ProHoster > Blag > Riarachán > Treoir slándála DNS

Treoir slándála DNS

Treoir slándála DNS

Cibé rud a dhéanann an chuideachta, slándáil DNS ba cheart go mbeadh sé ina chuid lárnach dá phlean slándála. Úsáideann beagnach gach feidhmchlár agus seirbhís ar an líonra seirbhísí ainm, a réitíonn óstainmneacha chuig seoltaí IP.

Má fhaigheann ionsaitheoir smacht ar DNS eagraíochta, is féidir leis go héasca:

  • smacht a thabhairt duit féin ar acmhainní comhroinnte
  • ríomhphoist a thagann isteach chomh maith le hiarratais ghréasáin agus iarrachtaí fíordheimhnithe a atreorú
  • teastais SSL/TLS a chruthú agus a bhailíochtú

Féachann an treoir seo ar shlándáil DNS ó dhá uillinn:

  1. Monatóireacht agus rialú leanúnach a dhéanamh ar DNS
  2. Conas is féidir le prótacail DNS nua ar nós DNSSEC, DOH agus DoT cabhrú le sláine agus rúndacht iarratas DNS tarchurtha a chosaint

Cad é slándáil DNS?

Treoir slándála DNS

Áirítear dhá chomhpháirt thábhachtacha i gcoincheap na slándála DNS:

  1. Sláine foriomlán agus infhaighteacht seirbhísí DNS a chinntiú a réitíonn óstainmneacha chuig seoltaí IP
  2. Monatóireacht a dhéanamh ar ghníomhaíocht DNS chun saincheisteanna slándála féideartha a aithint áit ar bith ar do líonra

Cén fáth a bhfuil DNS i mbaol ionsaithe?

Cruthaíodh teicneolaíocht DNS i laethanta tosaigh an Idirlín, i bhfad sular thosaigh aon duine fiú ag smaoineamh ar shlándáil líonra. Feidhmíonn DNS gan fíordheimhniú nó criptiú, ag próiseáil iarratais ó aon úsáideoir go dall.

Mar gheall air seo, tá go leor bealaí ann chun an t-úsáideoir a mhealladh agus faisnéis a fhalsú faoin áit a dtarlaíonn réiteach ainmneacha chuig seoltaí IP i ndáiríre.

Slándáil DNS: Saincheisteanna agus Comhpháirteanna

Treoir slándála DNS

Is éard atá i slándáil DNS ná roinnt bunúsacha comhpháirteanna, ní mór gach ceann acu a chur san áireamh chun cosaint iomlán a áirithiú:

  • Nósanna imeachta slándála agus bainistíochta freastalaí a neartú: leibhéal slándála an fhreastalaí a mhéadú agus teimpléad caighdeánach coimisiúnaithe a chruthú
  • Feabhsuithe prótacail: DNSSEC, DoT nó DoH a chur i bhfeidhm
  • Anailísíocht agus tuairisciú: cuir loga imeachta DNS le do chóras SIEM le haghaidh comhthéacs breise agus teagmhais á imscrúdú
  • Cibearfhaisnéis agus Brath Bagairt: liostáil le fotha faisnéise gníomhach faoi bhagairt
  • Uathoibriú: an oiread scripteanna agus is féidir a chruthú chun próisis a uathoibriú

Níl sna comhpháirteanna ardleibhéil thuasluaite ach barr an chnoic oighir slándála DNS. Sa chéad chuid eile, déanfaimid dul i ngleic le cásanna úsáide níos sainiúla agus na cleachtais is fearr nach mór duit a bheith ar an eolas fúthu.

Ionsaí DNS

Treoir slándála DNS

  • DNS spoofing nó nimhiú taisce: leas a bhaint as leochaileacht córais chun an taisce DNS a ionramháil chun úsáideoirí a atreorú chuig láthair eile
  • DNS tollánú: a úsáidtear go príomha chun cosaintí ciancheangail a sheachaint
  • Fuadach DNS: gnáth-thrácht DNS a atreorú chuig spriocfhreastalaí DNS eile tríd an gcláraitheoir fearainn a athrú
  • Ionsaí NXDOMAIN: ionsaí DDoS a dhéanamh ar fhreastalaí DNS údarásach trí cheisteanna fearainn neamhdhlisteanacha a sheoladh chun freagra éigeantach a fháil
  • fearann ​​phantom: is cúis leis an réititheoir DNS fanacht le freagra ó fhearainn nach bhfuil ann, rud a fhágann go bhfuil drochfheidhmíocht ann
  • ionsaí ar fhofhearann ​​randamach: seolann óstaigh chontúirt agus botnets ionsaí DDoS ar fhearann ​​bailí, ach dírigh a dtine ar fhofhearainn falsa chun iallach a chur ar an bhfreastalaí DNS taifid a chuardach agus smacht a ghlacadh ar an tseirbhís
  • blocáil fearainn: ag seoladh freagraí turscair iolracha chun acmhainní freastalaí DNS a bhlocáil
  • Ionsaí botnet ó threalamh suibscríobhaí: bailiúchán de ríomhairí, móideim, ródairí agus gléasanna eile a dhíríonn cumhacht ríomhaireachta ar shuíomh Gréasáin ar leith chun é a ró-ualú le hiarratais tráchta

Ionsaí DNS

Ionsaithe a úsáideann an DNS ar bhealach éigin chun ionsaí a dhéanamh ar chórais eile (i.e. ní hé an sprioc deiridh é taifid DNS a athrú):

  • Fast-Flux
  • Líonraí Flux Aonair
  • Líonraí Flux Dúbailte
  • DNS tollánú

Ionsaí DNS

Ionsaithe a fhágann go gcuirtear an seoladh IP a theastaíonn ón ionsaitheoir ar ais ón bhfreastalaí DNS:

  • DNS spoofing nó nimhiú taisce
  • Fuadach DNS

Cad é DNSSEC?

Treoir slándála DNS

Úsáidtear DNSSEC - Innill Slándála Seirbhíse Ainm Fearainn - chun taifid DNS a bhailíochtú gan eolas ginearálta a bheith ag teastáil le haghaidh gach iarratas DNS ar leith.

Úsáideann DNSSEC Eochracha Sínithe Digiteach (PKIs) chun a fhíorú ar tháinig torthaí fiosrúcháin ainm fearainn ó fhoinse bhailí.
Ní hamháin gur cleachtas tionscail is fearr é DNSSEC a chur i bhfeidhm, ach tá sé éifeachtach freisin chun an chuid is mó d'ionsaithe DNS a sheachaint.

Conas a oibríonn DNSSEC

Oibríonn DNSSEC mar an gcéanna le TLS/HTTPS, ag baint úsáide as péirí eochracha poiblí agus príobháideacha chun taifid DNS a shíniú go digiteach. Forbhreathnú ginearálta ar an bpróiseas:

  1. Sínítear taifid DNS le péire eochair phríobháideach-phríobháideach
  2. Tá an taifead iarrtha chomh maith leis an síniú agus an eochair phoiblí sna freagraí ar cheisteanna DNSSEC
  3. Ansin eochair phoiblí a úsáidtear chun barántúlacht taifid agus sínithe a chur i gcomparáid

Slándáil DNS agus DNSSEC

Treoir slándála DNS

Is uirlis é DNSSEC chun sláine ceisteanna DNS a sheiceáil. Ní chuireann sé isteach ar phríobháideachas DNS. I bhfocail eile, is féidir le DNSSEC muinín a thabhairt duit nár cuireadh isteach ar an bhfreagra ar do cheist DNS, ach is féidir le haon ionsaitheoir na torthaí sin a fheiceáil mar a seoladh chugat iad.

DoT - DNS thar TLS

Is prótacal cripteagrafach é Transport Layer Security (TLS) chun faisnéis a tharchuirtear thar nasc líonra a chosaint. Nuair a bhíonn nasc slán TLS bunaithe idir an cliant agus an freastalaí, déantar na sonraí tarchurtha a chriptiú agus ní féidir le haon idirghabhálaí iad a fheiceáil.

TLS is coitianta a úsáidtear mar chuid de HTTPS (SSL) i do bhrabhsálaí gréasáin toisc go seoltar iarratais chuig freastalaithe HTTP slán.

Úsáideann DNS-over-TLS (DNS over TLS, DoT) an prótacal TLS chun trácht UDP na n-iarratas DNS rialta a chriptiú.
Cuidíonn criptiú na n-iarratas seo i ngnáth-théacs le húsáideoirí nó le feidhmchláir a dhéanann iarratais a chosaint ó roinnt ionsaithe.

  • MitM, nó "fear sa lár": Gan chriptiú, d'fhéadfadh an córas idirmheánach idir an cliant agus an freastalaí DNS údarásach faisnéis bhréagach nó chontúirteach a sheoladh chuig an gcliant mar fhreagra ar iarratas
  • Spíonadh agus rianú: Gan iarratais a chriptiú, is furasta do chórais lárearraí a fheiceáil cé na suíomhanna a bhfuil úsáideoir nó feidhmchlár ar leith ag rochtain orthu. Cé nach nochtfaidh DNS amháin an leathanach ar leith ar a dtabharfar cuairt ar shuíomh Gréasáin, is leor na fearainn iarrtha a bheith ar eolas agat chun próifíl chórais nó duine aonair a chruthú

Treoir slándála DNS
Foinse: Ollscoil California Irvine

DoH - DNS thar HTTPS

Is prótacal turgnamhach é DNS-over-HTTPS (DNS thar HTTPS, DoH) a chuireann Mozilla agus Google chun cinn i gcomhpháirt. Tá a spriocanna cosúil leis an bprótacal DoT - príobháideacht daoine a fheabhsú ar líne trí iarratais agus freagraí DNS a chriptiú.

Seoltar fiosruithe caighdeánacha DNS thar UDP. Is féidir iarratais agus freagraí a rianú trí úsáid a bhaint as uirlisí mar Wireshark. Déanann DoT na hiarratais seo a chriptiú, ach aithnítear go fóill iad mar thrácht UDP ar leith ar an líonra.

Glacann an DoH cur chuige difriúil agus seolann iarratais réitigh óstainm criptithe thar naisc HTTPS, atá cosúil le haon iarratas gréasáin eile thar an líonra.

Tá impleachtaí an-tábhachtacha ag an difríocht seo do riarthóirí córais agus do thodhchaí réiteach ainmneacha.

  1. Is bealach coitianta é scagadh DNS chun trácht gréasáin a scagadh chun úsáideoirí a chosaint ó ionsaithe fioscaireachta, láithreáin a dháileann malware, nó gníomhaíocht Idirlín eile a d'fhéadfadh a bheith díobhálach ar líonra corparáideach. Seachnaíonn prótacal na Roinne Sláinte na scagairí seo, rud a d’fhéadfadh úsáideoirí agus an líonra a chur i mbaol níos mó.
  2. Sa mhúnla réitigh ainm reatha, faigheann gach feiste ar an líonra níos mó nó níos lú fiosruithe DNS ón suíomh céanna (freastalaí DNS sonraithe). Léiríonn DoH, agus go háirithe cur i bhfeidhm Firefox é, go bhféadfadh sé seo athrú sa todhchaí. Féadfaidh gach feidhmchlár ar ríomhaire sonraí a fháil ó fhoinsí DNS éagsúla, rud a fhágann go mbeidh fabhtcheartú, slándáil agus samhaltú riosca i bhfad níos casta.

Treoir slándála DNS
Foinse: www.varonis.com/blog/what-is-powershell

Cad é an difríocht idir DNS thar TLS agus DNS thar HTTPS?

Tosaímid le DNS thar TLS (DoT). Is é an príomhphointe anseo nach n-athraítear an prótacal DNS bunaidh, ach go ndéantar é a tharchur go sábháilte thar chainéal slán. Ar an láimh eile, cuireann an DoH DNS i bhformáid HTTP roimh iarratais a dhéanamh.

Foláirimh Monatóireachta DNS

Treoir slándála DNS

Tá an cumas monatóireacht éifeachtach a dhéanamh ar thrácht DNS ar do líonra le haghaidh aimhrialtachtaí amhrasacha ríthábhachtach chun sárú a bhrath go luath. Trí úsáid a bhaint as uirlis cosúil le Varonis Edge beidh tú in ann fanacht ar bharr na méadrachta tábhachtacha go léir agus próifílí a chruthú do gach cuntas ar do líonra. Is féidir leat foláirimh a chumrú le giniúint mar thoradh ar mheascán de ghníomhartha a tharlaíonn thar thréimhse ama ar leith.

Níl iontu ach monatóireacht a dhéanamh ar athruithe DNS, suímh chuntais, úsáid céaduaire agus rochtain ar shonraí íogaire, agus gníomhaíocht iar-uaireanta ach cúpla méadracht is féidir a chomhghaolú chun pictiúr braite níos leithne a thógáil.

Foinse: will.com

Add a comment