Enpresak egiten duena, segurtasuna bere segurtasun planaren parte izan behar du. Izen-zerbitzuak, ostalari-izenak IP helbideetara konpontzen dituztenak, sareko ia aplikazio eta zerbitzu guztiek erabiltzen dituzte.
Erasotzaile batek erakunde baten DNS kontrola lortzen badu, erraz egin dezake:
- eman zeure buruari partekatutako baliabideen gaineko kontrola
- birbideratu sarrerako mezu elektronikoak, baita web-eskaerak eta autentifikazio-saiakerak ere
- sortu eta balioztatu SSL/TLS ziurtagiriak
Gida honek DNS segurtasuna bi ikuspegitatik aztertzen du:
- DNSren etengabeko jarraipena eta kontrola egitea
- DNSSEC, DOH eta DoT bezalako DNS protokolo berriek nola lagundu dezaketen transmititutako DNS eskaeren osotasuna eta konfidentzialtasuna babesten
Zer da DNS segurtasuna?
DNS segurtasun kontzeptuak bi osagai garrantzitsu ditu:
- Ostalari-izenak IP helbideetara konpontzen dituzten DNS zerbitzuen osotasun orokorra eta erabilgarritasuna bermatzea
- Monitorizatu DNS jarduera zure sareko edozein tokitan segurtasun-arazo posibleak identifikatzeko
Zergatik da DNS erasoen aurrean zaurgarria?
DNS teknologia Interneten hasierako garaietan sortu zen, inor sareko segurtasunaz pentsatzen hasi baino askoz lehenago. DNS-k autentifikazio edo enkriptaziorik gabe funtzionatzen du, edozein erabiltzaileren eskaerak itsu-itsuan prozesatzen ditu.
Hori dela eta, erabiltzailea engainatzeko eta IP helbideen izenen ebazpena benetan gertatzen denari buruzko informazioa faltsutzeko modu asko daude.
DNS segurtasuna: arazoak eta osagaiak
DNS segurtasuna oinarrizko hainbatek osatzen dute osagaiak, horietako bakoitza kontuan hartu behar da babes osoa bermatzeko:
- Zerbitzariaren segurtasuna eta kudeaketa prozedurak indartzea: zerbitzariaren segurtasun maila handitu eta martxan jartzeko txantiloi estandarra sortu
- Protokoloaren hobekuntzak: DNSSEC, DoT edo DoH ezarri
- Analitika eta txostenak: gehitu DNS gertaeren erregistroa zure SIEM sisteman testuinguru gehigarrirako gertakariak ikertzerakoan
- Ziber-adimena eta mehatxuen detekzioa: harpidetu mehatxuen adimen-jario aktibo batera
- Automatizazioa: prozesuak automatizatzeko ahalik eta script gehien sortu
Goian aipatutako goi-mailako osagaiak DNS segurtasunaren icebergaren punta besterik ez dira. Hurrengo atalean, ezagutu behar dituzun erabilera kasu zehatzagoetan eta praktika onenetan murgilduko gara.
DNS erasoak
- : sistemaren ahultasun bat baliatzea DNS cachea manipulatzeko erabiltzaileak beste kokapen batera birbideratzeko
- : batez ere, urruneko konexioen babesak saihesteko erabiltzen da
- DNS bahiketa: DNS trafiko normala beste helburuko DNS zerbitzari batera birbideratzea domeinu-erregistratzailea aldatuz
- NXDOMAIN erasoa: DDoS eraso bat egitea DNS zerbitzari autoritario batean domeinu ez-legitimoko kontsultak bidaliz behartutako erantzuna lortzeko
- domeinu fantasma: DNS konpontzailea existitzen ez diren domeinuen erantzunaren zain egotea eragiten du, eta ondorioz, errendimendu eskasa da
- ausazko azpidomeinu baten aurkako erasoa: arriskuan dauden ostalariek eta botnetek DDoS erasoa abiarazten dute baliozko domeinu batean, baina azpidomeinu faltsuetara bideratzen dute DNS zerbitzaria erregistroak bilatzera eta zerbitzuaren kontrola hartzera behartzeko.
- domeinuaren blokeoa: spam-erantzun anitz bidaltzen ari da DNS zerbitzariaren baliabideak blokeatzeko
- Harpidedun ekipoen botnet erasoa: Ordenagailu, modem, bideratzaile eta beste gailu batzuen bilduma, webgune zehatz batean konputazio-potentzia kontzentratzen duena trafiko-eskaerekin gainkargatzeko.
DNS erasoak
DNS nolabait beste sistema batzuetarako erasotzeko erabiltzen duten erasoak (hau da, DNS erregistroak aldatzea ez da azken helburua):
- Fluxu azkarra
- Fluxu bakarreko sareak
- Fluxu bikoitzeko sareak
DNS erasoak
Erasotzaileak DNS zerbitzaritik behar duen IP helbidea itzultzea eragiten duten erasoak:
- DNS spoofing edo cachearen pozoitzea
- DNS bahiketa
Zer da DNSSEC?
DNSSEC - Domain Name Service Security Engines - DNS erregistroak balioztatzeko erabiltzen dira, DNS eskaera zehatz bakoitzaren informazio orokorra ezagutu beharrik gabe.
DNSSEC-ek sinadura digitalaren gakoak (PKI) erabiltzen ditu domeinu-izenen kontsulta baten emaitzak baliozko iturri batetik etorri diren egiaztatzeko.
DNSSEC ezartzea ez da industriako jardunbide onena bakarrik, baina eraginkorra ere bada DNS eraso gehienak saihesteko.
DNSSEC nola funtzionatzen duen
DNSSEC-ek TLS/HTTPS-en antzera funtzionatzen du, gako publiko eta pribatuen bikoteak erabiliz DNS erregistroak digitalki sinatzeko. Prozesuaren ikuspegi orokorra:
- DNS erregistroak gako pribatu-pribatu batekin sinatzen dira
- DNSSEC kontsulten erantzunek eskatutako erregistroa eta sinadura eta gako publikoa dituzte
- Ondoren erregistro baten eta sinaduraren benetakotasuna konparatzeko erabiltzen da
DNS eta DNSSEC segurtasuna
DNSSEC DNS kontsulten osotasuna egiaztatzeko tresna bat da. Ez du DNS pribatutasuna eragiten. Beste era batera esanda, DNSSECek konfiantza eman diezazuke zure DNS kontsultaren erantzuna manipulatu ez dela, baina edozein erasotzailek emaitza horiek bidali zizkizuten bezala ikus ditzake.
DoT - DNS TLS bidez
Transport Layer Security (TLS) sareko konexio baten bidez transmititutako informazioa babesteko protokolo kriptografikoa da. Bezeroaren eta zerbitzariaren artean TLS konexio segurua ezarri ondoren, transmititutako datuak zifratzen dira eta bitartekaririk ezin du ikusi.
zure web arakatzailean HTTPS (SSL) zati gisa erabiltzen da gehien, eskaerak HTTP zerbitzari seguruetara bidaltzen direlako.
DNS-over-TLS (DNS over TLS, DoT) TLS protokoloa erabiltzen du DNS eskaera arrunten UDP trafikoa enkriptatzeko.
Eskaera hauek testu arruntean enkriptatzeak hainbat erasotatik babesten laguntzen du eskaerak egiten dituzten erabiltzaileak edo aplikazioak.
- MitM, edo "gizona erdian": enkriptatu gabe, bezeroaren eta DNS zerbitzari autoritarioaren arteko bitarteko sistemak informazio faltsu edo arriskutsua bidali diezaioke bezeroari eskaera bati erantzunez.
- Espioitza eta jarraipena: Eskaerak enkriptatu gabe, middleware sistementzat erraza da erabiltzaile edo aplikazio jakin bat zein gunetan sartzen den ikustea. Nahiz eta DNS-k soilik webgune batean bisitatzen ari den orrialde zehatza agerian utziko, eskatutako domeinuak ezagutzea nahikoa da sistema baten edo pertsona baten profila sortzeko.
Iturria:
DoH - DNS HTTPS bidez
DNS-over-HTTPS (DNS over HTTPS, DoH) Mozillak eta Googlek elkarrekin sustatutako protokolo esperimentala da. Bere helburuak DoT protokoloaren antzekoak dira: jendearen pribatutasuna sarean hobetzea DNS eskaerak eta erantzunak enkriptatuz.
DNS kontsulta estandarrak UDP bidez bidaltzen dira. Eskaeren eta erantzunen jarraipena egin daiteke, esaterako, tresnak erabiliz . DoT-k eskaera hauek enkriptatzen ditu, baina oraindik ere sarean UDP trafiko nahiko desberdin gisa identifikatzen dira.
DoH-k beste ikuspegi bat hartzen du eta ostalari-izenen ebazpen-eskaerak enkriptatutako HTTPS konexioen bidez bidaltzen ditu, sareko beste edozein web eskaeraren itxura dutenak.
Desberdintasun horrek ondorio oso garrantzitsuak ditu bai sistema-administratzaileentzat, bai izenen ebazpenaren etorkizunerako.
- DNS iragazkia web-trafikoa iragazteko modu arrunta da erabiltzaileak phishing-erasoetatik, malwarea banatzen duten guneetatik edo sare korporatibo batean kaltegarriak izan daitezkeen Interneteko beste jarduera batzuk babesteko. DoH protokoloak iragazki horiek saihestu egiten ditu, erabiltzaileak eta sarea arrisku handiagora eraginez.
- Egungo izenak ebazteko ereduan, sareko gailu guztiek DNS kontsultak jasotzen dituzte kokapen beretik (zehaztutako DNS zerbitzari batetik). DoH-k, eta, bereziki, Firefoxen inplementazioak erakusten du etorkizunean hori alda daitekeela. Ordenagailu bateko aplikazio bakoitzak DNS iturri ezberdinetako datuak jaso ditzake, arazoen konponketa, segurtasuna eta arriskuen eredua askoz konplexuagoa bihurtuz.
Iturria:
Zein da TLS bidezko DNS eta HTTPS bidezko DNS arteko aldea?
Has gaitezen DNS TLS (DoT) bidez. Hemen puntu nagusia da jatorrizko DNS protokoloa ez dela aldatzen, kanal seguru baten bidez modu seguruan transmititzen dela. DoH-k, berriz, DNS HTTP formatuan jartzen du eskaerak egin aurretik.
DNS jarraipenaren alertak
Zure sareko DNS trafikoa modu eraginkorrean kontrolatzeko gaitasuna susmagarriak diren anomaliak ezinbestekoak dira urraketa goiz detektatzeko. Varonis Edge bezalako tresna bat erabiltzeak neurri garrantzitsu guztien gainean egoteko eta zure sareko kontu bakoitzeko profilak sortzeko gaitasuna emango dizu. Denbora-tarte jakin batean gertatzen diren ekintzen konbinazioaren ondorioz sortuko diren alertak konfigura ditzakezu.
DNS aldaketak, kontuen kokapenak, lehen aldiz erabiltzea eta datu sentikorretarako sarbidea eta orduz kanpoko jarduerak kontrolatzea detekzio-irudi zabalagoa sortzeko korrelazionatu daitezkeen neurketa batzuk besterik ez dira.
Iturria: www.habr.com