DNS-suojausopas

Mitä tahansa yritys tekee, turvallisuus DNS pitäisi olla olennainen osa sen turvallisuussuunnitelmaa. Nimipalveluita, jotka ratkaisevat isäntänimet IP-osoitteiksi, käyttävät käytännössä kaikki verkon sovellukset ja palvelut.

Jos hyökkääjä saa organisaation DNS:n hallintaansa, hän voi helposti:

• anna itsellesi jaettujen resurssien hallinta
• ohjata saapuvat sähköpostit sekä verkkopyynnöt ja todennusyritykset
• luoda ja vahvistaa SSL/TLS-varmenteita

Tässä oppaassa tarkastellaan DNS-suojausta kahdesta näkökulmasta:

1. Suorittaa jatkuvaa DNS-valvontaa ja -hallintaa
2. Kuinka uudet DNS-protokollat, kuten DNSSEC, DOH ja DoT, voivat auttaa suojaamaan lähetettyjen DNS-pyyntöjen eheyttä ja luottamuksellisuutta

Mikä on DNS-suojaus?

DNS-suojauksen käsite sisältää kaksi tärkeää osaa:

1. Isäntänimet IP-osoitteiksi määrittävien DNS-palvelujen yleisen eheyden ja saatavuuden varmistaminen
2. Tarkkaile DNS-toimintaa tunnistaaksesi mahdolliset tietoturvaongelmat kaikkialla verkossasi

Miksi DNS on alttiina hyökkäyksille?

DNS-tekniikka luotiin Internetin alkuaikoina, kauan ennen kuin kukaan edes alkoi ajatella verkon turvallisuutta. DNS toimii ilman todennusta tai salausta ja käsittelee sokeasti minkä tahansa käyttäjän pyyntöjä.

Tästä johtuen on monia tapoja huijata käyttäjää ja väärentää tietoja siitä, missä nimien määrittäminen IP-osoitteiksi todellisuudessa tapahtuu.

DNS-suojaus: ongelmat ja komponentit

DNS-suojaus koostuu useista perusasioista komponentit, joista jokainen on otettava huomioon täydellisen suojan varmistamiseksi:

• Palvelimen turvallisuuden ja hallintamenettelyjen vahvistaminen: nosta palvelimen suojaustasoa ja luo standardi käyttöönottomalli
• Protokollan parannukset: toteuttaa DNSSEC, DoT tai DoH
• Analyysi ja raportointi: lisää DNS-tapahtumaloki SIEM-järjestelmääsi saadaksesi lisäkontekstia tapauksia tutkiessasi
• Kybertiedustelu ja uhkien havaitseminen: tilaa aktiivinen uhkien tiedustelutietosyöte
• Automaatio: luoda mahdollisimman monta komentosarjaa prosessien automatisoimiseksi

Yllä mainitut korkean tason komponentit ovat vain DNS-turvallisuuden jäävuoren huippu. Seuraavassa osiossa sukeltamme tarkempiin käyttötapauksiin ja parhaisiin käytäntöihin, joista sinun on tiedettävä.

DNS-hyökkäykset

• DNS-huijaus tai välimuistin myrkytys: järjestelmän haavoittuvuuden hyödyntäminen DNS-välimuistin manipuloimiseksi käyttäjien uudelleenohjaamiseksi toiseen paikkaan
• DNS-tunnelointi: käytetään ensisijaisesti etäyhteyssuojausten ohittamiseen
• DNS-kaappaus: normaalin DNS-liikenteen ohjaaminen toiseen DNS-kohdepalvelimeen vaihtamalla verkkotunnuksen rekisteröintipalvelua
• NXDOMAIN-hyökkäys: suorittaa DDoS-hyökkäys arvovaltaiseen DNS-palvelimeen lähettämällä laittomia verkkotunnuskyselyjä pakotetun vastauksen saamiseksi
• phantom domain: saa DNS-selvittimen odottamaan vastausta olemattomilta toimialueilta, mikä johtaa huonoon suorituskykyyn
• hyökkäys satunnaiseen aliverkkotunnukseen: vaarantuneet isännät ja bottiverkot käynnistävät DDoS-hyökkäyksen kelvolliseen verkkotunnukseen, mutta keskittyvät väärennettyihin aliverkkotunnuksiin pakottaakseen DNS-palvelimen etsimään tietueita ja ottamaan palvelun hallintaansa.
• verkkotunnuksen esto: lähettää useita roskapostivastauksia DNS-palvelimen resurssien estämiseksi
• Bottiverkkohyökkäys tilaajalaitteista: kokoelma tietokoneita, modeemeja, reitittimiä ja muita laitteita, jotka keskittävät laskentatehon tietylle verkkosivustolle ylikuormittaakseen sen liikennepyynnöillä

DNS-hyökkäykset

Hyökkäykset, jotka jollakin tavalla käyttävät DNS:ää hyökätäkseen muihin järjestelmiin (eli DNS-tietueiden muuttaminen ei ole lopullinen tavoite):

• Fast-Flux
• Single Flux Networks
• Double Flux Networks
• DNS-tunnelointi

DNS-hyökkäykset

Hyökkäykset, jotka johtavat hyökkääjän tarvitseman IP-osoitteen palauttamiseen DNS-palvelimelta:

• DNS-huijaus tai välimuistin myrkytys
• DNS-kaappaus

Mikä on DNSSEC?

DNSSEC - Domain Name Service Security Engines - käytetään DNS-tietueiden vahvistamiseen ilman, että sinun tarvitsee tietää yleisiä tietoja jokaisesta DNS-pyynnöstä.

DNSSEC käyttää digitaalisia allekirjoitusavaimia (PKI) varmistaakseen, ovatko toimialueen nimikyselyn tulokset peräisin kelvollisesta lähteestä.
DNSSEC:n käyttöönotto ei ole vain alan paras käytäntö, vaan se on myös tehokas useimpien DNS-hyökkäysten välttämiseen.

Miten DNSSEC toimii

DNSSEC toimii samalla tavalla kuin TLS/HTTPS käyttämällä julkisia ja yksityisiä avainpareja DNS-tietueiden digitaaliseen allekirjoittamiseen. Yleiskuvaus prosessista:

1. DNS-tietueet allekirjoitetaan yksityisen ja yksityisen avainparin avulla
2. DNSSEC-kyselyjen vastaukset sisältävät pyydetyn tietueen sekä allekirjoituksen ja julkisen avaimen
3. Sitten julkinen avain käytetään tietueen ja allekirjoituksen aitouden vertaamiseen

DNS- ja DNSSEC-suojaus

DNSSEC on työkalu DNS-kyselyiden eheyden tarkistamiseen. Se ei vaikuta DNS-yksityisyyteen. Toisin sanoen DNSSEC voi antaa sinulle varmuuden siitä, että DNS-kyselysi vastausta ei ole peukaloitu, mutta jokainen hyökkääjä voi nähdä tulokset sellaisina kuin ne on lähetetty sinulle.

DoT - DNS TLS:n kautta

Transport Layer Security (TLS) on salausprotokolla verkkoyhteyden kautta lähetettyjen tietojen suojaamiseen. Kun suojattu TLS-yhteys on muodostettu asiakkaan ja palvelimen välille, lähetetyt tiedot salataan, eikä mikään välittäjä näe sitä.

TLS käytetään yleisimmin osana HTTPS:ää (SSL) selaimessasi, koska pyynnöt lähetetään suojatuille HTTP-palvelimille.

DNS-over-TLS (DNS over TLS, DoT) käyttää TLS-protokollaa tavallisten DNS-pyyntöjen UDP-liikenteen salaamiseen.
Näiden pyyntöjen salaaminen pelkkänä tekstinä auttaa suojaamaan käyttäjiä tai pyyntöjä tekeviä sovelluksia useilta hyökkäyksiltä.

• MitM eli "mies keskellä": Ilman salausta asiakkaan ja arvovaltaisen DNS-palvelimen välinen välijärjestelmä voi mahdollisesti lähettää asiakkaalle vääriä tai vaarallisia tietoja vastauksena pyyntöön.
• Vakoilu ja jäljitys: Ilman pyyntöjen salausta väliohjelmistojärjestelmien on helppo nähdä, mitä sivustoja tietty käyttäjä tai sovellus käyttää. Vaikka DNS yksinään ei paljasta tiettyä sivua, jolla verkkosivustolla vieraillaan, pelkkä pyydettyjen verkkotunnusten tunteminen riittää luomaan profiilin järjestelmästä tai henkilöstä.

Lähde: Kalifornian yliopisto Irvine

DoH - DNS HTTPS:n kautta

DNS-over-HTTPS (DNS over HTTPS, DoH) on Mozillan ja Googlen yhdessä edistämä kokeellinen protokolla. Sen tavoitteet ovat samanlaiset kuin DoT-protokollalla – parantaa ihmisten yksityisyyttä verkossa salaamalla DNS-pyynnöt ja vastaukset.

Normaalit DNS-kyselyt lähetetään UDP:n kautta. Pyyntöjä ja vastauksia voidaan seurata käyttämällä työkaluja, kuten Wireshark. DoT salaa nämä pyynnöt, mutta ne tunnistetaan silti melko erilliseksi UDP-liikenteeksi verkossa.

DoH käyttää erilaista lähestymistapaa ja lähettää salattuja isäntänimen selvityspyyntöjä HTTPS-yhteyksien kautta, jotka näyttävät muilta verkon kautta tapahtuvilta verkkopyynnöiltä.

Tällä erolla on erittäin tärkeitä seurauksia sekä järjestelmänvalvojille että tulevaisuuden nimien ratkaisulle.

1. DNS-suodatus on yleinen tapa suodattaa verkkoliikennettä suojaamaan käyttäjiä tietojenkalasteluhyökkäyksiltä, ​​haittaohjelmia levittäviltä sivustoilta tai muulta mahdollisesti haitalliselta Internet-toiminnalta yritysverkossa. DoH-protokolla ohittaa nämä suodattimet, mikä saattaa altistaa käyttäjät ja verkon suuremmalle riskille.
2. Nykyisessä nimenselvitysmallissa jokainen verkon laite vastaanottaa DNS-kyselyitä samasta paikasta (määritetystä DNS-palvelimesta). DoH ja erityisesti Firefoxin sen toteutus osoittavat, että tämä saattaa muuttua tulevaisuudessa. Jokainen tietokoneen sovellus voi vastaanottaa tietoja eri DNS-lähteistä, mikä tekee vianmäärityksestä, turvallisuudesta ja riskien mallintamisesta paljon monimutkaisempaa.

Lähde: www.varonis.com/blog/what-is-powershell

Mitä eroa on DNS over TLS:n ja DNS over HTTPS välillä?

Aloitetaan DNS yli TLS:n (DoT). Pääasia tässä on, että alkuperäistä DNS-protokollaa ei muuteta, vaan se yksinkertaisesti lähetetään turvallisesti suojatun kanavan kautta. DoH puolestaan ​​asettaa DNS:n HTTP-muotoon ennen pyyntöjen tekemistä.

DNS-valvontahälytykset

Kyky valvoa tehokkaasti verkkosi DNS-liikennettä epäilyttävien poikkeavuuksien varalta on ratkaisevan tärkeä tietomurron varhaisessa havaitsemisessa. Varonis Edgen kaltaisen työkalun käyttäminen antaa sinulle mahdollisuuden pysyä kaikkien tärkeiden mittareiden päällä ja luoda profiileja jokaiselle verkkosi tilille. Voit määrittää hälytyksiä luotaviksi tietyn ajanjakson aikana tapahtuvien toimintojen yhdistelmän tuloksena.

DNS-muutosten seuranta, tilien sijainnit, ensikäyttö ja arkaluontoisten tietojen käyttö sekä työajan jälkeinen toiminta ovat vain muutamia mittareita, joita voidaan yhdistää laajemman tunnistuskuvan luomiseksi.

Lähde: will.com