Uanset hvad virksomheden gør, sikkerhed DNS bør være en integreret del af dens sikkerhedsplan. Navnetjenester, som opløser værtsnavne til IP-adresser, bruges af stort set alle applikationer og tjenester på netværket.
Hvis en angriber får kontrol over en organisations DNS, kan han nemt:
giv dig selv kontrol over delte ressourcer
omdirigere indgående e-mails samt webanmodninger og autentificeringsforsøg
oprette og validere SSL/TLS-certifikater
Denne vejledning ser på DNS-sikkerhed fra to vinkler:
Udførelse af løbende overvågning og kontrol over DNS
Hvordan nye DNS-protokoller såsom DNSSEC, DOH og DoT kan hjælpe med at beskytte integriteten og fortroligheden af transmitterede DNS-anmodninger
Hvad er DNS-sikkerhed?
Begrebet DNS-sikkerhed omfatter to vigtige komponenter:
Sikring af den overordnede integritet og tilgængelighed af DNS-tjenester, der løser værtsnavne til IP-adresser
Overvåg DNS-aktivitet for at identificere mulige sikkerhedsproblemer overalt på dit netværk
Hvorfor er DNS sårbar over for angreb?
DNS-teknologi blev skabt i de tidlige dage af internettet, længe før nogen overhovedet begyndte at tænke på netværkssikkerhed. DNS fungerer uden godkendelse eller kryptering, og behandler blindt anmodninger fra enhver bruger.
På grund af dette er der mange måder at bedrage brugeren og forfalske oplysninger om, hvor opløsningen af navne til IP-adresser rent faktisk finder sted.
DNS-sikkerhed: Problemer og komponenter
DNS-sikkerhed består af flere grundlæggende komponenter, som hver især skal tages i betragtning for at sikre fuldstændig beskyttelse:
Styrkelse af serversikkerhed og administrationsprocedurer: øge niveauet af serversikkerhed og oprette en standard idriftsættelsesskabelon
Protokolforbedringer: implementere DNSSEC, DoT eller DoH
Analyse og rapportering: tilføje en DNS-hændelseslog til dit SIEM-system for yderligere kontekst, når du undersøger hændelser
Cyber intelligens og trusselsdetektion: abonnere på et aktivt trusselsefterretningsfeed
Automatisering: oprette så mange scripts som muligt for at automatisere processer
De ovennævnte komponenter på højt niveau er kun toppen af DNS-sikkerhedens isbjerg. I det næste afsnit vil vi dykke ned i mere specifikke use cases og bedste praksis, du har brug for at vide om.
DNS-angreb
DNS-spoofing eller cacheforgiftning: at udnytte en systemsårbarhed til at manipulere DNS-cachen til at omdirigere brugere til en anden placering
DNS-tunneling: bruges primært til at omgå fjernforbindelsesbeskyttelse
DNS-kapring: omdirigere normal DNS-trafik til en anden mål-DNS-server ved at ændre domæneregistratoren
NXDOMAIN angreb: udføre et DDoS-angreb på en autoritativ DNS-server ved at sende illegitime domæneforespørgsler for at opnå et tvungent svar
fantom domæne: får DNS-resolveren til at vente på et svar fra ikke-eksisterende domæner, hvilket resulterer i dårlig ydeevne
angreb på et tilfældigt underdomæne: kompromitterede værter og botnet starter et DDoS-angreb på et gyldigt domæne, men fokuserer deres ild på falske underdomæner for at tvinge DNS-serveren til at slå optegnelser og overtage kontrollen over tjenesten
domæneblokering: sender flere spam-svar for at blokere DNS-serverressourcer
Botnet-angreb fra abonnentudstyr: en samling af computere, modemer, routere og andre enheder, der koncentrerer computerkraften på et specifikt websted for at overbelaste det med trafikanmodninger
DNS-angreb
Angreb, der på en eller anden måde bruger DNS til at angribe andre systemer (dvs. at ændre DNS-poster er ikke slutmålet):
Angreb, der resulterer i, at den IP-adresse, som angriberen skal bruge, returneres fra DNS-serveren:
DNS-spoofing eller cacheforgiftning
DNS-kapring
Hvad er DNSSEC?
DNSSEC - Domain Name Service Security Engines - bruges til at validere DNS-poster uden at skulle kende generelle oplysninger for hver specifik DNS-anmodning.
DNSSEC bruger Digital Signature Keys (PKI'er) til at kontrollere, om resultaterne af en domænenavnsforespørgsel kom fra en gyldig kilde.
Implementering af DNSSEC er ikke kun en bedste praksis i branchen, men det er også effektivt til at undgå de fleste DNS-angreb.
Sådan fungerer DNSSEC
DNSSEC fungerer på samme måde som TLS/HTTPS og bruger offentlige og private nøglepar til digitalt at signere DNS-poster. Generelt overblik over processen:
DNS-poster er signeret med et privat-privat nøglepar
Svar på DNSSEC-forespørgsler indeholder den anmodede post samt signaturen og den offentlige nøgle
derefter offentlig nøgle bruges til at sammenligne ægtheden af en post og en signatur
DNS- og DNSSEC-sikkerhed
DNSSEC er et værktøj til at kontrollere integriteten af DNS-forespørgsler. Det påvirker ikke DNS-privatliv. Med andre ord kan DNSSEC give dig tillid til, at svaret på din DNS-forespørgsel ikke er blevet manipuleret, men enhver angriber kan se disse resultater, som de blev sendt til dig.
DoT - DNS over TLS
Transport Layer Security (TLS) er en kryptografisk protokol til beskyttelse af information, der sendes over en netværksforbindelse. Når en sikker TLS-forbindelse er etableret mellem klienten og serveren, er de overførte data krypteret, og ingen mellemmand kan se dem.
TLS mest almindeligt brugt som en del af HTTPS (SSL) i din webbrowser, fordi anmodninger sendes til sikre HTTP-servere.
DNS-over-TLS (DNS over TLS, DoT) bruger TLS-protokollen til at kryptere UDP-trafikken for almindelige DNS-anmodninger.
Kryptering af disse anmodninger i almindelig tekst hjælper med at beskytte brugere eller applikationer, der fremsætter anmodninger, mod flere angreb.
MitM, eller "mand i midten": Uden kryptering kan det mellemliggende system mellem klienten og den autoritative DNS-server potentielt sende falsk eller farlig information til klienten som svar på en anmodning
Spionage og sporing: Uden at kryptere anmodninger er det nemt for middleware-systemer at se, hvilke websteder en bestemt bruger eller applikation har adgang til. Selvom DNS alene ikke vil afsløre den specifikke side, der besøges på et websted, er blot at kende de anmodede domæner nok til at oprette en profil af et system eller en person
DNS-over-HTTPS (DNS over HTTPS, DoH) er en eksperimentel protokol, der promoveres i fællesskab af Mozilla og Google. Dens mål ligner DoT-protokollen - at forbedre folks privatliv online ved at kryptere DNS-anmodninger og -svar.
Standard DNS-forespørgsler sendes over UDP. Forespørgsler og svar kan spores ved hjælp af værktøjer som f.eks Wireshark. DoT krypterer disse anmodninger, men de er stadig identificeret som ret tydelig UDP-trafik på netværket.
DoH tager en anden tilgang og sender krypterede værtsnavne-opløsningsanmodninger over HTTPS-forbindelser, som ligner enhver anden webanmodning over netværket.
Denne forskel har meget vigtige konsekvenser både for systemadministratorer og for fremtidens navneløsning.
DNS-filtrering er en almindelig måde at filtrere webtrafik på for at beskytte brugere mod phishing-angreb, websteder, der distribuerer malware eller anden potentielt skadelig internetaktivitet på et virksomhedsnetværk. DoH-protokollen omgår disse filtre, hvilket potentielt udsætter brugere og netværket for større risiko.
I den nuværende navneopløsningsmodel modtager hver enhed på netværket mere eller mindre DNS-forespørgsler fra den samme placering (en specificeret DNS-server). DoH, og i særdeleshed Firefoxs implementering af det, viser, at dette kan ændre sig i fremtiden. Hver applikation på en computer kan modtage data fra forskellige DNS-kilder, hvilket gør fejlfinding, sikkerhed og risikomodellering meget mere kompleks.
Hvad er forskellen mellem DNS over TLS og DNS over HTTPS?
Lad os starte med DNS over TLS (DoT). Hovedpointen her er, at den originale DNS-protokol ikke ændres, men blot transmitteres sikkert over en sikker kanal. DoH, på den anden side, sætter DNS i HTTP-format, før de fremsætter anmodninger.
DNS-overvågningsadvarsler
Evnen til effektivt at overvåge DNS-trafik på dit netværk for mistænkelige anomalier er afgørende for tidlig opdagelse af et brud. Brug af et værktøj som Varonis Edge vil give dig mulighed for at holde dig på toppen af alle de vigtige metrikker og oprette profiler for hver konto på dit netværk. Du kan konfigurere advarsler til at blive genereret som et resultat af en kombination af handlinger, der forekommer over en bestemt periode.
Overvågning af DNS-ændringer, kontoplaceringer, førstegangsbrug og adgang til følsomme data og aktivitet efter arbejdstid er blot nogle få målinger, der kan korreleres for at opbygge et bredere detektionsbillede.