راهنمای امنیت DNS

هر کاری که شرکت انجام دهد، امنیت DNS باید بخشی جدایی ناپذیر از طرح امنیتی آن باشد. سرویس‌های نام، که نام میزبان‌ها را به آدرس‌های IP تفکیک می‌کنند، تقریباً توسط همه برنامه‌ها و سرویس‌های موجود در شبکه استفاده می‌شوند.

اگر یک مهاجم کنترل DNS یک سازمان را به دست آورد، به راحتی می تواند:

• کنترل منابع مشترک را به خود بدهید
• ایمیل های دریافتی و همچنین درخواست های وب و تلاش های احراز هویت را هدایت کنید
• گواهینامه های SSL/TLS را ایجاد و تأیید کنید

این راهنما به امنیت DNS از دو زاویه نگاه می کند:

1. انجام نظارت و کنترل مستمر بر روی DNS
2. چگونه پروتکل های DNS جدید مانند DNSSEC، DOH و DoT می توانند به محافظت از یکپارچگی و محرمانه بودن درخواست های DNS ارسال شده کمک کنند.

امنیت DNS چیست؟

مفهوم امنیت DNS شامل دو جزء مهم است:

1. اطمینان از یکپارچگی و در دسترس بودن خدمات DNS که نام هاست را به آدرس های IP حل می کند
2. فعالیت DNS را برای شناسایی مشکلات امنیتی احتمالی در هر نقطه از شبکه خود نظارت کنید

چرا DNS در برابر حملات آسیب پذیر است؟

فناوری DNS در روزهای اولیه اینترنت، بسیار قبل از اینکه کسی به فکر امنیت شبکه باشد، ایجاد شد. DNS بدون احراز هویت یا رمزگذاری عمل می کند و کورکورانه درخواست های هر کاربری را پردازش می کند.

به همین دلیل، راه‌های زیادی برای فریب کاربر و جعل اطلاعات در مورد محل انجام تفکیک نام‌ها به آدرس‌های IP وجود دارد.

امنیت DNS: مسائل و مؤلفه ها

امنیت DNS از چند پایه تشکیل شده است اجزاءکه هر کدام باید برای اطمینان از حفاظت کامل در نظر گرفته شوند:

• تقویت رویه های امنیتی و مدیریت سرور: افزایش سطح امنیت سرور و ایجاد یک قالب استاندارد راه اندازی
• بهبود پروتکل: اجرای DNSSEC، DoT یا DoH
• تجزیه و تحلیل و گزارش: هنگام بررسی حوادث، یک گزارش رویداد DNS را به سیستم SIEM خود اضافه کنید
• اطلاعات سایبری و تشخیص تهدید: در یک فید اطلاعاتی تهدید فعال مشترک شوید
• اتوماسیون: تا آنجا که ممکن است اسکریپت های زیادی برای خودکارسازی فرآیندها ایجاد کنید

اجزای سطح بالا که در بالا ذکر شد فقط نوک کوه یخ امنیت DNS هستند. در بخش بعدی، موارد استفاده خاص‌تر و بهترین شیوه‌هایی را که باید در مورد آن‌ها بدانید، بررسی می‌کنیم.

حملات DNS

• جعل DNS یا مسمومیت حافظه پنهان: سوء استفاده از یک آسیب پذیری سیستم برای دستکاری حافظه پنهان DNS برای هدایت کاربران به مکان دیگری
• تونل زنی DNS: در درجه اول برای دور زدن حفاظت های اتصال از راه دور استفاده می شود
• ربودن DNS: هدایت ترافیک عادی DNS به یک سرور DNS هدف دیگر با تغییر ثبت کننده دامنه
• حمله NXDOMAIN: انجام یک حمله DDoS بر روی یک سرور DNS معتبر با ارسال پرس و جوهای دامنه نامشروع برای دریافت پاسخ اجباری
• دامنه فانتوم: باعث می شود که DNS Resolver منتظر پاسخ از دامنه های غیر موجود باشد و در نتیجه عملکرد ضعیفی داشته باشد
• حمله به یک زیر دامنه تصادفی: هاست‌ها و بات‌نت‌های در معرض خطر حمله DDoS را روی یک دامنه معتبر راه‌اندازی می‌کنند، اما آتش خود را روی زیر دامنه‌های نادرست متمرکز می‌کنند تا سرور DNS را مجبور به جستجوی سوابق و در اختیار گرفتن کنترل سرویس کند.
• مسدود کردن دامنه: چندین پاسخ هرزنامه را برای مسدود کردن منابع سرور DNS ارسال می کند
• حمله بات نت از تجهیزات مشترک: مجموعه‌ای از رایانه‌ها، مودم‌ها، روترها و سایر دستگاه‌هایی که قدرت محاسباتی را بر روی یک وب‌سایت خاص متمرکز می‌کنند تا آن را با درخواست‌های ترافیک بیش از حد بارگیری کنند.

حملات DNS

حملاتی که به نوعی از DNS برای حمله به سیستم های دیگر استفاده می کنند (یعنی تغییر رکوردهای DNS هدف نهایی نیست):

• Fast-Flux
• شبکه های تک شار
• شبکه های دو شار
• تونل زنی DNS

حملات DNS

حملاتی که منجر به بازگرداندن آدرس IP مورد نیاز مهاجم از سرور DNS می شود:

• جعل DNS یا مسمومیت حافظه پنهان
• ربودن DNS

DNSSEC چیست؟

DNSSEC - موتورهای امنیتی سرویس نام دامنه - برای تأیید سوابق DNS بدون نیاز به دانستن اطلاعات کلی برای هر درخواست خاص DNS استفاده می شود.

DNSSEC از کلیدهای امضای دیجیتال (PKIs) برای بررسی اینکه آیا نتایج جستجوی نام دامنه از منبع معتبری آمده است یا خیر استفاده می کند.
پیاده سازی DNSSEC نه تنها بهترین روش صنعت است، بلکه در جلوگیری از اکثر حملات DNS نیز موثر است.

نحوه عملکرد DNSSEC

DNSSEC مشابه TLS/HTTPS کار می کند و از جفت کلیدهای عمومی و خصوصی برای امضای دیجیتالی رکوردهای DNS استفاده می کند. نمای کلی فرآیند:

1. رکوردهای DNS با یک جفت کلید خصوصی-خصوصی امضا می شوند
2. پاسخ به پرسش‌های DNSSEC حاوی رکورد درخواستی و همچنین امضا و کلید عمومی است
3. سپس کلید عمومی برای مقایسه صحت یک رکورد و یک امضا استفاده می شود

امنیت DNS و DNSSEC

DNSSEC ابزاری برای بررسی یکپارچگی کوئری های DNS است. بر حریم خصوصی DNS تأثیر نمی گذارد. به عبارت دیگر، DNSSEC می تواند به شما اطمینان دهد که پاسخ پرسش DNS شما دستکاری نشده است، اما هر مهاجمی می تواند نتایج را همانطور که برای شما ارسال شده است ببیند.

DoT - DNS از طریق TLS

امنیت لایه حمل و نقل (TLS) یک پروتکل رمزنگاری برای محافظت از اطلاعات ارسال شده از طریق اتصال شبکه است. هنگامی که یک اتصال امن TLS بین مشتری و سرور برقرار شد، داده های ارسال شده رمزگذاری می شوند و هیچ واسطه ای نمی تواند آن را ببیند.

TLS بیشتر به عنوان بخشی از HTTPS (SSL) در مرورگر وب شما استفاده می شود زیرا درخواست ها به سرورهای HTTP ایمن ارسال می شوند.

DNS-over-TLS (DNS over TLS, DoT) از پروتکل TLS برای رمزگذاری ترافیک UDP درخواست های DNS معمولی استفاده می کند.
رمزگذاری این درخواست ها در متن ساده به محافظت از کاربران یا برنامه هایی که درخواست می کنند در برابر چندین حمله کمک می کند.

• MitM یا "مردی در وسط": بدون رمزگذاری، سیستم میانی بین کلاینت و سرور DNS معتبر به طور بالقوه می تواند در پاسخ به درخواست، اطلاعات نادرست یا خطرناکی را برای مشتری ارسال کند.
• جاسوسی و ردیابی: بدون رمزگذاری درخواست ها، برای سیستم های میان افزاری آسان است که ببینند یک کاربر یا برنامه خاص به کدام سایت ها دسترسی دارد. اگرچه DNS به تنهایی صفحه خاصی را که در یک وب سایت بازدید می شود نشان نمی دهد، فقط دانستن دامنه های درخواستی برای ایجاد نمایه یک سیستم یا یک فرد کافی است.

منبع: دانشگاه کالیفرنیا ایروین

DoH - DNS از طریق HTTPS

DNS-over-HTTPS (DNS over HTTPS, DoH) یک پروتکل آزمایشی است که به طور مشترک توسط Mozilla و Google ترویج می شود. اهداف آن مشابه پروتکل DoT است – افزایش حریم خصوصی افراد آنلاین با رمزگذاری درخواست‌ها و پاسخ‌های DNS.

پرس و جوهای استاندارد DNS از طریق UDP ارسال می شوند. درخواست ها و پاسخ ها را می توان با استفاده از ابزارهایی مانند Wireshark. DoT این درخواست ها را رمزگذاری می کند، اما هنوز به عنوان ترافیک UDP نسبتاً متمایز در شبکه شناسایی می شوند.

DoH رویکرد متفاوتی در پیش گرفته و درخواست‌های حل نام میزبان رمزگذاری شده را از طریق اتصالات HTTPS ارسال می‌کند، که شبیه هر درخواست وب دیگری از طریق شبکه است.

این تفاوت پیامدهای بسیار مهمی هم برای مدیران سیستم و هم برای آینده حل نام دارد.

1. فیلتر کردن DNS یک روش رایج برای فیلتر کردن ترافیک وب برای محافظت از کاربران در برابر حملات فیشینگ، سایت‌هایی که بدافزارها را توزیع می‌کنند یا سایر فعالیت‌های اینترنتی بالقوه مضر در یک شبکه شرکتی است. پروتکل DoH این فیلترها را دور می زند و به طور بالقوه کاربران و شبکه را در معرض خطر بیشتری قرار می دهد.
2. در مدل فعلی تفکیک نام، هر دستگاهی در شبکه کم و بیش درخواست‌های DNS را از یک مکان (یک سرور DNS مشخص) دریافت می‌کند. DoH، و به ویژه اجرای فایرفاکس از آن، نشان می دهد که ممکن است در آینده تغییر کند. هر برنامه روی یک کامپیوتر ممکن است داده ها را از منابع DNS مختلف دریافت کند، که عیب یابی، امنیت و مدل سازی ریسک را بسیار پیچیده تر می کند.

منبع: www.varonis.com/blog/powershell-چیست

تفاوت DNS از طریق TLS و DNS از طریق HTTPS چیست؟

بیایید با DNS از TLS (DoT) شروع کنیم. نکته اصلی در اینجا این است که پروتکل اصلی DNS تغییر نمی کند، بلکه به سادگی از طریق یک کانال امن به صورت ایمن منتقل می شود. از طرف دیگر DoH DNS را قبل از درخواست در قالب HTTP قرار می دهد.

هشدارهای نظارت بر DNS

توانایی نظارت موثر بر ترافیک DNS در شبکه شما برای ناهنجاری های مشکوک برای تشخیص زودهنگام یک رخنه بسیار مهم است. استفاده از ابزاری مانند Varonis Edge به شما این امکان را می دهد که از تمام معیارهای مهم مطلع باشید و برای هر حساب در شبکه خود پروفایل ایجاد کنید. می‌توانید هشدارها را طوری پیکربندی کنید که در نتیجه ترکیبی از اقداماتی که در یک دوره زمانی خاص رخ می‌دهند، ایجاد شوند.

نظارت بر تغییرات DNS، مکان‌های حساب، استفاده برای اولین بار و دسترسی به داده‌های حساس، و فعالیت‌های بعد از ساعت کاری تنها چند معیار هستند که می‌توانند برای ایجاد یک تصویر تشخیص گسترده‌تر مرتبط شوند.

منبع: www.habr.com