Bármit is csinál a cég, a biztonság DNS biztonsági tervének szerves részét kell képeznie. A névszolgáltatásokat, amelyek a gazdagépneveket IP-címekké oldják fel, gyakorlatilag minden alkalmazás és szolgáltatás használja a hálózaton.
Ha egy támadó átveszi az irányítást egy szervezet DNS-e felett, könnyen:
adja át magának az irányítást a megosztott erőforrások felett
átirányítja a bejövő e-maileket, valamint a webes kéréseket és a hitelesítési kísérleteket
SSL/TLS tanúsítványok létrehozása és érvényesítése
Ez az útmutató a DNS biztonságát két szemszögből vizsgálja:
A DNS folyamatos felügyelete és vezérlése
Hogyan segíthetnek az új DNS-protokollok, például a DNSSEC, a DOH és a DoT megvédeni a továbbított DNS-kérelmek integritását és titkosságát?
Mi az a DNS biztonság?
A DNS-biztonság koncepciója két fontos összetevőből áll:
A gazdagépneveket IP-címekké feloldó DNS-szolgáltatások általános integritásának és elérhetőségének biztosítása
A DNS-tevékenység nyomon követése a lehetséges biztonsági problémák azonosítása érdekében bárhol a hálózaton
Miért sebezhető a DNS a támadásokkal szemben?
A DNS-technológiát az internet korai napjaiban hozták létre, jóval azelőtt, hogy bárki is elkezdett volna gondolkodni a hálózati biztonságon. A DNS hitelesítés vagy titkosítás nélkül működik, vakon feldolgozva bármely felhasználó kéréseit.
Emiatt sokféleképpen lehet megtéveszteni a felhasználót és meghamisítani az arra vonatkozó információkat, hogy hol történik a nevek IP-címekre történő felbontása.
DNS biztonság: problémák és összetevők
A DNS biztonság több alapvető elemből áll alkatrészek, amelyek mindegyikét figyelembe kell venni a teljes védelem biztosítása érdekében:
A szerverbiztonsági és -felügyeleti eljárások megerősítése: növelje a szerverbiztonság szintjét és hozzon létre egy szabványos üzembe helyezési sablont
Protokoll fejlesztések: DNSSEC, DoT vagy DoH megvalósítása
Elemzés és jelentéskészítés: Adjon hozzá egy DNS-eseménynaplót a SIEM-rendszeréhez, hogy további kontextust biztosítson az incidensek kivizsgálásakor
Kiberintelligencia és fenyegetésészlelés: előfizetni egy aktív fenyegetés-felderítési hírfolyamra
Automatizálás: hozzon létre minél több szkriptet a folyamatok automatizálásához
A fent említett magas szintű összetevők csak a DNS biztonsági jéghegy csúcsát jelentik. A következő részben részletesebb használati esetekkel és bevált gyakorlatokkal foglalkozunk, amelyekről tudnia kell.
DNS támadások
DNS-hamisítás vagy gyorsítótár-mérgezés: a rendszer biztonsági résének kihasználása a DNS-gyorsítótár manipulálására, hogy a felhasználókat egy másik helyre irányítsák át
DNS alagút: elsősorban a távoli kapcsolat védelmének megkerülésére szolgál
DNS-eltérítés: a normál DNS-forgalom átirányítása egy másik cél DNS-kiszolgálóra a tartományregisztrátor megváltoztatásával
NXDOMAIN támadás: DDoS támadás lebonyolítása egy mérvadó DNS-kiszolgáló ellen illegitim domain lekérdezések küldésével kényszerített válasz megszerzésére
fantom domain: hatására a DNS-feloldó nem létező tartományok válaszára vár, ami gyenge teljesítményt eredményez
támadás egy véletlenszerű aldomain ellen: A kompromittált gazdagépek és botnetek DDoS-támadást indítanak egy érvényes tartományon, de hamis aldomainekre összpontosítanak, hogy a DNS-kiszolgálót rekordok megkeresésére és a szolgáltatás irányításának átvételére kényszerítsék.
domain blokkolás: több spam választ küld, hogy blokkolja a DNS-kiszolgáló erőforrásait
Botnet támadás az előfizetői berendezésektől: számítógépek, modemek, útválasztók és egyéb eszközök gyűjteménye, amelyek a számítási teljesítményt egy adott webhelyre összpontosítják, hogy túlterheljék azt forgalmi kérésekkel
DNS támadások
Olyan támadások, amelyek valamilyen módon a DNS-t használják más rendszerek megtámadására (azaz nem a DNS-rekordok megváltoztatása a végső cél):
Olyan támadások, amelyek eredményeként a támadó által igényelt IP-cím visszakerül a DNS-kiszolgálóról:
DNS-hamisítás vagy gyorsítótár-mérgezés
DNS-eltérítés
Mi az a DNSSEC?
DNSSEC – Domain Name Service Security Engines – a DNS-rekordok érvényesítésére szolgál anélkül, hogy általános információkat kellene ismernie az egyes DNS-kérésekhez.
A DNSSEC digitális aláírási kulcsokat (PKI) használ annak ellenőrzésére, hogy a tartománynév-lekérdezés eredménye érvényes forrásból származik-e.
A DNSSEC megvalósítása nemcsak az iparág bevált gyakorlata, hanem hatékony a legtöbb DNS-támadás elkerülésében is.
Hogyan működik a DNSSEC
A DNSSEC a TLS/HTTPS-hez hasonlóan működik, nyilvános és privát kulcspárokat használ a DNS-rekordok digitális aláírásához. A folyamat általános áttekintése:
A DNS-rekordokat privát-privát kulcspárral írják alá
A DNSSEC lekérdezésekre adott válaszok tartalmazzák a kért rekordot, valamint az aláírást és a nyilvános kulcsot
Akkor nyilvános kulcs a rekord és az aláírás hitelességének összehasonlítására szolgál
DNS és DNSSEC biztonság
A DNSSEC egy eszköz a DNS-lekérdezések integritásának ellenőrzésére. Nem befolyásolja a DNS adatvédelmet. Más szavakkal, a DNSSEC biztos lehet abban, hogy a DNS-lekérdezés válaszát nem manipulálták, de bármely támadó láthatja ezeket az eredményeket, ahogyan azokat elküldték Önnek.
DoT – DNS TLS-n keresztül
A Transport Layer Security (TLS) egy titkosítási protokoll a hálózati kapcsolaton keresztül továbbított információk védelmére. Amint a kliens és a szerver között létrejött egy biztonságos TLS-kapcsolat, a továbbított adatok titkosítva lesznek, és közvetítő nem láthatja azokat.
TLS leggyakrabban a HTTPS (SSL) részeként használják a webböngészőben, mivel a kéréseket biztonságos HTTP-kiszolgálókra küldik.
A DNS-over-TLS (DNS over TLS, DoT) a TLS protokollt használja a normál DNS-kérelmek UDP-forgalmának titkosításához.
A kérések egyszerű szövegben történő titkosítása segít megvédeni a felhasználókat vagy a kérelmeket benyújtó alkalmazásokat számos támadástól.
MitM, vagy "ember a közepén": Titkosítás nélkül a kliens és a mérvadó DNS-kiszolgáló közötti köztes rendszer hamis vagy veszélyes információkat küldhet a kliensnek válaszul egy kérésre.
Kémkedés és nyomon követés: A kérések titkosítása nélkül a köztesszoftver-rendszerek könnyen láthatják, hogy egy adott felhasználó vagy alkalmazás mely webhelyekhez fér hozzá. Bár a DNS önmagában nem fedi fel a webhelyen meglátogatott konkrét oldalt, a rendszer vagy egy személy profiljának létrehozásához elegendő a kért tartományok ismerete.
DNS-over-HTTPS (DNS over HTTPS, DoH) a Mozilla és a Google által közösen támogatott kísérleti protokoll. Céljai hasonlóak a DoT-protokollhoz – a DNS-kérelmek és -válaszok titkosításával fokozza az emberek magánéletét.
A szabványos DNS-lekérdezések UDP-n keresztül kerülnek elküldésre. A kérések és válaszok nyomon követhetők olyan eszközök segítségével, mint pl Wireshark. A DoT titkosítja ezeket a kéréseket, de továbbra is meglehetősen eltérő UDP-forgalomként azonosítják őket a hálózaton.
A DoH más megközelítést alkalmaz, és titkosított gazdagépnév-feloldási kéréseket küld HTTPS-kapcsolatokon keresztül, amelyek úgy néznek ki, mint bármely más webes kérés a hálózaton keresztül.
Ez a különbség nagyon fontos következményekkel jár mind a rendszergazdák, mind a névfeloldás jövője szempontjából.
A DNS-szűrés az internetes forgalom szűrésének gyakori módja, hogy megvédje a felhasználókat az adathalász támadásoktól, a rosszindulatú programokat terjesztő webhelyektől vagy más, potenciálisan káros internetes tevékenységtől a vállalati hálózaton. A DoH protokoll megkerüli ezeket a szűrőket, és potenciálisan nagyobb kockázatnak teszi ki a felhasználókat és a hálózatot.
A jelenlegi névfeloldási modellben a hálózat minden eszköze többé-kevésbé ugyanarról a helyről (egy meghatározott DNS-kiszolgálóról) kap DNS-lekérdezéseket. A DoH, és különösen a Firefox implementációja azt mutatja, hogy ez változhat a jövőben. A számítógépen lévő minden egyes alkalmazás különböző DNS-forrásokból kaphat adatokat, ami sokkal bonyolultabbá teszi a hibaelhárítást, a biztonságot és a kockázatmodellezést.
Mi a különbség a TLS-n keresztüli DNS és a HTTPS-n keresztüli DNS között?
Kezdjük a DNS-sel a TLS-en (DoT) keresztül. A lényeg itt az, hogy az eredeti DNS-protokollt nem változtatják meg, hanem egyszerűen biztonságosan továbbítják egy biztonságos csatornán. A DoH ezzel szemben a DNS-t HTTP formátumba helyezi a kérések benyújtása előtt.
DNS-figyelő riasztások
A DNS-forgalom hatékony figyelése a hálózaton a gyanús anomáliák miatt elengedhetetlen a jogsértés korai észleléséhez. Egy olyan eszköz használatával, mint a Varonis Edge, lehetővé teszi, hogy az összes fontos mérőszám tetején maradjon, és profilt hozzon létre a hálózat minden fiókjához. Beállíthatja, hogy a riasztások egy adott időtartam alatt előforduló műveletek kombinációja eredményeként jöjjenek létre.
A DNS-változások figyelése, a fiókok helye, az első használat és az érzékeny adatokhoz való hozzáférés, valamint a munkaidőn túli tevékenységek csak néhány mérőszám, amelyek összefüggésbe hozhatók egy szélesebb észlelési kép kialakításához.