ProHoster > Blog > Administrasyon an > Gid Sekirite DNS

Gid Sekirite DNS

Gid Sekirite DNS

Kèlkeswa sa konpayi an fè, sekirite dns ta dwe yon pati entegral nan plan sekirite li. Literalman chak aplikasyon ak sèvis sou rezo a itilize sèvis non, ki rezoud non host yo nan adrès IP.

Si yon atakè pran kontwòl DNS yon òganizasyon, li ka fasilman:

  • bay tèt ou kontwòl sou resous pataje
  • redireksyon imèl fèk ap rantre ansanm ak demann entènèt ak tantativ otantifikasyon
  • kreye ak valide sètifika SSL/TLS

Gid sa a gade sekirite DNS nan de ang:

  1. Fè siveyans kontinyèl ak kontwòl sou DNS
  2. Ki jan nouvo pwotokòl DNS tankou DNSSEC, DOH ak DoT ka ede pwoteje entegrite ak konfidansyalite demann DNS transmèt

Ki sa ki se DNS sekirite?

Gid Sekirite DNS

Konsèp sekirite DNS gen ladan de eleman enpòtan:

  1. Asire entegrite an jeneral ak disponiblite nan sèvis DNS ki rezoud hostnames nan adrès IP
  2. Siveye aktivite DNS pou idantifye pwoblèm sekirite posib nenpòt kote sou rezo ou

Poukisa DNS vilnerab a atak?

Teknoloji DNS te kreye nan kòmansman Entènèt la, depi lontan anvan nenpòt moun menm te kòmanse panse sou sekirite rezo a. DNS opere san otantifikasyon oswa chifreman, avèg trete demann nenpòt itilizatè.

Poutèt sa, gen anpil fason pou twonpe itilizatè a ak fo enfòmasyon sou kote rezolisyon non yo nan adrès IP aktyèlman pran plas.

DNS Sekirite: Pwoblèm ak Konpozan

Gid Sekirite DNS

Sekirite DNS konsiste de plizyè debaz eleman, chak nan yo dwe pran an konsiderasyon pou asire pwoteksyon konplè:

  • Ranfòse sekirite sèvè ak pwosedi jesyon: ogmante nivo sekirite sèvè epi kreye yon modèl estanda komisyonin
  • Amelyorasyon pwotokòl: aplike DNSSEC, DoT oswa DoH
  • Analytics ak rapò: ajoute yon jounal evènman DNS nan sistèm SIEM ou a pou plis kontèks lè w ap mennen ankèt sou ensidan yo
  • Sibè entèlijans ak deteksyon menas: abònman nan yon fil entèlijans menas aktif
  • Otomatik: kreye otan script posib pou otomatize pwosesis yo

Konpozan wo nivo mansyone anwo yo se jis pwent iceberg sekirite DNS la. Nan pwochen seksyon an, nou pral plonje nan ka itilizasyon pi espesifik ak pi bon pratik ou bezwen konnen.

DNS atak

Gid Sekirite DNS

  • DNS spoofing oswa anpwazònman kachèt: eksplwate yon vilnerabilite sistèm pou manipile kachèt DNS pou redireksyon itilizatè yo nan yon lòt kote
  • DNS tinèl: prensipalman itilize pou kontoune pwoteksyon koneksyon aleka
  • DNS vòlè: redireksyon trafik DNS nòmal nan yon sèvè DNS sib diferan lè w chanje rejistrè domèn
  • Atak NXDOMAIN: fè yon atak DDoS sou yon sèvè DNS otorite pa voye demann domèn ilejitim pou jwenn yon repons fòse.
  • domèn fantom: lakòz rezolisyon DNS a rete tann pou yon repons nan domèn ki pa egziste, sa ki lakòz pèfòmans pòv
  • atak sou yon subdomain o aza: lame konpwomèt ak botne yo lanse yon atak DDoS sou yon domèn valab, men konsantre dife yo sou fo subdomains pou fòse sèvè dns la gade dosye epi pran kontwòl sèvis la.
  • bloke domèn: ap voye plizyè repons spam pou bloke resous sèvè DNS
  • Atak botnet soti nan ekipman abònen: yon koleksyon òdinatè, modèm, routeurs ak lòt aparèy ki konsantre pouvwa enfòmatik sou yon sit entènèt espesifik pou chaje li ak demann trafik.

DNS atak

Atak ki yon jan kanmenm itilize DNS pou atake lòt sistèm (sa vle di chanje dosye DNS se pa objektif final la):

  • Vit-flux
  • Single Flux Networks
  • Rezo doub Flux
  • DNS tinèl

DNS atak

Atak ki lakòz adrès IP atakè a bezwen tounen soti nan sèvè dns la:

  • DNS spoofing oswa anpwazònman kachèt
  • DNS vòlè

ki sa ki DNSSEC?

Gid Sekirite DNS

DNSSEC - Domain Name Service Security Engines - yo itilize pou valide dosye DNS san yo pa bezwen konnen enfòmasyon jeneral pou chak demann DNS espesifik.

DNSSEC sèvi ak Digital Signature Keys (PKI) pou verifye si rezilta yon rechèch non domèn soti nan yon sous valab.
Aplike DNSSEC se pa sèlman yon pi bon pratik endistri, men li efikas tou pou evite pifò atak DNS.

Ki jan DNSSEC travay

DNSSEC travay menm jan ak TLS/HTTPS, lè l sèvi avèk pè kle piblik ak prive pou siyen nimerik dosye DNS. Apèsi jeneral sou pwosesis la:

  1. Dosye DNS yo siyen ak yon pè kle prive-prive
  2. Repons pou demann DNSSEC yo genyen dosye yo mande a ansanm ak siyati a ak kle piblik la
  3. Lè sa a, kle piblik itilize pou konpare otantisite yon dosye ak yon siyati

DNS ak DNSSEC Sekirite

Gid Sekirite DNS

DNSSEC se yon zouti pou tcheke entegrite demann DNS yo. Li pa afekte vi prive DNS. Nan lòt mo, DNSSEC ka ba ou konfyans ke repons lan nan demann DNS ou a pa te manyen, men nenpòt atakè ka wè rezilta sa yo jan yo te voye ba ou.

DoT - DNS sou TLS

Transport Layer Security (TLS) se yon pwotokòl kriptografik pou pwoteje enfòmasyon ki transmèt sou yon koneksyon rezo. Yon fwa yo etabli yon koneksyon TLS an sekirite ant kliyan an ak sèvè a, done yo transmèt yo chiffres epi okenn entèmedyè pa ka wè li.

tl pi souvan itilize kòm yon pati nan HTTPS (SSL) nan navigatè entènèt ou a paske demann yo voye nan sèvè HTTP an sekirite.

DNS-sou-TLS (DNS sou TLS, DoT) itilize pwotokòl TLS pou ankripte trafik UDP demann DNS regilye yo.
Ankripte demann sa yo nan tèks klè ede pwoteje itilizatè yo oswa aplikasyon ki fè demann kont plizyè atak.

  • MitM, oswa "nonm nan mitan an": San yo pa chifreman, sistèm entèmedyè ant kliyan an ak sèvè DNS otorite a kapab voye enfòmasyon fo oswa danjere bay kliyan an an repons a yon demann.
  • Espyonaj ak swiv: San yo pa kode demann, li fasil pou sistèm middleware yo wè ki sit yon itilizatè patikilye oswa yon aplikasyon ap jwenn aksè. Malgre ke DNS pou kont li pa pral revele paj espesifik ke yo te vizite sou yon sit entènèt, tou senpleman konnen domèn yo mande a se ase yo kreye yon pwofil nan yon sistèm oswa yon moun.

Gid Sekirite DNS
Sous: Inivèsite Kalifòni Irvine

DoH - DNS sou HTTPS

DNS-over-HTTPS (DNS over HTTPS, DoH) se yon pwotokòl eksperimantal ankouraje ansanm pa Mozilla ak Google. Objektif li yo sanble ak pwotokòl DoT-amelyore vi prive moun sou entènèt pa chifre demann DNS ak repons.

Yo voye demann DNS estanda sou UDP. Demann ak repons yo ka swiv lè l sèvi avèk zouti tankou Wireshark. DoT ankripte demann sa yo, men yo toujou idantifye kòm trafik UDP san patipri diferan sou rezo a.

DoH pran yon apwòch diferan epi voye demann rezolisyon non host ankripte sou koneksyon HTTPS, ki sanble ak nenpòt lòt demann entènèt sou rezo a.

Diferans sa a gen enplikasyon trè enpòtan tou de pou administratè sistèm yo ak pou avni rezolisyon non yo.

  1. Filtrage DNS se yon fason komen pou filtre trafik entènèt pou pwoteje itilizatè yo kont atak èskrokri, sit ki distribye malveyan, oswa lòt aktivite Entènèt ki kapab danjere sou yon rezo antrepriz. Pwotokòl DoH kontoune filtè sa yo, ki kapab ekspoze itilizatè yo ak rezo a nan pi gwo risk.
  2. Nan modèl rezolisyon non aktyèl la, chak aparèy sou rezo a plis oswa mwens resevwa demann DNS nan menm kote a (yon sèvè DNS espesifye). DoH, ak an patikilye aplikasyon Firefox nan li, montre ke sa ka chanje nan tan kap vini an. Chak aplikasyon sou yon òdinatè ka resevwa done ki soti nan diferan sous DNS, sa ki fè depanaj, sekirite, ak modèl risk pi konplèks.

Gid Sekirite DNS
Sous: www.varonis.com/blog/what-is-powershell

Ki diferans ki genyen ant DNS sou TLS ak DNS sou HTTPS?

Ann kòmanse ak DNS sou TLS (DoT). Pwen prensipal la isit la se ke pwotokòl DNS orijinal la pa chanje, men li tou senpleman transmèt an sekirite sou yon chanèl an sekirite. DoH, nan lòt men an, mete DNS nan fòma HTTP anvan yo fè demann.

Alèt Siveyans DNS

Gid Sekirite DNS

Kapasite pou byen kontwole trafik DNS sou rezo w la pou anomali sispèk enpòtan pou deteksyon bonè yon vyolasyon. Sèvi ak yon zouti tankou Varonis Edge ap ba ou kapasite pou w rete sou tèt tout mezi enpòtan yo epi kreye pwofil pou chak kont sou rezo w la. Ou ka configured alèt yo dwe pwodwi kòm yon rezilta nan yon konbinezon de aksyon ki fèt sou yon peryòd tan espesifik.

Siveyans chanjman DNS, kote kont, itilizasyon premye fwa ak aksè a done sansib, ak aktivite apre lè yo se jis kèk mezi ki ka korelasyon pou bati yon foto deteksyon pi laj.

Sous: www.habr.com

Add nouvo kòmantè