Guía de seguridade DNS

Faga o que faga a empresa, seguridade DNS debe ser parte integrante do seu plan de seguridade. Os servizos de nomes, que resolven os nomes de host en enderezos IP, son utilizados por practicamente todas as aplicacións e servizos da rede.

Se un atacante obtén o control do DNS dunha organización, pode facilmente:

• dáse control sobre os recursos compartidos
• redirixir correos electrónicos entrantes, así como solicitudes web e intentos de autenticación
• crear e validar certificados SSL/TLS

Esta guía analiza a seguridade do DNS desde dous ángulos:

1. Realización de seguimento e control continuo sobre DNS
2. Como os novos protocolos DNS como DNSSEC, DOH e DoT poden axudar a protexer a integridade e confidencialidade das solicitudes DNS transmitidas

Que é a seguridade DNS?

O concepto de seguridade DNS inclúe dous compoñentes importantes:

1. Garantir a integridade e dispoñibilidade global dos servizos DNS que resolven os nomes de host en enderezos IP
2. Supervisa a actividade do DNS para identificar posibles problemas de seguranza en calquera lugar da túa rede

Por que o DNS é vulnerable aos ataques?

A tecnoloxía DNS creouse nos primeiros días de Internet, moito antes de que ninguén comezase a pensar na seguridade da rede. O DNS funciona sen autenticación nin cifrado, procesando a cega as solicitudes de calquera usuario.

Debido a isto, hai moitas formas de enganar ao usuario e falsificar información sobre onde se produce realmente a resolución de nomes a enderezos IP.

Seguridade DNS: problemas e compoñentes

A seguridade DNS consta de varios elementos básicos compoñentes, cada un dos cales debe ser tido en conta para garantir unha protección completa:

• Reforzo dos procedementos de xestión e seguridade do servidor: aumentar o nivel de seguridade do servidor e crear un modelo de posta en servizo estándar
• Melloras do protocolo: implementar DNSSEC, DoT o DoH
• Análise e informes: engade un rexistro de eventos DNS ao seu sistema SIEM para obter contexto adicional ao investigar incidentes
• Ciberintelixencia e detección de ameazas: subscríbase a unha fonte activa de intelixencia sobre ameazas
• Automatización: crear tantos scripts como sexa posible para automatizar procesos

Os compoñentes de alto nivel mencionados anteriormente son só a punta do iceberg de seguridade DNS. Na seguinte sección, mergullaremos en casos de uso máis específicos e prácticas recomendadas que debes coñecer.

Ataques DNS

• Suplantación de DNS ou envelenamento da caché: explotando unha vulnerabilidade do sistema para manipular a caché DNS para redirixir os usuarios a outra localización
• Tunelización DNS: usado principalmente para evitar proteccións de conexión remota
• Secuestro de DNS: redirixindo o tráfico DNS normal a un servidor DNS de destino diferente cambiando o rexistrador de dominios
• Ataque NXDOMAIN: realizar un ataque DDoS a un servidor DNS autorizado enviando consultas de dominio ilexítimo para obter unha resposta forzada
• dominio fantasma: fai que o resolvedor de DNS agarde unha resposta de dominios inexistentes, o que provoca un rendemento deficiente
• ataque a un subdominio aleatorio: os hosts e botnets comprometidos lanzan un ataque DDoS a un dominio válido, pero concentran o seu lume en subdominios falsos para forzar o servidor DNS a buscar rexistros e asumir o control do servizo.
• bloqueo de dominio: está enviando varias respostas de spam para bloquear os recursos do servidor DNS
• Ataque de botnet desde equipos de subscritores: unha colección de ordenadores, módems, enrutadores e outros dispositivos que concentran a potencia informática nun sitio web específico para sobrecargalo con solicitudes de tráfico.

Ataques DNS

Ataques que dalgún xeito usan o DNS para atacar outros sistemas (é dicir, cambiar os rexistros DNS non é o obxectivo final):

• Fluxo rápido
• Redes de fluxo único
• Redes de dobre fluxo
• Tunelización DNS

Ataques DNS

Ataques que provocan que o enderezo IP que necesita o atacante sexa devolto desde o servidor DNS:

• Suplantación de DNS ou envelenamento da caché
• Secuestro de DNS

Que é DNSSEC?

DNSSEC - Motores de seguridade do servizo de nomes de dominio - utilízanse para validar rexistros DNS sen necesidade de coñecer información xeral para cada solicitude de DNS específica.

DNSSEC usa claves de sinatura dixital (PKI) para verificar se os resultados dunha consulta de nome de dominio proviñan dunha fonte válida.
A implementación de DNSSEC non só é unha boa práctica da industria, senón que tamén é eficaz para evitar a maioría dos ataques de DNS.

Como funciona DNSSEC

DNSSEC funciona de forma similar a TLS/HTTPS, utilizando pares de claves públicas e privadas para asinar dixitalmente os rexistros DNS. Visión xeral do proceso:

1. Os rexistros DNS asinanse cun par de chaves privada-privada
2. As respostas ás consultas DNSSEC conteñen o rexistro solicitado, así como a sinatura e a clave pública
3. Logo clave pública usado para comparar a autenticidade dun rexistro e unha sinatura

Seguridade DNS e DNSSEC

DNSSEC é unha ferramenta para comprobar a integridade das consultas DNS. Non afecta a privacidade do DNS. Noutras palabras, DNSSEC pode darche a confianza de que a resposta á túa consulta de DNS non foi manipulada, pero calquera atacante pode ver eses resultados tal e como che foron enviados.

DoT - DNS sobre TLS

Transport Layer Security (TLS) é un protocolo criptográfico para protexer a información transmitida a través dunha conexión de rede. Unha vez que se establece unha conexión TLS segura entre o cliente e o servidor, os datos transmitidos son cifrados e ningún intermediario pode velos.

TLS úsase máis habitualmente como parte de HTTPS (SSL) no teu navegador web porque as solicitudes se envían a servidores HTTP seguros.

DNS sobre TLS (DNS sobre TLS, DoT) usa o protocolo TLS para cifrar o tráfico UDP das solicitudes de DNS habituais.
O cifrado destas solicitudes en texto simple axuda a protexer os usuarios ou as aplicacións que realizan solicitudes de varios ataques.

• MitM ou "home no medio": Sen cifrado, o sistema intermedio entre o cliente e o servidor DNS autorizado podería enviar información falsa ou perigosa ao cliente en resposta a unha solicitude.
• Espionaxe e rastrexo: Sen as solicitudes de cifrado, é doado para os sistemas de middleware ver a que sitios accede un usuario ou aplicación en particular. Aínda que o DNS por si só non revelará a páxina específica que se está a visitar nun sitio web, o simple feito de coñecer os dominios solicitados é suficiente para crear un perfil dun sistema ou dun individuo.

Fonte: Universidade de California Irvine

DoH - DNS sobre HTTPS

DNS-over-HTTPS (DNS over HTTPS, DoH) é un protocolo experimental promovido conxuntamente por Mozilla e Google. Os seus obxectivos son similares ao protocolo DoT: mellorar a privacidade das persoas en liña mediante o cifrado de solicitudes e respostas de DNS.

As consultas DNS estándar envíanse a través de UDP. As solicitudes e as respostas pódense rastrexar mediante ferramentas como Wireshark. DoT cifra estas solicitudes, pero aínda se identifican como tráfico UDP bastante distinto na rede.

DoH adopta un enfoque diferente e envía solicitudes de resolución de nomes de host cifradas a través de conexións HTTPS, que se parecen a calquera outra solicitude web na rede.

Esta diferenza ten implicacións moi importantes tanto para os administradores do sistema como para o futuro da resolución de nomes.

1. O filtrado DNS é unha forma habitual de filtrar o tráfico web para protexer aos usuarios de ataques de phishing, sitios que distribúen malware ou outras actividades de Internet potencialmente daniñas nunha rede corporativa. O protocolo DoH evita estes filtros, expoñendo potencialmente aos usuarios e á rede a un maior risco.
2. No modelo actual de resolución de nomes, todos os dispositivos da rede reciben máis ou menos consultas DNS dende a mesma localización (un servidor DNS especificado). DoH, e en particular a súa implementación por parte de Firefox, mostra que isto pode cambiar no futuro. Cada aplicación dun ordenador pode recibir datos de diferentes fontes DNS, o que fai que a resolución de problemas, a seguridade e o modelado de riscos sexan moito máis complexos.

Fonte: www.varonis.com/blog/what-is-powershell

Cal é a diferenza entre DNS sobre TLS e DNS sobre HTTPS?

Comecemos con DNS sobre TLS (DoT). O punto principal aquí é que o protocolo DNS orixinal non se modifica, senón que simplemente se transmite de forma segura a través dunha canle segura. DoH, por outra banda, pon DNS en formato HTTP antes de facer solicitudes.

Alertas de monitorización de DNS

A capacidade de supervisar eficazmente o tráfico DNS na súa rede para detectar anomalías sospeitosas é fundamental para a detección precoz dunha violación. Usar unha ferramenta como Varonis Edge darache a posibilidade de estar ao tanto de todas as métricas importantes e crear perfís para cada conta da túa rede. Pode configurar alertas para que se xeren como resultado dunha combinación de accións que se produzan durante un período de tempo específico.

O seguimento dos cambios de DNS, a localización das contas, o uso por primeira vez e o acceso a datos confidenciais e a actividade fóra do horario laboral son só algunhas métricas que se poden correlacionar para crear unha imaxe de detección máis ampla.

Fonte: www.habr.com