Kion ajn la kompanio faras, sekureco devus esti integra parto de ĝia sekurecplano. Nomservoj, kiuj solvas gastigajn nomojn al IP-adresoj, estas uzataj de preskaŭ ĉiu aplikaĵo kaj servo en la reto.
Se atakanto akiras kontrolon de la DNS de organizo, li povas facile:
- donu al vi kontrolon pri komunaj rimedoj
- alidirekti envenantajn retpoŝtojn kaj ankaŭ retpetojn kaj aŭtentigajn provojn
- krei kaj validigi SSL/TLS-atestilojn
Ĉi tiu gvidilo rigardas DNS-sekurecon de du anguloj:
- Farante kontinuan monitoradon kaj kontrolon de DNS
- Kiel novaj DNS-protokoloj kiel DNSSEC, DOH kaj DoT povas helpi protekti la integrecon kaj konfidencon de elsenditaj DNS-petoj
Kio estas DNS-sekureco?
La koncepto de DNS-sekureco inkluzivas du gravajn komponentojn:
- Certigante la ĝeneralan integrecon kaj haveblecon de DNS-servoj, kiuj solvas gastigajn nomojn al IP-adresoj
- Monitoru DNS-agadon por identigi eblajn sekurecproblemojn ie ajn en via reto
Kial DNS estas vundebla al atakoj?
DNS-teknologio estis kreita en la fruaj tagoj de la Interreto, longe antaŭ ol iu eĉ ekpensis pri reto-sekureco. DNS funkcias sen aŭtentikigo aŭ ĉifrado, blinde prilaborante petojn de iu ajn uzanto.
Pro tio, ekzistas multaj manieroj trompi la uzanton kaj falsi informojn pri kie efektive okazas la rezolucio de nomoj al IP-adresoj.
DNS-Sekureco: Problemoj kaj Komponentoj
DNS-sekureco konsistas el pluraj bazaj komponantoj, ĉiu el kiuj devas esti konsiderata por certigi kompletan protekton:
- Plifortigi servilan sekurecon kaj administrajn procedurojn: pliigu la nivelon de servila sekureco kaj kreu norman komisian ŝablonon
- Pliboniĝoj de protokolo: efektivigi DNSSEC, DoT aŭ DoH
- Analizo kaj raportado: aldonu DNS-okazaĵregistron al via SIEM-sistemo por plia kunteksto dum esplorado de okazaĵoj
- Ciber-Inteligenteco kaj Detekto de Minacoj: abonu aktivan minacan spionfluon
- Aŭtomatigo: krei kiel eble plej multajn skriptojn por aŭtomatigi procezojn
La supre menciitaj altnivelaj komponantoj estas nur la pinto de la DNS-sekureca glacimonto. En la sekva sekcio, ni plonĝos en pli specifajn uzkazojn kaj plej bonajn praktikojn, pri kiuj vi bezonas scii.
DNS-atakoj
- : ekspluatante sisteman vundeblecon por manipuli la DNS-kaŝmemoron por redirekti uzantojn al alia loko
- : ĉefe uzata por preteriri forajn konektajn protektojn
- DNS-kapero: redirektante normalan DNS-trafikon al malsama cela DNS-servilo ŝanĝante la domajnan registrilon
- NXDOMAIN-atako: farante DDoS-atakon sur aŭtoritata DNS-servilo sendante nelegitimajn domajnan demandojn por akiri malvolan respondon
- fantoma domajno: igas la DNS-solvilon atendi respondon de neekzistantaj domajnoj, rezultigante malbonan efikecon
- atako al hazarda subdomajno: kompromititaj gastigantoj kaj botnetoj lanĉas DDoS-atakon sur valida domajno, sed enfokusigas sian fajron sur falsaj subdomajnoj por devigi la DNS-servilon serĉi rekordojn kaj transpreni la kontrolon de la servo.
- Domajna blokado: sendas plurajn spamajn respondojn por bloki DNS-servilresursojn
- Botnet-atako de abonanta ekipaĵo: kolekto de komputiloj, modemoj, enkursigiloj kaj aliaj aparatoj, kiuj koncentras komputikan potencon sur specifa retejo por troŝarĝi ĝin per trafikpetoj.
DNS-atakoj
Atakoj kiuj iel uzas la DNS por ataki aliajn sistemojn (t.e. ŝanĝi DNS-rekordojn ne estas la fina celo):
- Rapida Fluo
- Unuopaj Fluaj Retoj
- Duobla Fluo-Retoj
DNS-atakoj
Atakoj, kiuj rezultigas, ke la IP-adreso bezonata de la atakanto estas resendita de la DNS-servilo:
- DNS-parolado aŭ kaŝmemoro-veneniĝo
- DNS-kaperado
Kio estas DNSSEC?
DNSSEC - Domain Name Service Security Engines - estas uzataj por validigi DNS-rekordojn sen neceso scii ĝeneralajn informojn por ĉiu specifa DNS-peto.
DNSSEC uzas Digital Signature Keys (PKIs) por kontroli ĉu la rezultoj de domajna nomo-demando venis de valida fonto.
Efektivigi DNSSEC ne estas nur industria plej bona praktiko, sed ĝi ankaŭ efikas por eviti plej multajn DNS-atakojn.
Kiel funkcias DNSSEC
DNSSEC funkcias simile al TLS/HTTPS, uzante publikajn kaj privatajn ŝlosilparojn por ciferece subskribi DNS-rekordojn. Ĝenerala superrigardo de la procezo:
- DNS-rekordoj estas subskribitaj per privata-privata ŝlosilparo
- Respondoj al DNSSEC-demandoj enhavas la petitan rekordon same kiel la subskribon kaj publikan ŝlosilon
- tiam uzata por kompari la aŭtentikecon de rekordo kaj subskribo
DNS kaj DNSSEC Sekureco
DNSSEC estas ilo por kontroli la integrecon de DNS-demandoj. Ĝi ne influas DNS-privatecon. Alivorte, DNSSEC povas doni al vi konfidon, ke la respondo al via DNS-demando ne estis mistraktita, sed ĉiu atakanto povas vidi tiujn rezultojn kiel ili estis senditaj al vi.
DoT - DNS super TLS
Transport Layer Security (TLS) estas ĉifrika protokolo por protekti informojn transdonitajn per retkonekto. Post kiam sekura TLS-konekto estas establita inter la kliento kaj la servilo, la transdonitaj datumoj estas ĉifritaj kaj neniu peranto povas vidi ĝin.
plej ofte uzata kiel parto de HTTPS (SSL) en via retumilo ĉar petoj estas senditaj al sekuraj HTTP-serviloj.
DNS-over-TLS (DNS super TLS, DoT) uzas la TLS-protokolon por ĉifri la UDP-trafikon de regulaj DNS-petoj.
Ĉifri ĉi tiujn petojn en simpla teksto helpas protekti uzantojn aŭ aplikojn farantajn petojn kontraŭ pluraj atakoj.
- MitM, aŭ "viro en la mezo": Sen ĉifrado, la meza sistemo inter la kliento kaj la aŭtoritata DNS-servilo povus eble sendi malverajn aŭ danĝerajn informojn al la kliento en respondo al peto.
- Spionado kaj spurado: Sen ĉifrado de petoj, estas facile por mezvaraj sistemoj vidi kiujn retejojn aliras aparta uzanto aŭ aplikaĵo. Kvankam DNS sole ne malkaŝos la specifan paĝon vizitatan en retejo, simple koni la petitajn domajnojn sufiĉas por krei profilon de sistemo aŭ individuo.
fonto:
DoH - DNS super HTTPS
DNS-over-HTTPS (DNS super HTTPS, DoH) estas eksperimenta protokolo reklamita kune de Mozilla kaj Guglo. Ĝiaj celoj estas similaj al la DoT-protokolo - plibonigante la privatecon de homoj interrete per ĉifrado de DNS-petoj kaj respondoj.
Normaj DNS-demandoj estas senditaj per UDP. Petoj kaj respondoj povas esti spuritaj uzante ilojn kiel ekzemple . DoT ĉifras ĉi tiujn petojn, sed ili ankoraŭ estas identigitaj kiel sufiĉe klara UDP-trafiko en la reto.
DoH prenas malsaman aliron kaj sendas ĉifritajn gastnomajn rezoluciopetojn per HTTPS-konektoj, kiuj aspektas kiel ajna alia retpeto tra la reto.
Ĉi tiu diferenco havas tre gravajn implicojn kaj por sistemadministrantoj kaj por la estonteco de nomsolvado.
- DNS-filtrado estas ofta maniero filtri retan trafikon por protekti uzantojn de phishing-atakoj, retejoj kiuj distribuas malbonvaron aŭ alian eble damaĝan Interretan agadon en kompania reto. La DoH-protokolo preteriras ĉi tiujn filtrilojn, eble eksponante uzantojn kaj la reton al pli granda risko.
- En la nuna nom-rezolucia modelo, ĉiu aparato en la reto pli-malpli ricevas DNS-demandojn de la sama loko (specifita DNS-servilo). DoH, kaj precipe la efektivigo de Fajrovulpo de ĝi, montras ke tio povas ŝanĝiĝi en la estonteco. Ĉiu aplikaĵo en komputilo povas ricevi datumojn de malsamaj DNS-fontoj, igante problemojn, sekurecon kaj riskan modeladon multe pli kompleksa.
fonto:
Kio estas la diferenco inter DNS per TLS kaj DNS per HTTPS?
Ni komencu per DNS super TLS (DoT). La ĉefa punkto ĉi tie estas, ke la origina DNS-protokolo ne estas ŝanĝita, sed simple estas elsendita sekure tra sekura kanalo. DoH, aliflanke, metas DNS en HTTP-formaton antaŭ fari petojn.
Atentigoj pri Monitorado de DNS
La kapablo efike monitori DNS-trafikon en via reto por suspektindaj anomalioj estas kritika por frua detekto de rompo. Uzado de ilo kiel Varonis Edge donos al vi la kapablon resti supre de ĉiuj gravaj metrikoj kaj krei profilojn por ĉiu konto en via reto. Vi povas agordi atentigojn por esti generitaj kiel rezulto de kombinaĵo de agoj kiuj okazas dum specifa tempodaŭro.
Monitorado de DNS-ŝanĝoj, konto-lokoj, unuafoja uzo kaj aliro al sentemaj datumoj, kaj posthora agado estas nur kelkaj mezuroj, kiuj povas esti korelaciitaj por konstrui pli larĝan detektan bildon.
fonto: www.habr.com