هر کاری که شرکت انجام دهد، امنیت DNS باید بخشی جدایی ناپذیر از طرح امنیتی آن باشد. سرویسهای نام، که نام میزبانها را به آدرسهای IP تفکیک میکنند، تقریباً توسط همه برنامهها و سرویسهای موجود در شبکه استفاده میشوند.
اگر یک مهاجم کنترل DNS یک سازمان را به دست آورد، به راحتی می تواند:
کنترل منابع مشترک را به خود بدهید
ایمیل های دریافتی و همچنین درخواست های وب و تلاش های احراز هویت را هدایت کنید
گواهینامه های SSL/TLS را ایجاد و تأیید کنید
این راهنما به امنیت DNS از دو زاویه نگاه می کند:
انجام نظارت و کنترل مستمر بر روی DNS
چگونه پروتکل های DNS جدید مانند DNSSEC، DOH و DoT می توانند به محافظت از یکپارچگی و محرمانه بودن درخواست های DNS ارسال شده کمک کنند.
امنیت DNS چیست؟
مفهوم امنیت DNS شامل دو جزء مهم است:
اطمینان از یکپارچگی و در دسترس بودن خدمات DNS که نام هاست را به آدرس های IP حل می کند
فعالیت DNS را برای شناسایی مشکلات امنیتی احتمالی در هر نقطه از شبکه خود نظارت کنید
چرا DNS در برابر حملات آسیب پذیر است؟
فناوری DNS در روزهای اولیه اینترنت، بسیار قبل از اینکه کسی به فکر امنیت شبکه باشد، ایجاد شد. DNS بدون احراز هویت یا رمزگذاری عمل می کند و کورکورانه درخواست های هر کاربری را پردازش می کند.
به همین دلیل، راههای زیادی برای فریب کاربر و جعل اطلاعات در مورد محل انجام تفکیک نامها به آدرسهای IP وجود دارد.
امنیت DNS: مسائل و مؤلفه ها
امنیت DNS از چند پایه تشکیل شده است اجزاءکه هر کدام باید برای اطمینان از حفاظت کامل در نظر گرفته شوند:
تقویت رویه های امنیتی و مدیریت سرور: افزایش سطح امنیت سرور و ایجاد یک قالب استاندارد راه اندازی
بهبود پروتکل: اجرای DNSSEC، DoT یا DoH
تجزیه و تحلیل و گزارش: هنگام بررسی حوادث، یک گزارش رویداد DNS را به سیستم SIEM خود اضافه کنید
اطلاعات سایبری و تشخیص تهدید: در یک فید اطلاعاتی تهدید فعال مشترک شوید
اتوماسیون: تا آنجا که ممکن است اسکریپت های زیادی برای خودکارسازی فرآیندها ایجاد کنید
اجزای سطح بالا که در بالا ذکر شد فقط نوک کوه یخ امنیت DNS هستند. در بخش بعدی، موارد استفاده خاصتر و بهترین شیوههایی را که باید در مورد آنها بدانید، بررسی میکنیم.
حملات DNS
جعل DNS یا مسمومیت حافظه پنهان: سوء استفاده از یک آسیب پذیری سیستم برای دستکاری حافظه پنهان DNS برای هدایت کاربران به مکان دیگری
تونل زنی DNS: در درجه اول برای دور زدن حفاظت های اتصال از راه دور استفاده می شود
ربودن DNS: هدایت ترافیک عادی DNS به یک سرور DNS هدف دیگر با تغییر ثبت کننده دامنه
حمله NXDOMAIN: انجام یک حمله DDoS بر روی یک سرور DNS معتبر با ارسال پرس و جوهای دامنه نامشروع برای دریافت پاسخ اجباری
دامنه فانتوم: باعث می شود که DNS Resolver منتظر پاسخ از دامنه های غیر موجود باشد و در نتیجه عملکرد ضعیفی داشته باشد
حمله به یک زیر دامنه تصادفی: هاستها و باتنتهای در معرض خطر حمله DDoS را روی یک دامنه معتبر راهاندازی میکنند، اما آتش خود را روی زیر دامنههای نادرست متمرکز میکنند تا سرور DNS را مجبور به جستجوی سوابق و در اختیار گرفتن کنترل سرویس کند.
مسدود کردن دامنه: چندین پاسخ هرزنامه را برای مسدود کردن منابع سرور DNS ارسال می کند
حمله بات نت از تجهیزات مشترک: مجموعهای از رایانهها، مودمها، روترها و سایر دستگاههایی که قدرت محاسباتی را بر روی یک وبسایت خاص متمرکز میکنند تا آن را با درخواستهای ترافیک بیش از حد بارگیری کنند.
حملات DNS
حملاتی که به نوعی از DNS برای حمله به سیستم های دیگر استفاده می کنند (یعنی تغییر رکوردهای DNS هدف نهایی نیست):
حملاتی که منجر به بازگرداندن آدرس IP مورد نیاز مهاجم از سرور DNS می شود:
جعل DNS یا مسمومیت حافظه پنهان
ربودن DNS
DNSSEC چیست؟
DNSSEC - موتورهای امنیتی سرویس نام دامنه - برای تأیید سوابق DNS بدون نیاز به دانستن اطلاعات کلی برای هر درخواست خاص DNS استفاده می شود.
DNSSEC از کلیدهای امضای دیجیتال (PKIs) برای بررسی اینکه آیا نتایج جستجوی نام دامنه از منبع معتبری آمده است یا خیر استفاده می کند.
پیاده سازی DNSSEC نه تنها بهترین روش صنعت است، بلکه در جلوگیری از اکثر حملات DNS نیز موثر است.
نحوه عملکرد DNSSEC
DNSSEC مشابه TLS/HTTPS کار می کند و از جفت کلیدهای عمومی و خصوصی برای امضای دیجیتالی رکوردهای DNS استفاده می کند. نمای کلی فرآیند:
رکوردهای DNS با یک جفت کلید خصوصی-خصوصی امضا می شوند
پاسخ به پرسشهای DNSSEC حاوی رکورد درخواستی و همچنین امضا و کلید عمومی است
سپس کلید عمومی برای مقایسه صحت یک رکورد و یک امضا استفاده می شود
امنیت DNS و DNSSEC
DNSSEC ابزاری برای بررسی یکپارچگی کوئری های DNS است. بر حریم خصوصی DNS تأثیر نمی گذارد. به عبارت دیگر، DNSSEC می تواند به شما اطمینان دهد که پاسخ پرسش DNS شما دستکاری نشده است، اما هر مهاجمی می تواند نتایج را همانطور که برای شما ارسال شده است ببیند.
DoT - DNS از طریق TLS
امنیت لایه حمل و نقل (TLS) یک پروتکل رمزنگاری برای محافظت از اطلاعات ارسال شده از طریق اتصال شبکه است. هنگامی که یک اتصال امن TLS بین مشتری و سرور برقرار شد، داده های ارسال شده رمزگذاری می شوند و هیچ واسطه ای نمی تواند آن را ببیند.
TLS بیشتر به عنوان بخشی از HTTPS (SSL) در مرورگر وب شما استفاده می شود زیرا درخواست ها به سرورهای HTTP ایمن ارسال می شوند.
DNS-over-TLS (DNS over TLS, DoT) از پروتکل TLS برای رمزگذاری ترافیک UDP درخواست های DNS معمولی استفاده می کند.
رمزگذاری این درخواست ها در متن ساده به محافظت از کاربران یا برنامه هایی که درخواست می کنند در برابر چندین حمله کمک می کند.
MitM یا "مردی در وسط": بدون رمزگذاری، سیستم میانی بین کلاینت و سرور DNS معتبر به طور بالقوه می تواند در پاسخ به درخواست، اطلاعات نادرست یا خطرناکی را برای مشتری ارسال کند.
جاسوسی و ردیابی: بدون رمزگذاری درخواست ها، برای سیستم های میان افزاری آسان است که ببینند یک کاربر یا برنامه خاص به کدام سایت ها دسترسی دارد. اگرچه DNS به تنهایی صفحه خاصی را که در یک وب سایت بازدید می شود نشان نمی دهد، فقط دانستن دامنه های درخواستی برای ایجاد نمایه یک سیستم یا یک فرد کافی است.
DNS-over-HTTPS (DNS over HTTPS, DoH) یک پروتکل آزمایشی است که به طور مشترک توسط Mozilla و Google ترویج می شود. اهداف آن مشابه پروتکل DoT است – افزایش حریم خصوصی افراد آنلاین با رمزگذاری درخواستها و پاسخهای DNS.
پرس و جوهای استاندارد DNS از طریق UDP ارسال می شوند. درخواست ها و پاسخ ها را می توان با استفاده از ابزارهایی مانند Wireshark. DoT این درخواست ها را رمزگذاری می کند، اما هنوز به عنوان ترافیک UDP نسبتاً متمایز در شبکه شناسایی می شوند.
DoH رویکرد متفاوتی در پیش گرفته و درخواستهای حل نام میزبان رمزگذاری شده را از طریق اتصالات HTTPS ارسال میکند، که شبیه هر درخواست وب دیگری از طریق شبکه است.
این تفاوت پیامدهای بسیار مهمی هم برای مدیران سیستم و هم برای آینده حل نام دارد.
فیلتر کردن DNS یک روش رایج برای فیلتر کردن ترافیک وب برای محافظت از کاربران در برابر حملات فیشینگ، سایتهایی که بدافزارها را توزیع میکنند یا سایر فعالیتهای اینترنتی بالقوه مضر در یک شبکه شرکتی است. پروتکل DoH این فیلترها را دور می زند و به طور بالقوه کاربران و شبکه را در معرض خطر بیشتری قرار می دهد.
در مدل فعلی تفکیک نام، هر دستگاهی در شبکه کم و بیش درخواستهای DNS را از یک مکان (یک سرور DNS مشخص) دریافت میکند. DoH، و به ویژه اجرای فایرفاکس از آن، نشان می دهد که ممکن است در آینده تغییر کند. هر برنامه روی یک کامپیوتر ممکن است داده ها را از منابع DNS مختلف دریافت کند، که عیب یابی، امنیت و مدل سازی ریسک را بسیار پیچیده تر می کند.
بیایید با DNS از TLS (DoT) شروع کنیم. نکته اصلی در اینجا این است که پروتکل اصلی DNS تغییر نمی کند، بلکه به سادگی از طریق یک کانال امن به صورت ایمن منتقل می شود. از طرف دیگر DoH DNS را قبل از درخواست در قالب HTTP قرار می دهد.
هشدارهای نظارت بر DNS
توانایی نظارت موثر بر ترافیک DNS در شبکه شما برای ناهنجاری های مشکوک برای تشخیص زودهنگام یک رخنه بسیار مهم است. استفاده از ابزاری مانند Varonis Edge به شما این امکان را می دهد که از تمام معیارهای مهم مطلع باشید و برای هر حساب در شبکه خود پروفایل ایجاد کنید. میتوانید هشدارها را طوری پیکربندی کنید که در نتیجه ترکیبی از اقداماتی که در یک دوره زمانی خاص رخ میدهند، ایجاد شوند.
نظارت بر تغییرات DNS، مکانهای حساب، استفاده برای اولین بار و دسترسی به دادههای حساس، و فعالیتهای بعد از ساعت کاری تنها چند معیار هستند که میتوانند برای ایجاد یک تصویر تشخیص گستردهتر مرتبط شوند.