Ό,τι και να κάνει η εταιρεία, ασφάλεια πρέπει να αποτελεί αναπόσπαστο μέρος του σχεδίου ασφαλείας της. Οι υπηρεσίες ονομάτων, οι οποίες επιλύουν ονόματα κεντρικών υπολογιστών σε διευθύνσεις IP, χρησιμοποιούνται σχεδόν από κάθε εφαρμογή και υπηρεσία στο δίκτυο.
Εάν ένας εισβολέας αποκτήσει τον έλεγχο του DNS ενός οργανισμού, μπορεί εύκολα:
- δώστε στον εαυτό σας τον έλεγχο των κοινών πόρων
- ανακατεύθυνση εισερχόμενων email καθώς και αιτημάτων ιστού και προσπαθειών ελέγχου ταυτότητας
- δημιουργία και επικύρωση πιστοποιητικών SSL/TLS
Αυτός ο οδηγός εξετάζει την ασφάλεια DNS από δύο οπτικές γωνίες:
- Εκτέλεση συνεχούς παρακολούθησης και ελέγχου σε DNS
- Πώς τα νέα πρωτόκολλα DNS όπως τα DNSSEC, DOH και DoT μπορούν να βοηθήσουν στην προστασία της ακεραιότητας και της εμπιστευτικότητας των μεταδιδόμενων αιτημάτων DNS
Τι είναι η ασφάλεια DNS;
Η έννοια της ασφάλειας DNS περιλαμβάνει δύο σημαντικά στοιχεία:
- Διασφάλιση της συνολικής ακεραιότητας και διαθεσιμότητας των υπηρεσιών DNS που επιλύουν ονόματα κεντρικών υπολογιστών σε διευθύνσεις IP
- Παρακολουθήστε τη δραστηριότητα DNS για να εντοπίσετε πιθανά ζητήματα ασφαλείας οπουδήποτε στο δίκτυό σας
Γιατί το DNS είναι ευάλωτο σε επιθέσεις;
Η τεχνολογία DNS δημιουργήθηκε στις πρώτες μέρες του Διαδικτύου, πολύ πριν καν κάποιος αρχίσει να σκέφτεται την ασφάλεια του δικτύου. Το DNS λειτουργεί χωρίς έλεγχο ταυτότητας ή κρυπτογράφηση, επεξεργάζοντας τυφλά αιτήματα από οποιονδήποτε χρήστη.
Εξαιτίας αυτού, υπάρχουν πολλοί τρόποι εξαπάτησης του χρήστη και παραποίησης πληροφοριών σχετικά με το πού λαμβάνει χώρα η ανάλυση των ονομάτων σε διευθύνσεις IP.
Ασφάλεια DNS: Ζητήματα και στοιχεία
Η ασφάλεια DNS αποτελείται από πολλά βασικά εξαρτήματα, καθένα από τα οποία πρέπει να λαμβάνεται υπόψη για την εξασφάλιση πλήρους προστασίας:
- Ενίσχυση διαδικασιών ασφάλειας και διαχείρισης διακομιστή: Αυξήστε το επίπεδο ασφάλειας του διακομιστή και δημιουργήστε ένα τυπικό πρότυπο θέσης σε λειτουργία
- Βελτιώσεις πρωτοκόλλου: εφαρμόστε DNSSEC, DoT ή DoH
- Αναλύσεις και αναφορές: προσθέστε ένα αρχείο καταγραφής συμβάντων DNS στο σύστημά σας SIEM για πρόσθετο πλαίσιο κατά τη διερεύνηση περιστατικών
- Cyber Intelligence και Ανίχνευση Απειλών: εγγραφείτε σε μια ροή πληροφοριών ενεργών απειλών
- Αυτοματοποίηση: δημιουργήστε όσο το δυνατόν περισσότερα σενάρια για την αυτοματοποίηση των διαδικασιών
Τα προαναφερθέντα στοιχεία υψηλού επιπέδου είναι μόνο η κορυφή του παγόβουνου ασφαλείας DNS. Στην επόμενη ενότητα, θα εξετάσουμε πιο συγκεκριμένες περιπτώσεις χρήσης και βέλτιστες πρακτικές που πρέπει να γνωρίζετε.
Επιθέσεις DNS
- : εκμεταλλεύεται μια ευπάθεια συστήματος για να χειριστεί την κρυφή μνήμη DNS για να ανακατευθύνει τους χρήστες σε άλλη τοποθεσία
- : χρησιμοποιείται κυρίως για την παράκαμψη των προστασιών απομακρυσμένων συνδέσεων
- Παραβίαση DNS: ανακατεύθυνση της κανονικής κίνησης DNS σε διαφορετικό διακομιστή DNS-στόχου αλλάζοντας το μητρώο καταχώρισης τομέα
- Επίθεση NXDOMAIN: διεξαγωγή μιας επίθεσης DDoS σε έναν έγκυρο διακομιστή DNS με αποστολή παράνομων ερωτημάτων τομέα για να ληφθεί μια αναγκαστική απάντηση
- Phantom domain: αναγκάζει το πρόγραμμα επίλυσης DNS να περιμένει μια απάντηση από ανύπαρκτους τομείς, με αποτέλεσμα κακή απόδοση
- επίθεση σε έναν τυχαίο υποτομέα: παραβιασμένοι κεντρικοί υπολογιστές και botnet ξεκινούν μια επίθεση DDoS σε έναν έγκυρο τομέα, αλλά εστιάζουν τη φωτιά τους σε ψευδείς υποτομείς για να αναγκάσουν τον διακομιστή DNS να αναζητήσει αρχεία και να αναλάβει τον έλεγχο της υπηρεσίας
- αποκλεισμός τομέα: στέλνει πολλαπλές απαντήσεις ανεπιθύμητης αλληλογραφίας για τον αποκλεισμό πόρων διακομιστή DNS
- Επίθεση botnet από εξοπλισμό συνδρομητών: μια συλλογή από υπολογιστές, μόντεμ, δρομολογητές και άλλες συσκευές που συγκεντρώνουν την υπολογιστική ισχύ σε έναν συγκεκριμένο ιστότοπο για να τον υπερφορτώσουν με αιτήματα κίνησης
Επιθέσεις DNS
Επιθέσεις που χρησιμοποιούν με κάποιο τρόπο το DNS για να επιτεθούν σε άλλα συστήματα (δηλαδή η αλλαγή των εγγραφών DNS δεν είναι ο τελικός στόχος):
- Fast-Flux
- Δίκτυα Single Flux
- Δίκτυα διπλής ροής
Επιθέσεις DNS
Επιθέσεις που έχουν ως αποτέλεσμα την επιστροφή της διεύθυνσης IP που χρειάζεται ο εισβολέας από τον διακομιστή DNS:
- Παραπλάνηση DNS ή δηλητηρίαση προσωρινής μνήμης
- Παραβίαση DNS
Τι είναι το DNSSEC;
DNSSEC - Μηχανές ασφαλείας υπηρεσίας ονόματος τομέα - χρησιμοποιούνται για την επικύρωση εγγραφών DNS χωρίς να χρειάζεται να γνωρίζετε γενικές πληροφορίες για κάθε συγκεκριμένο αίτημα DNS.
Το DNSSEC χρησιμοποιεί κλειδιά ψηφιακής υπογραφής (PKI) για να επαληθεύσει εάν τα αποτελέσματα ενός ερωτήματος ονόματος τομέα προήλθαν από έγκυρη πηγή.
Η εφαρμογή του DNSSEC δεν είναι μόνο μια βέλτιστη πρακτική του κλάδου, αλλά είναι επίσης αποτελεσματική στην αποφυγή των περισσότερων επιθέσεων DNS.
Πώς λειτουργεί το DNSSEC
Το DNSSEC λειτουργεί παρόμοια με το TLS/HTTPS, χρησιμοποιώντας ζεύγη δημόσιων και ιδιωτικών κλειδιών για την ψηφιακή υπογραφή εγγραφών DNS. Γενική επισκόπηση της διαδικασίας:
- Οι εγγραφές DNS υπογράφονται με ένα ζεύγος ιδιωτικού-ιδιωτικού κλειδιού
- Οι απαντήσεις σε ερωτήματα DNSSEC περιέχουν την εγγραφή που ζητήθηκε καθώς και την υπογραφή και το δημόσιο κλειδί
- Τότε χρησιμοποιείται για τη σύγκριση της γνησιότητας ενός αρχείου και μιας υπογραφής
DNS και DNSSEC Security
Το DNSSEC είναι ένα εργαλείο για τον έλεγχο της ακεραιότητας των ερωτημάτων DNS. Δεν επηρεάζει το απόρρητο DNS. Με άλλα λόγια, το DNSSEC μπορεί να σας δώσει σιγουριά ότι η απάντηση στο ερώτημά σας DNS δεν έχει παραποιηθεί, αλλά οποιοσδήποτε εισβολέας μπορεί να δει αυτά τα αποτελέσματα καθώς σας στάλθηκαν.
DoT - DNS μέσω TLS
Το Transport Layer Security (TLS) είναι ένα κρυπτογραφικό πρωτόκολλο για την προστασία των πληροφοριών που μεταδίδονται μέσω μιας σύνδεσης δικτύου. Μόλις δημιουργηθεί μια ασφαλής σύνδεση TLS μεταξύ του πελάτη και του διακομιστή, τα μεταδιδόμενα δεδομένα κρυπτογραφούνται και κανένας μεσάζων δεν μπορεί να τα δει.
χρησιμοποιείται συνήθως ως μέρος του HTTPS (SSL) στο πρόγραμμα περιήγησής σας στον ιστό, επειδή τα αιτήματα αποστέλλονται σε ασφαλείς διακομιστές HTTP.
Το DNS-over-TLS (DNS over TLS, DoT) χρησιμοποιεί το πρωτόκολλο TLS για την κρυπτογράφηση της κυκλοφορίας UDP των κανονικών αιτημάτων DNS.
Η κρυπτογράφηση αυτών των αιτημάτων σε απλό κείμενο βοηθά στην προστασία των χρηστών ή των εφαρμογών που υποβάλλουν αιτήματα από πολλές επιθέσεις.
- MitM, ή "άνθρωπος στη μέση": Χωρίς κρυπτογράφηση, το ενδιάμεσο σύστημα μεταξύ του πελάτη και του έγκυρου διακομιστή DNS θα μπορούσε ενδεχομένως να στείλει ψευδείς ή επικίνδυνες πληροφορίες στον πελάτη ως απόκριση σε ένα αίτημα
- Κατασκοπεία και παρακολούθηση: Χωρίς αιτήματα κρυπτογράφησης, είναι εύκολο για τα συστήματα ενδιάμεσου λογισμικού να δουν σε ποιους ιστότοπους έχει πρόσβαση ένας συγκεκριμένος χρήστης ή εφαρμογή. Παρόλο που το DNS από μόνο του δεν θα αποκαλύψει τη συγκεκριμένη σελίδα που επισκέπτεστε σε έναν ιστότοπο, η απλή γνώση των ζητούμενων τομέων αρκεί για να δημιουργήσετε ένα προφίλ ενός συστήματος ή ενός ατόμου
Πηγή:
DoH - DNS μέσω HTTPS
Το DNS-over-HTTPS (DNS over HTTPS, DoH) είναι ένα πειραματικό πρωτόκολλο που προωθείται από κοινού από τη Mozilla και την Google. Οι στόχοι του είναι παρόμοιοι με το πρωτόκολλο DoT—ενισχύοντας το απόρρητο των ανθρώπων στο διαδίκτυο κρυπτογραφώντας αιτήματα και απαντήσεις DNS.
Τα τυπικά ερωτήματα DNS αποστέλλονται μέσω UDP. Τα αιτήματα και οι απαντήσεις μπορούν να παρακολουθούνται χρησιμοποιώντας εργαλεία όπως . Το DoT κρυπτογραφεί αυτά τα αιτήματα, αλλά εξακολουθούν να προσδιορίζονται ως αρκετά διακριτή κίνηση UDP στο δίκτυο.
Το DoH ακολουθεί μια διαφορετική προσέγγιση και στέλνει κρυπτογραφημένα αιτήματα ανάλυσης ονόματος κεντρικού υπολογιστή μέσω συνδέσεων HTTPS, τα οποία μοιάζουν με οποιοδήποτε άλλο αίτημα ιστού μέσω του δικτύου.
Αυτή η διαφορά έχει πολύ σημαντικές επιπτώσεις τόσο για τους διαχειριστές συστημάτων όσο και για το μέλλον της επίλυσης ονομάτων.
- Το φιλτράρισμα DNS είναι ένας κοινός τρόπος φιλτραρίσματος της κυκλοφορίας ιστού για την προστασία των χρηστών από επιθέσεις phishing, ιστότοπους που διανέμουν κακόβουλο λογισμικό ή άλλη δυνητικά επιβλαβή δραστηριότητα Διαδικτύου σε ένα εταιρικό δίκτυο. Το πρωτόκολλο DoH παρακάμπτει αυτά τα φίλτρα, εκθέτοντας πιθανώς τους χρήστες και το δίκτυο σε μεγαλύτερο κίνδυνο.
- Στο τρέχον μοντέλο ανάλυσης ονόματος, κάθε συσκευή στο δίκτυο λαμβάνει λίγο πολύ ερωτήματα DNS από την ίδια τοποθεσία (έναν καθορισμένο διακομιστή DNS). Το DoH, και συγκεκριμένα η εφαρμογή του από τον Firefox, δείχνει ότι αυτό μπορεί να αλλάξει στο μέλλον. Κάθε εφαρμογή σε έναν υπολογιστή μπορεί να λάβει δεδομένα από διαφορετικές πηγές DNS, καθιστώντας την αντιμετώπιση προβλημάτων, την ασφάλεια και τη μοντελοποίηση κινδύνου πολύ πιο περίπλοκη.
Πηγή:
Ποια είναι η διαφορά μεταξύ DNS μέσω TLS και DNS μέσω HTTPS;
Ας ξεκινήσουμε με DNS μέσω TLS (DoT). Το κύριο σημείο εδώ είναι ότι το αρχικό πρωτόκολλο DNS δεν αλλάζει, αλλά απλώς μεταδίδεται με ασφάλεια μέσω ενός ασφαλούς καναλιού. Το DoH, από την άλλη πλευρά, τοποθετεί το DNS σε μορφή HTTP πριν υποβάλει αιτήματα.
Ειδοποιήσεις παρακολούθησης DNS
Η δυνατότητα αποτελεσματικής παρακολούθησης της κυκλοφορίας DNS στο δίκτυό σας για ύποπτες ανωμαλίες είναι κρίσιμη για τον έγκαιρο εντοπισμό μιας παραβίασης. Η χρήση ενός εργαλείου όπως το Varonis Edge θα σας δώσει τη δυνατότητα να παραμένετε στην κορυφή όλων των σημαντικών μετρήσεων και να δημιουργήσετε προφίλ για κάθε λογαριασμό στο δίκτυό σας. Μπορείτε να διαμορφώσετε τις ειδοποιήσεις ώστε να δημιουργούνται ως αποτέλεσμα ενός συνδυασμού ενεργειών που πραγματοποιούνται σε μια συγκεκριμένη χρονική περίοδο.
Η παρακολούθηση αλλαγών DNS, τοποθεσίες λογαριασμών, η πρώτη χρήση και η πρόσβαση σε ευαίσθητα δεδομένα και η δραστηριότητα εκτός ωραρίου είναι μερικές μόνο μετρήσεις που μπορούν να συσχετιστούν για τη δημιουργία μιας ευρύτερης εικόνας ανίχνευσης.
Πηγή: www.habr.com