Vodič za sigurnost DNS-a

Što god tvrtka radi, sigurnost DNS treba biti sastavni dio njegovog sigurnosnog plana. Usluge naziva, koje razlučuju imena hostova u IP adrese, koriste gotovo sve aplikacije i usluge na mreži.

Ako napadač preuzme kontrolu nad DNS-om organizacije, lako može:

• dajte sebi kontrolu nad zajedničkim resursima
• preusmjeravanje dolazne e-pošte kao i web zahtjeva i pokušaja autentifikacije
• kreirati i potvrditi SSL/TLS certifikate

Ovaj vodič promatra DNS sigurnost iz dva kuta:

1. Obavljanje kontinuiranog nadzora i kontrole DNS-a
2. Kako novi DNS protokoli kao što su DNSSEC, DOH i DoT mogu pomoći u zaštiti integriteta i povjerljivosti poslanih DNS zahtjeva

Što je DNS sigurnost?

Koncept DNS sigurnosti uključuje dvije važne komponente:

1. Osiguravanje cjelokupnog integriteta i dostupnosti DNS usluga koje razlučuju imena hostova u IP adrese
2. Pratite DNS aktivnost kako biste identificirali moguće sigurnosne probleme bilo gdje na vašoj mreži

Zašto je DNS ranjiv na napade?

DNS tehnologija stvorena je u ranim danima interneta, mnogo prije nego što je itko uopće počeo razmišljati o mrežnoj sigurnosti. DNS radi bez provjere autentičnosti ili enkripcije, slijepo obrađujući zahtjeve bilo kojeg korisnika.

Zbog toga postoji mnogo načina da se prevari korisnik i krivotvori informacija o tome gdje se zapravo odvija razlučivanje imena u IP adrese.

DNS sigurnost: problemi i komponente

DNS sigurnost sastoji se od nekoliko osnovnih Komponente, od kojih se svaki mora uzeti u obzir kako bi se osigurala potpuna zaštita:

• Jačanje sigurnosti poslužitelja i procedura upravljanja: povećati razinu sigurnosti poslužitelja i izraditi standardni predložak za puštanje u rad
• Poboljšanja protokola: implementirati DNSSEC, DoT ili DoH
• Analitika i izvješćivanje: dodajte zapisnik DNS događaja u svoj SIEM sustav za dodatni kontekst prilikom istraživanja incidenata
• Cyber ​​​​inteligencija i otkrivanje prijetnji: pretplatite se na aktivni izvor informacija o prijetnjama
• Automatizacija: izradite što više skripti za automatizaciju procesa

Gore spomenute komponente visoke razine samo su vrh sante DNS sigurnosti. U sljedećem odjeljku zaronit ćemo u konkretnije slučajeve upotrebe i najbolje prakse o kojima trebate znati.

DNS napadi

• DNS spoofing ili trovanje predmemorije: iskorištavanje ranjivosti sustava za manipuliranje DNS predmemorijom za preusmjeravanje korisnika na drugu lokaciju
• DNS tuneliranje: prvenstveno se koristi za zaobilaženje zaštite daljinske veze
• Otmica DNS-a: preusmjeravanje normalnog DNS prometa na drugi ciljni DNS poslužitelj promjenom registra domene
• NXDOMAIN napad: provođenje DDoS napada na autoritativni DNS poslužitelj slanjem nelegitimnih upita domene za dobivanje prisilnog odgovora
• fantomska domena: uzrokuje da DNS rezolver čeka odgovor od nepostojećih domena, što rezultira lošim performansama
• napad na slučajnu poddomenu: kompromitirani hostovi i botnetovi pokreću DDoS napad na valjanu domenu, ali svoju vatru usmjeravaju na lažne poddomene kako bi natjerali DNS poslužitelj da potraži zapise i preuzme kontrolu nad uslugom
• blokiranje domene: šalje više neželjenih odgovora kako bi blokirao resurse DNS poslužitelja
• Botnet napad s pretplatničke opreme: skup računala, modema, usmjerivača i drugih uređaja koji koncentriraju računalnu snagu na određenom web mjestu kako bi ga preopteretili prometnim zahtjevima

DNS napadi

Napadi koji na neki način koriste DNS za napad na druge sustave (tj. promjena DNS zapisa nije krajnji cilj):

• Fast-Flux
• Mreže s jednim fluksom
• Double Flux mreže
• DNS tuneliranje

DNS napadi

Napadi koji rezultiraju vraćanjem IP adrese koja je potrebna napadaču s DNS poslužitelja:

• DNS spoofing ili trovanje predmemorije
• Otmica DNS-a

Što je DNSSEC?

DNSSEC - Domain Name Service Security Engines - koriste se za provjeru valjanosti DNS zapisa bez potrebe za poznavanjem općih informacija za svaki specifični DNS zahtjev.

DNSSEC koristi ključeve digitalnog potpisa (PKI) za provjeru jesu li rezultati upita za naziv domene došli iz valjanog izvora.
Implementacija DNSSEC-a nije samo najbolja praksa u industriji, već je i učinkovita u izbjegavanju većine DNS napada.

Kako radi DNSSEC

DNSSEC radi slično kao TLS/HTTPS, koristeći parove javnih i privatnih ključeva za digitalno potpisivanje DNS zapisa. Opći pregled procesa:

1. DNS zapisi potpisani su parom ključeva privatni-privatni
2. Odgovori na DNSSEC upite sadrže traženi zapis kao i potpis i javni ključ
3. tada javni ključ koristi se za usporedbu vjerodostojnosti zapisa i potpisa

DNS i DNSSEC sigurnost

DNSSEC je alat za provjeru integriteta DNS upita. Ne utječe na privatnost DNS-a. Drugim riječima, DNSSEC vam može dati povjerenje da odgovor na vaš DNS upit nije bio mijenjan, ali bilo koji napadač može vidjeti te rezultate onako kako su vam poslani.

DoT - DNS preko TLS-a

Transport Layer Security (TLS) je kriptografski protokol za zaštitu informacija koje se prenose preko mrežne veze. Nakon što se uspostavi sigurna TLS veza između klijenta i poslužitelja, preneseni podaci su šifrirani i niti jedan posrednik ih ne može vidjeti.

TLS najčešće se koristi kao dio HTTPS-a (SSL) u vašem web pregledniku jer se zahtjevi šalju sigurnim HTTP poslužiteljima.

DNS-over-TLS (DNS preko TLS-a, DoT) koristi TLS protokol za šifriranje UDP prometa redovnih DNS zahtjeva.
Šifriranje ovih zahtjeva u običnom tekstu pomaže u zaštiti korisnika ili aplikacija koje šalju zahtjeve od nekoliko napada.

• MitM, ili "čovjek u sredini": Bez enkripcije, posrednički sustav između klijenta i autoritativnog DNS poslužitelja potencijalno bi mogao poslati lažne ili opasne informacije klijentu kao odgovor na zahtjev
• Špijunaža i praćenje: Bez zahtjeva za šifriranjem, međuskupinski sustavi lako mogu vidjeti kojim stranicama određeni korisnik ili aplikacija pristupa. Iako sam DNS neće otkriti određenu stranicu koja se posjećuje na web-mjestu, jednostavno poznavanje traženih domena dovoljno je za izradu profila sustava ili pojedinca

Izvor: Sveučilište u Kaliforniji Irvine

DoH - DNS preko HTTPS-a

DNS-over-HTTPS (DNS preko HTTPS-a, DoH) eksperimentalni je protokol koji zajednički promoviraju Mozilla i Google. Njegovi su ciljevi slični DoT protokolu—poboljšanje privatnosti ljudi na mreži šifriranjem DNS zahtjeva i odgovora.

Standardni DNS upiti šalju se putem UDP-a. Zahtjevi i odgovori mogu se pratiti pomoću alata kao što su Wireshark. DoT kriptira te zahtjeve, ali se i dalje identificiraju kao prilično različit UDP promet na mreži.

DoH ima drugačiji pristup i šalje kriptirane zahtjeve za rješavanje naziva hosta preko HTTPS veze, koji izgledaju kao bilo koji drugi web zahtjev preko mreže.

Ova razlika ima vrlo važne implikacije i za administratore sustava i za budućnost rješavanja imena.

1. DNS filtriranje uobičajen je način filtriranja web prometa kako bi se korisnici zaštitili od phishing napada, web stranica koje distribuiraju zlonamjerni softver ili drugih potencijalno štetnih internetskih aktivnosti na korporativnoj mreži. Protokol DoH zaobilazi ove filtre, potencijalno izlažući korisnike i mrežu većem riziku.
2. U trenutnom modelu razlučivanja imena, svaki uređaj na mreži više-manje prima DNS upite s iste lokacije (navedeni DNS poslužitelj). DoH, a posebice Firefoxova implementacija toga, pokazuje da bi se to moglo promijeniti u budućnosti. Svaka aplikacija na računalu može primati podatke iz različitih DNS izvora, čineći rješavanje problema, sigurnost i modeliranje rizika mnogo složenijim.

Izvor: www.varonis.com/blog/what-is-powershell

Koja je razlika između DNS-a preko TLS-a i DNS-a preko HTTPS-a?

Počnimo s DNS-om preko TLS-a (DoT). Glavna stvar ovdje je da se izvorni DNS protokol ne mijenja, već se jednostavno prenosi sigurno preko sigurnog kanala. DoH, s druge strane, stavlja DNS u HTTP format prije slanja zahtjeva.

DNS nadzorna upozorenja

Sposobnost učinkovitog praćenja DNS prometa na vašoj mreži u potrazi za sumnjivim anomalijama ključna je za rano otkrivanje proboja. Korištenje alata kao što je Varonis Edge omogućit će vam da ostanete u toku sa svim važnim mjernim podacima i izradite profile za svaki račun na vašoj mreži. Možete konfigurirati upozorenja koja se generiraju kao rezultat kombinacije radnji koje se događaju tijekom određenog vremenskog razdoblja.

Praćenje promjena DNS-a, lokacija računa, prve upotrebe i pristupa osjetljivim podacima te aktivnosti izvan radnog vremena samo su neki od pokazatelja koji se mogu povezati kako bi se izgradila šira slika otkrivanja.

Izvor: www.habr.com