Was auch immer das Unternehmen tut, Sicherheit sollte ein integraler Bestandteil seines Sicherheitsplans sein. Namensdienste, die Hostnamen in IP-Adressen auflösen, werden von praktisch jeder Anwendung und jedem Dienst im Netzwerk verwendet.
Wenn ein Angreifer die Kontrolle über das DNS einer Organisation erlangt, kann er leicht:
- Geben Sie sich die Kontrolle über gemeinsam genutzte Ressourcen
- Leiten Sie eingehende E-Mails sowie Webanfragen und Authentifizierungsversuche um
- Erstellen und Validieren von SSL/TLS-Zertifikaten
In diesem Leitfaden wird die DNS-Sicherheit aus zwei Blickwinkeln betrachtet:
- Durchführen einer kontinuierlichen Überwachung und Kontrolle über DNS
- Wie neue DNS-Protokolle wie DNSSEC, DOH und DoT dazu beitragen können, die Integrität und Vertraulichkeit übertragener DNS-Anfragen zu schützen
Was ist DNS-Sicherheit?
Das Konzept der DNS-Sicherheit umfasst zwei wichtige Komponenten:
- Gewährleistung der allgemeinen Integrität und Verfügbarkeit von DNS-Diensten, die Hostnamen in IP-Adressen auflösen
- Überwachen Sie die DNS-Aktivität, um mögliche Sicherheitsprobleme überall in Ihrem Netzwerk zu erkennen
Warum ist DNS anfällig für Angriffe?
Die DNS-Technologie wurde in den Anfängen des Internets entwickelt, lange bevor irgendjemand überhaupt über Netzwerksicherheit nachdachte. DNS arbeitet ohne Authentifizierung oder Verschlüsselung und verarbeitet Anfragen von beliebigen Benutzern blind.
Aus diesem Grund gibt es viele Möglichkeiten, den Benutzer zu täuschen und Informationen darüber zu fälschen, wo die Auflösung von Namen in IP-Adressen tatsächlich stattfindet.
DNS-Sicherheit: Probleme und Komponenten
DNS-Sicherheit besteht aus mehreren grundlegenden Komponenten, die jeweils berücksichtigt werden müssen, um einen vollständigen Schutz zu gewährleisten:
- Stärkung der Serversicherheit und der Verwaltungsverfahren: Erhöhen Sie die Serversicherheit und erstellen Sie eine Standard-Inbetriebnahmevorlage
- Protokollverbesserungen: Implementieren Sie DNSSEC, DoT oder DoH
- Analyse und Berichterstattung: Fügen Sie Ihrem SIEM-System ein DNS-Ereignisprotokoll hinzu, um bei der Untersuchung von Vorfällen zusätzlichen Kontext zu erhalten
- Cyber Intelligence und Bedrohungserkennung: Abonnieren Sie einen aktiven Threat-Intelligence-Feed
- Automatisierung: Erstellen Sie so viele Skripte wie möglich, um Prozesse zu automatisieren
Die oben genannten High-Level-Komponenten sind nur die Spitze des DNS-Sicherheitseisbergs. Im nächsten Abschnitt gehen wir auf spezifischere Anwendungsfälle und Best Practices ein, die Sie kennen müssen.
DNS-Angriffe
- : Ausnutzen einer Systemschwachstelle, um den DNS-Cache zu manipulieren und Benutzer an einen anderen Standort umzuleiten
- : Wird hauptsächlich zur Umgehung des Fernverbindungsschutzes verwendet
- DNS-Hijacking: Umleiten des normalen DNS-Verkehrs auf einen anderen Ziel-DNS-Server durch Ändern des Domänenregistrators
- NXDOMAIN-Angriff: Durchführen eines DDoS-Angriffs auf einen autorisierenden DNS-Server durch Senden unzulässiger Domänenabfragen, um eine erzwungene Antwort zu erhalten
- Phantomdomäne: führt dazu, dass der DNS-Resolver auf eine Antwort von nicht vorhandenen Domänen wartet, was zu einer schlechten Leistung führt
- Angriff auf eine zufällige Subdomain: Kompromittierte Hosts und Botnetze starten einen DDoS-Angriff auf eine gültige Domäne, konzentrieren ihr Feuer jedoch auf gefälschte Subdomänen, um den DNS-Server zu zwingen, nach Datensätzen zu suchen und die Kontrolle über den Dienst zu übernehmen
- Domain-Blockierung: sendet mehrere Spam-Antworten, um DNS-Serverressourcen zu blockieren
- Botnet-Angriff von Teilnehmergeräten: eine Ansammlung von Computern, Modems, Routern und anderen Geräten, die die Rechenleistung auf eine bestimmte Website konzentrieren, um diese mit Verkehrsanfragen zu überlasten
DNS-Angriffe
Angriffe, die das DNS irgendwie nutzen, um andere Systeme anzugreifen (d. h. die Änderung von DNS-Einträgen ist nicht das Endziel):
- Schneller Fluss
- Single-Flux-Netzwerke
- Double-Flux-Netzwerke
DNS-Angriffe
Angriffe, die dazu führen, dass die vom Angreifer benötigte IP-Adresse vom DNS-Server zurückgegeben wird:
- DNS-Spoofing oder Cache-Poisoning
- DNS-Hijacking
Was ist DNSSEC?
DNSSEC – Domain Name Service Security Engines – werden zur Validierung von DNS-Einträgen verwendet, ohne dass allgemeine Informationen für jede spezifische DNS-Anfrage bekannt sein müssen.
DNSSEC verwendet digitale Signaturschlüssel (PKIs), um zu überprüfen, ob die Ergebnisse einer Domänennamenabfrage aus einer gültigen Quelle stammen.
Die Implementierung von DNSSEC ist nicht nur eine branchenweit bewährte Methode, sondern verhindert auch effektiv die meisten DNS-Angriffe.
So funktioniert DNSSEC
DNSSEC funktioniert ähnlich wie TLS/HTTPS und verwendet öffentliche und private Schlüsselpaare, um DNS-Einträge digital zu signieren. Allgemeiner Überblick über den Prozess:
- DNS-Einträge werden mit einem privaten-privaten Schlüsselpaar signiert
- Antworten auf DNSSEC-Anfragen enthalten den angeforderten Datensatz sowie die Signatur und den öffentlichen Schlüssel
- Dann Wird verwendet, um die Authentizität einer Aufzeichnung und einer Signatur zu vergleichen
DNS- und DNSSEC-Sicherheit
DNSSEC ist ein Tool zur Überprüfung der Integrität von DNS-Anfragen. Der DNS-Datenschutz wird dadurch nicht beeinträchtigt. Mit anderen Worten: DNSSEC gibt Ihnen die Gewissheit, dass die Antwort auf Ihre DNS-Anfrage nicht manipuliert wurde, aber jeder Angreifer kann die Ergebnisse so sehen, wie sie an Sie gesendet wurden.
DoT – DNS über TLS
Transport Layer Security (TLS) ist ein kryptografisches Protokoll zum Schutz der über eine Netzwerkverbindung übertragenen Informationen. Sobald eine sichere TLS-Verbindung zwischen dem Client und dem Server hergestellt wird, werden die übertragenen Daten verschlüsselt und sind für keinen Vermittler sichtbar.
Wird am häufigsten als Teil von HTTPS (SSL) in Ihrem Webbrowser verwendet, da Anforderungen an sichere HTTP-Server gesendet werden.
DNS-over-TLS (DNS over TLS, DoT) nutzt das TLS-Protokoll, um den UDP-Verkehr regulärer DNS-Anfragen zu verschlüsseln.
Die Verschlüsselung dieser Anfragen im Klartext trägt dazu bei, Benutzer oder Anwendungen, die Anfragen stellen, vor mehreren Angriffen zu schützen.
- MitM oder „Mann in der Mitte“: Ohne Verschlüsselung könnte das Zwischensystem zwischen dem Client und dem autorisierenden DNS-Server möglicherweise falsche oder gefährliche Informationen als Antwort auf eine Anfrage an den Client senden
- Spionage und Verfolgung: Ohne die Verschlüsselung von Anfragen können Middleware-Systeme leicht erkennen, auf welche Websites ein bestimmter Benutzer oder eine bestimmte Anwendung zugreift. Obwohl DNS allein nicht die konkret besuchte Seite einer Website preisgibt, reicht die bloße Kenntnis der angeforderten Domänen aus, um ein Profil eines Systems oder einer Person zu erstellen
Source:
DoH – DNS über HTTPS
DNS-over-HTTPS (DNS over HTTPS, DoH) ist ein experimentelles Protokoll, das gemeinsam von Mozilla und Google gefördert wird. Seine Ziele ähneln denen des DoT-Protokolls – die Verbesserung der Privatsphäre der Menschen im Internet durch die Verschlüsselung von DNS-Anfragen und -Antworten.
Standard-DNS-Anfragen werden über UDP gesendet. Anfragen und Antworten können mit Tools wie verfolgt werden . DoT verschlüsselt diese Anfragen, sie werden jedoch immer noch als ziemlich eindeutiger UDP-Verkehr im Netzwerk identifiziert.
DoH verfolgt einen anderen Ansatz und sendet verschlüsselte Anfragen zur Hostnamensauflösung über HTTPS-Verbindungen, die wie jede andere Webanfrage über das Netzwerk aussehen.
Dieser Unterschied hat sehr wichtige Auswirkungen sowohl für Systemadministratoren als auch für die Zukunft der Namensauflösung.
- DNS-Filterung ist eine gängige Methode zum Filtern des Webverkehrs, um Benutzer vor Phishing-Angriffen, Websites, die Malware verbreiten, oder anderen potenziell schädlichen Internetaktivitäten in einem Unternehmensnetzwerk zu schützen. Das DoH-Protokoll umgeht diese Filter und setzt Benutzer und das Netzwerk möglicherweise einem größeren Risiko aus.
- Im aktuellen Namensauflösungsmodell empfängt jedes Gerät im Netzwerk mehr oder weniger DNS-Anfragen vom selben Standort (einem angegebenen DNS-Server). DoH und insbesondere die Implementierung durch Firefox zeigen, dass sich dies in Zukunft ändern könnte. Jede Anwendung auf einem Computer kann Daten von unterschiedlichen DNS-Quellen empfangen, was die Fehlerbehebung, Sicherheit und Risikomodellierung deutlich komplexer macht.
Source:
Was ist der Unterschied zwischen DNS über TLS und DNS über HTTPS?
Beginnen wir mit DNS über TLS (DoT). Dabei kommt es vor allem darauf an, dass das ursprüngliche DNS-Protokoll nicht verändert wird, sondern lediglich sicher über einen sicheren Kanal übertragen wird. DoH hingegen konvertiert DNS in das HTTP-Format, bevor es Anfragen stellt.
DNS-Überwachungswarnungen
Die Fähigkeit, den DNS-Verkehr in Ihrem Netzwerk effektiv auf verdächtige Anomalien zu überwachen, ist für die frühzeitige Erkennung eines Verstoßes von entscheidender Bedeutung. Mit einem Tool wie Varonis Edge haben Sie die Möglichkeit, den Überblick über alle wichtigen Kennzahlen zu behalten und Profile für jedes Konto in Ihrem Netzwerk zu erstellen. Sie können Warnungen so konfigurieren, dass sie als Ergebnis einer Kombination von Aktionen generiert werden, die über einen bestimmten Zeitraum auftreten.
Die Überwachung von DNS-Änderungen, Kontostandorten, erstmaliger Nutzung und Zugriff auf sensible Daten sowie Aktivitäten außerhalb der Geschäftszeiten sind nur einige Kennzahlen, die korreliert werden können, um ein umfassenderes Erkennungsbild zu erstellen.
Source: habr.com