhedsvejledning
Kilde: University of California Irvine

DoH - DNS over HTTPS

DNS-over-HTTPS (DNS over HTTPS, DoH) er en eksperimentel protokol, der promoveres i fællesskab af Mozilla og Google. Dens mål ligner DoT-protokollen - at forbedre folks privatliv online ved at kryptere DNS-anmodninger og -svar.

Standard DNS-forespørgsler sendes over UDP. Forespørgsler og svar kan spores ved hjælp af værktøjer som f.eks Wireshark. DoT krypterer disse anmodninger, men de er stadig identificeret som ret tydelig UDP-trafik på netværket.

DoH tager en anden tilgang og sender krypterede værtsnavne-opløsningsanmodninger over HTTPS-forbindelser, som ligner enhver anden webanmodning over netværket.

Denne forskel har meget vigtige konsekvenser både for systemadministratorer og for fremtidens navneløsning.

  1. DNS-filtrering er en almindelig måde at filtrere webtrafik på for at beskytte brugere mod phishing-angreb, websteder, der distribuerer malware eller anden potentielt skadelig internetaktivitet på et virksomhedsnetværk. DoH-protokollen omgår disse filtre, hvilket potentielt udsætter brugere og netværket for større risiko.
  2. I den nuværende navneopløsningsmodel modtager hver enhed på netværket mere eller mindre DNS-forespørgsler fra den samme placering (en specificeret DNS-server). DoH, og i særdeleshed Firefoxs implementering af det, viser, at dette kan ændre sig i fremtiden. Hver applikation på en computer kan modtage data fra forskellige DNS-kilder, hvilket gør fejlfinding, sikkerhed og risikomodellering meget mere kompleks.

DNS-sikkerhedsvejledning
Kilde: www.varonis.com/blog/what-is-powershell

Hvad er forskellen mellem DNS over TLS og DNS over HTTPS?

Lad os starte med DNS over TLS (DoT). Hovedpointen her er, at den originale DNS-protokol ikke ændres, men blot transmitteres sikkert over en sikker kanal. DoH, på den anden side, sætter DNS i HTTP-format, før de fremsætter anmodninger.

DNS-overvågningsadvarsler

DNS-sikkerhedsvejledning

Evnen til effektivt at overvåge DNS-trafik på dit netværk for mistænkelige anomalier er afgørende for tidlig opdagelse af et brud. Brug af et værktøj som Varonis Edge vil give dig mulighed for at holde dig på toppen af ​​alle de vigtige metrikker og oprette profiler for hver konto på dit netværk. Du kan konfigurere advarsler til at blive genereret som et resultat af en kombination af handlinger, der forekommer over en bestemt periode.

Overvågning af DNS-ændringer, kontoplaceringer, førstegangsbrug og adgang til følsomme data og aktivitet efter arbejdstid er blot nogle få målinger, der kan korreleres for at opbygge et bredere detektionsbillede.

Kilde: www.habr.com

Tilføj en kommentar