Ge bith dè a nì a’ chompanaidh, tèarainteachd bu chòir dha a bhith na phàirt riatanach den phlana tèarainteachd aige. Bidh seirbheisean ainm, a bhios a’ fuasgladh ainmean aoigheachd gu seòlaidhean IP, air an cleachdadh le cha mhòr a h-uile aplacaid is seirbheis air an lìonra.
Ma gheibh neach-ionnsaigh smachd air DNS buidhne, faodaidh e gu furasta:
- thoir smachd dhut fhèin air goireasan co-roinnte
- ath-stiùireadh puist-d a tha a’ tighinn a-steach a bharrachd air iarrtasan lìn agus oidhirpean dearbhaidh
- cruthaich agus dearbhaich teisteanasan SSL / TLS
Bidh an iùl seo a’ coimhead air tèarainteachd DNS bho dhà thaobh:
- A 'dèanamh sgrùdadh leantainneach agus smachd air DNS
- Mar as urrainn do phròtacalan DNS ùra leithid DNSSEC, DOH agus DoT cuideachadh le bhith a’ dìon ionracas agus dìomhaireachd iarrtasan DNS tar-chuir
Dè a th ’ann an tèarainteachd DNS?
Tha bun-bheachd tèarainteachd DNS a’ toirt a-steach dà phàirt chudromach:
- A’ dèanamh cinnteach à ionracas iomlan agus cothrom air seirbheisean DNS a bhios a’ fuasgladh ainmean aoigheachd gu seòlaidhean IP
- Cum sùil air gnìomhachd DNS gus cùisean tèarainteachd a chomharrachadh àite sam bith air an lìonra agad
Carson a tha DNS ann an cunnart bho ionnsaighean?
Chaidh teicneòlas DNS a chruthachadh ann an làithean tràtha an eadar-lìn, fada mus do thòisich duine eadhon a ’smaoineachadh mu thèarainteachd lìonra. Bidh DNS ag obair às aonais dearbhadh no crioptachadh, gu dall a’ làimhseachadh iarrtasan bho neach-cleachdaidh sam bith.
Air sgàth seo, tha iomadh dòigh ann gus an neach-cleachdaidh a mhealladh agus fiosrachadh a fhalachadh a thaobh far a bheil fuasgladh ainmean gu seòlaidhean IP a’ tachairt.
Tèarainteachd DNS: Cùisean agus Co-phàirtean
Tha tèarainteachd DNS air a dhèanamh suas de ghrunn bhunaitean pàirtean, feumar aire a thoirt do gach aon dhiubh gus dèanamh cinnteach à dìon iomlan:
- Neartachadh modhan tèarainteachd is riaghlaidh frithealaiche: àrdaich ìre tèarainteachd an fhrithealaiche agus cruthaich teamplaid coimiseanaidh àbhaisteach
- Leasachaidhean protocol: cuir DNSSEC, DoT no DoH an gnìomh
- Mion-sgrùdadh agus aithris: cuir loga tachartas DNS ris an t-siostam SIEM agad airson co-theacsa a bharrachd nuair a bhios tu a’ sgrùdadh thachartasan
- Eòlas saidhbear agus lorg bagairt: fo-sgrìobhadh gu biadh fiosrachaidh bagairt gnìomhach
- Automation: cruthaich nas urrainn dhut de sgriobtaichean gus pròiseasan a dhèanamh fèin-ghluasadach
Tha na pàirtean àrd-ìre gu h-àrd dìreach aig bàrr beinn-deighe tèarainteachd DNS. Anns an ath earrann, bidh sinn a’ dàibheadh a-steach do chùisean cleachdaidh nas sònraichte agus na cleachdaidhean as fheàrr air am feum thu fios a bhith agad.
DNS ionnsaighean
- : a’ gabhail brath air so-leòntachd siostam gus an tasgadan DNS a làimhseachadh gus luchd-cleachdaidh ath-stiùireadh gu àite eile
- : air a chleachdadh sa mhòr-chuid gus faighinn seachad air dìonan ceangail iomallach
- DNS a’ gabhail thairis: ag ath-stiùireadh trafaic DNS àbhaisteach gu frithealaiche DNS targaid eile le bhith ag atharrachadh an neach-clàraidh fearainn
- ionnsaigh NXDOMAIN: a’ dèanamh ionnsaigh DDoS air frithealaiche DNS ùghdarrasach le bhith a’ cur cheistean fearainn mì-laghail gus freagairt èiginneach fhaighinn
- àrainn phantom: ag adhbhrachadh gum bi an neach-rèiteachaidh DNS a’ feitheamh ri freagairt bho raointean nach eil ann, a’ leantainn gu droch choileanadh
- ionnsaigh air subdomain air thuaiream: bidh luchd-aoigheachd agus botnets ann an cunnart a’ cur air bhog ionnsaigh DDoS air àrainn dhligheach, ach cuir fòcas air an teine air fo-roinnean meallta gus toirt air an t-seirbheisiche DNS clàran a lorg agus smachd a ghabhail air an t-seirbheis
- bacadh fearainn: a’ cur grunn fhreagairtean spama gus goireasan frithealaiche DNS a bhacadh
- Ionnsaigh botnet bho uidheamachd ballrachd: cruinneachadh de choimpiutairean, modems, routers agus innealan eile a tha a’ cuimseachadh cumhachd coimpiutaireachd air làrach-lìn sònraichte gus cus a luchdachadh le iarrtasan trafaic
DNS ionnsaighean
Ionnsaighean a chleachdas an DNS dòigh air choireigin gus ionnsaigh a thoirt air siostaman eile (ie chan e atharrachadh clàran DNS an amas deireannach):
- Fast-Flux
- Lìonraidhean Flux Singilte
- Lìonraidhean dùbailte Flux
DNS ionnsaighean
Ionnsaighean a bheir gu buil an seòladh IP a dh’ fheumas an neach-ionnsaigh a thilleadh bhon t-seirbheisiche DNS:
- DNS spoofing no puinnseanachadh tasgadan
- DNS luchdadh a-nuas
Dè a th’ ann an DNSSEC?
Tha DNSSEC - Einnseanan Tèarainteachd Seirbheis Ainm Domain - air an cleachdadh gus clàran DNS a dhearbhadh gun a bhith feumach air fiosrachadh coitcheann airson gach iarrtas DNS sònraichte.
Bidh DNSSEC a’ cleachdadh Iuchraichean Soidhnichean Didseatach (PKIs) gus dearbhadh an tàinig toraidhean ceist ainm fearainn bho thùs dligheach.
Chan e a-mhàin gu bheil buileachadh DNSSEC na chleachdadh as fheàrr sa ghnìomhachas, ach tha e cuideachd èifeachdach ann a bhith a’ seachnadh a’ mhòr-chuid de dh’ ionnsaighean DNS.
Mar a tha DNSSEC ag obair
Bidh DNSSEC ag obair mar an ceudna ri TLS/HTTPS, a’ cleachdadh paidhrichean iuchraichean poblach is prìobhaideach gus ainmean didseatach a chuir ri clàran DNS. Sealladh farsaing air a’ phròiseas:
- Tha clàran DNS air an soidhnigeadh le paidhir iuchrach prìobhaideach-prìobhaideach
- Ann am freagairtean do cheistean DNSSEC tha an clàr a chaidh iarraidh a bharrachd air an ainm-sgrìobhte agus an iuchair phoblach
- an uair sin cleachdadh gus coimeas a dhèanamh eadar dearbhteachd clàr agus ainm-sgrìobhte
Tèarainteachd DNS agus DNSSEC
Tha DNSSEC na inneal airson ionracas cheistean DNS a sgrùdadh. Chan eil e a’ toirt buaidh air prìobhaideachd DNS. Ann am faclan eile, faodaidh DNSSEC misneachd a thoirt dhut nach deach dragh a chuir air freagairt do cheist DNS, ach chì neach-ionnsaigh sam bith na toraidhean sin mar a chaidh an cur thugad.
DoT - DNS thairis air TLS
Tha Transport Layer Security (TLS) na phròtacal criptografach airson fiosrachadh a thèid a ghluasad thairis air ceangal lìonra a dhìon. Aon uair ‘s gu bheil ceangal TLS tèarainte air a stèidheachadh eadar an neach-dèiligidh agus an frithealaiche, tha an dàta tar-chuir air a chrioptachadh agus chan urrainn dha eadar-mheadhanair fhaicinn.
mar as trice air a chleachdadh mar phàirt de HTTPS (SSL) sa bhrobhsair lìn agad oir thèid iarrtasan a chuir gu frithealaichean HTTP tèarainte.
Bidh DNS-over-TLS (DNS thairis air TLS, DoT) a’ cleachdadh protocol TLS gus trafaic UDP iarrtasan DNS cunbhalach a chrioptachadh.
Bidh crioptachadh nan iarrtasan sin ann an teacsa shìmplidh a’ cuideachadh le bhith a’ dìon luchd-cleachdaidh no tagraidhean a tha a’ dèanamh iarrtasan bho ghrunn ionnsaighean.
- MitM, no "duine sa mheadhan": Às aonais crioptachadh, dh’ fhaodadh an siostam eadar-mheadhanach eadar an neach-dèiligidh agus am frithealaiche DNS ùghdarrasach fiosrachadh meallta no cunnartach a chuir chun neach-dèiligidh mar fhreagairt air iarrtas
- Spionadh agus lorg: Gun a bhith a’ crioptachadh iarrtasan, tha e furasta do shiostaman middleware faicinn dè na làraich a tha cleachdaiche no aplacaid sònraichte a’ faighinn cothrom. Ged nach nochd DNS leis fhèin an duilleag shònraichte air a bheilear a’ tadhal air làrach-lìn, dìreach fios a bhith agad air na raointean a chaidh iarraidh tha e gu leòr airson ìomhaigh siostam no neach fa leth a chruthachadh.
Source:
DoH - DNS thairis air HTTPS
Tha DNS-over-HTTPS (DNS thairis air HTTPS, DoH) na phròtacal deuchainneach air a bhrosnachadh le Mozilla agus Google. Tha na h-amasan aige coltach ri protocol DoT - ag àrdachadh prìobhaideachd dhaoine air-loidhne le bhith a’ crioptachadh iarrtasan agus freagairtean DNS.
Thèid ceistean àbhaisteach DNS a chuir thairis air UDP. Faodar sùil a chumail air iarrtasan agus freagairtean a’ cleachdadh innealan leithid . Bidh DoT a’ cuairteachadh nan iarrtasan sin, ach tha iad fhathast air an comharrachadh mar thrafaig UDP gu math eadar-dhealaichte air an lìonra.
Bidh DoH a’ cleachdadh dòigh-obrach eadar-dhealaichte agus a’ cur iarrtasan fuasglaidh ainm aoigheachd crioptaichte thairis air ceanglaichean HTTPS, a tha coltach ri iarrtas lìn sam bith eile thairis air an lìonra.
Tha buadhan glè chudromach aig an eadar-dhealachadh seo an dà chuid do luchd-rianachd an t-siostaim agus airson fuasgladh ainmean san àm ri teachd.
- Tha sìoladh DNS na dhòigh cumanta air trafaic lìn a shìoladh gus luchd-cleachdaidh a dhìon bho ionnsaighean fiasgach, làraich a bhios a’ cuairteachadh malware, no gnìomhachd eadar-lìn eile a dh’ fhaodadh a bhith cronail air lìonra corporra. Bidh protocol DoH a’ dol seachad air na sìoltachain sin, a dh’ fhaodadh luchd-cleachdaidh agus an lìonra a chuir gu cunnart nas motha.
- Anns a’ mhodail fuasglaidh ainm gnàthach, bidh a h-uile inneal air an lìonra gu ìre mhòr a’ faighinn ceistean DNS bhon aon àite (frithealaiche DNS ainmichte). Tha DoH, agus gu sònraichte mar a chuir Firefox an gnìomh e, a’ sealltainn gum faodadh seo atharrachadh san àm ri teachd. Faodaidh gach tagradh air coimpiutair dàta fhaighinn bho dhiofar stòran DNS, a’ dèanamh fuasgladh dhuilgheadasan, tèarainteachd agus modaladh cunnairt tòrr nas iom-fhillte.
Source:
Dè an diofar eadar DNS thairis air TLS agus DNS thairis air HTTPS?
Feuch an tòisich sinn le DNS thairis air TLS (DoT). Is e am prìomh phuing an seo nach eil am protocol DNS tùsail air atharrachadh, ach gu bheil e dìreach air a ghluasad gu tèarainte thairis air seanal tèarainte. Bidh DoH, air an làimh eile, a’ cur DNS ann an cruth HTTP mus dèan iad iarrtasan.
Rabhadh sgrùdaidh DNS
Tha an comas sùil a chumail gu h-èifeachdach air trafaic DNS air an lìonra agad airson neo-riaghailteachdan amharasach deatamach gus briseadh a lorg tràth. Le bhith a’ cleachdadh inneal mar Varonis Edge bheir sin an comas dhut fuireach air mullach na meatrach cudromach agus cruthaich pròifilean airson a h-uile cunntas air an lìonra agad. Faodaidh tu rabhaidhean a rèiteachadh airson an cruthachadh mar thoradh air measgachadh de ghnìomhan a thachras thar ùine sònraichte.
Tha a bhith a’ cumail sùil air atharrachaidhean DNS, àiteachan cunntais, cleachdadh ciad-ùine agus ruigsinneachd air dàta mothachail, agus gnìomhachd às deidh uairean dìreach beagan mheatairean a dh’ fhaodar a cheangal gus dealbh lorgaidh nas fharsainge a thogail.
Source: www.habr.com