Ինչ էլ որ անի ընկերությունը, անվտանգություն DNS պետք է լինի իր անվտանգության ծրագրի անբաժանելի մասը: Անվան ծառայությունները, որոնք լուծում են հոսթների անունները IP հասցեներով, օգտագործվում են ցանցի գրեթե բոլոր հավելվածների և ծառայության կողմից:
Եթե հարձակվողը վերահսկողություն է ձեռք բերում կազմակերպության DNS-ի վրա, նա հեշտությամբ կարող է.
ձեզ վերահսկեք ընդհանուր ռեսուրսները
վերահղել մուտքային նամակները, ինչպես նաև վեբ հարցումները և նույնականացման փորձերը
ստեղծել և հաստատել SSL/TLS վկայագրերը
Այս ուղեցույցը նայում է DNS անվտանգությանը երկու տեսանկյունից.
DNS-ի շարունակական մոնիտորինգի և վերահսկողության իրականացում
Ինչպես DNS-ի նոր արձանագրությունները, ինչպիսիք են DNSSEC, DOH և DoT, կարող են օգնել պաշտպանել փոխանցված DNS հարցումների ամբողջականությունն ու գաղտնիությունը:
Ի՞նչ է DNS անվտանգությունը:
DNS անվտանգության հայեցակարգը ներառում է երկու կարևոր բաղադրիչ.
DNS ծառայությունների ընդհանուր ամբողջականության և հասանելիության ապահովում, որոնք լուծում են հոսթների անունները դեպի IP հասցեներ
Դիտեք DNS-ի գործունեությունը` ձեր ցանցի ցանկացած կետում անվտանգության հնարավոր խնդիրները հայտնաբերելու համար
Ինչու է DNS-ը խոցելի հարձակումների համար:
DNS տեխնոլոգիան ստեղծվել է ինտերնետի սկզբնական շրջանում, շատ ավելի վաղ, քան որևէ մեկը սկսել է մտածել ցանցի անվտանգության մասին: DNS-ն աշխատում է առանց նույնականացման կամ գաղտնագրման՝ կուրորեն մշակելով ցանկացած օգտատիրոջ հարցումները:
Դրա պատճառով օգտատիրոջը խաբելու և տեղեկատվությունը կեղծելու բազմաթիվ եղանակներ կան, թե որտեղ է իրականում տեղի ունենում անունների լուծումը IP հասցեներին:
DNS անվտանգություն. խնդիրներ և բաղադրիչներ
DNS անվտանգությունը բաղկացած է մի քանի հիմնականից բաղադրիչներ, որոնցից յուրաքանչյուրը պետք է հաշվի առնվի ամբողջական պաշտպանություն ապահովելու համար.
Սերվերի անվտանգության և կառավարման ընթացակարգերի ուժեղացում. բարձրացնել սերվերի անվտանգության մակարդակը և ստեղծել ստանդարտ գործարկման ձևանմուշ
Արձանագրության բարելավումներ. իրականացնել DNSSEC, DoT կամ DoH
Վերլուծություն և հաշվետվություն. ավելացրեք DNS իրադարձությունների գրանցամատյան ձեր SIEM համակարգին՝ միջադեպերը հետաքննելիս լրացուցիչ համատեքստի համար
Կիբեր հետախուզություն և սպառնալիքների հայտնաբերում. բաժանորդագրվել ակտիվ սպառնալիքների հետախուզական հոսքին
Ավտոմատացում: ստեղծել հնարավորինս շատ սցենարներ՝ գործընթացները ավտոմատացնելու համար
Վերոնշյալ բարձր մակարդակի բաղադրիչները միայն DNS անվտանգության այսբերգի գագաթն են: Հաջորդ բաժնում մենք կանդրադառնանք ավելի կոնկրետ օգտագործման դեպքերին և լավագույն փորձին, որոնց մասին դուք պետք է իմանաք:
DNS հարձակումներ
DNS կեղծում կամ քեշի թունավորում: օգտագործելով համակարգի խոցելիությունը՝ շահարկելու DNS քեշը՝ օգտվողներին այլ վայր վերահղելու համար
DNS թունելավորում: հիմնականում օգտագործվում է հեռավոր կապի պաշտպանությունը շրջանցելու համար
DNS առևանգում. նորմալ DNS տրաֆիկի վերահղում դեպի այլ թիրախային DNS սերվեր՝ փոխելով տիրույթի գրանցիչը
NXDOMAIN հարձակում. DDoS հարձակում իրականացնել հեղինակավոր DNS սերվերի վրա՝ ուղարկելով անօրինական տիրույթի հարցումներ՝ հարկադիր պատասխան ստանալու համար
ուրվական տիրույթ. ստիպում է DNS լուծիչին սպասել գոյություն չունեցող տիրույթների պատասխանին, ինչը հանգեցնում է վատ կատարման
հարձակում պատահական ենթադոմեյնի վրա. Վտանգված հոսթները և բոտնետները DDoS հարձակում են գործարկում վավեր տիրույթի վրա, բայց իրենց կրակը կենտրոնացնում են կեղծ ենթադոմեյնների վրա՝ ստիպելու DNS սերվերին փնտրել գրառումները և ստանձնել ծառայության վերահսկողությունը։
տիրույթի արգելափակում. ուղարկում է բազմաթիվ սպամի պատասխաններ՝ արգելափակելու DNS սերվերի ռեսուրսները
Բոտնետների հարձակումը բաժանորդային սարքավորումներից. համակարգիչների, մոդեմների, երթուղիչների և այլ սարքերի հավաքածու, որոնք հաշվողական հզորությունը կենտրոնացնում են որոշակի վեբկայքի վրա՝ այն ծանրաբեռնելու համար տրաֆիկի հարցումներով
DNS հարձակումներ
Հարձակումներ, որոնք ինչ-որ կերպ օգտագործում են DNS-ը՝ այլ համակարգերի վրա հարձակվելու համար (այսինքն՝ DNS գրառումների փոփոխությունը վերջնական նպատակը չէ).
Հարձակումներ, որոնք հանգեցնում են նրան, որ հարձակվողին անհրաժեշտ IP հասցեն վերադարձվում է DNS սերվերից.
DNS կեղծում կամ քեշի թունավորում
DNS առևանգում
Ի՞նչ է DNSSEC-ը:
DNSSEC - Domain Name Service Security Engines - օգտագործվում են DNS գրառումները վավերացնելու համար՝ առանց DNS-ի յուրաքանչյուր կոնկրետ հարցման ընդհանուր տեղեկություններ իմանալու անհրաժեշտության:
DNSSEC-ն օգտագործում է թվային ստորագրության բանալիներ (PKIs)՝ ստուգելու համար, թե արդյոք տիրույթի անվան հարցման արդյունքները ստացվել են վավեր աղբյուրից:
DNSSEC-ի ներդրումը ոչ միայն արդյունաբերության լավագույն փորձն է, այլ նաև արդյունավետ է DNS հարձակումներից շատերից խուսափելու համար:
Ինչպես է աշխատում DNSSEC-ը
DNSSEC-ն աշխատում է TLS/HTTPS-ի նման՝ օգտագործելով հանրային և մասնավոր բանալիների զույգեր՝ DNS գրառումները թվային ստորագրելու համար: Գործընթացի ընդհանուր ակնարկ.
DNS գրառումները ստորագրվում են մասնավոր-մասնավոր բանալիների զույգով
DNSSEC հարցումների պատասխանները պարունակում են պահանջվող գրառումը, ինչպես նաև ստորագրությունը և հանրային բանալին
Ապա հանրային բանալին օգտագործվում է արձանագրության և ստորագրության իսկությունը համեմատելու համար
DNS և DNSSEC անվտանգություն
DNSSEC-ը DNS հարցումների ամբողջականությունը ստուգելու գործիք է: Այն չի ազդում DNS-ի գաղտնիության վրա: Այլ կերպ ասած, DNSSEC-ը կարող է ձեզ վստահություն տալ, որ ձեր DNS հարցման պատասխանը չի կեղծվել, բայց ցանկացած հարձակվող կարող է տեսնել այդ արդյունքները, երբ դրանք ուղարկվել են ձեզ:
DoT - DNS TLS-ի վրա
Տրանսպորտային շերտի անվտանգությունը (TLS) ծածկագրային արձանագրություն է՝ ցանցային կապով փոխանցվող տեղեկատվությունը պաշտպանելու համար: Երբ հաճախորդի և սերվերի միջև ապահով TLS կապ հաստատվի, փոխանցված տվյալները կոդավորված են, և ոչ մի միջնորդ չի կարող տեսնել դրանք:
TLS առավել հաճախ օգտագործվում է որպես HTTPS (SSL) մաս ձեր վեբ բրաուզերում, քանի որ հարցումներն ուղարկվում են ապահով HTTP սերվերներին:
DNS-over-TLS (DNS ավելի քան TLS, DoT) օգտագործում է TLS արձանագրությունը՝ սովորական DNS հարցումների UDP տրաֆիկը գաղտնագրելու համար:
Այս հարցումների գաղտնագրումը պարզ տեքստով օգնում է պաշտպանել օգտվողներին կամ հարցումներ կատարող հավելվածները մի քանի հարձակումներից:
MitM կամ «մարդը մեջտեղում»Առանց կոդավորման, հաճախորդի և հեղինակավոր DNS սերվերի միջև միջանկյալ համակարգը կարող է պոտենցիալ կեղծ կամ վտանգավոր տեղեկատվություն ուղարկել հաճախորդին՝ ի պատասխան հարցման:
Լրտեսություն և հետևումԱռանց գաղտնագրման հարցումների, միջին ծրագրային համակարգերի համար հեշտ է տեսնել, թե որ կայքերն է մուտք գործում որոշակի օգտվող կամ հավելված: Թեև միայն DNS-ը չի բացահայտի վեբկայքում այցելվող կոնկրետ էջը, պարզապես պահանջվող տիրույթների իմացությունը բավական է համակարգի կամ անհատի պրոֆիլ ստեղծելու համար:
DNS-over-HTTPS (DNS over HTTPS, DoH) փորձարարական արձանագրություն է, որը համատեղ խթանվում է Mozilla-ի և Google-ի կողմից: Դրա նպատակները նման են DoT արձանագրությանը` ընդլայնելով մարդկանց գաղտնիությունը առցանց՝ գաղտնագրելով DNS հարցումներն ու պատասխանները:
Ստանդարտ DNS հարցումներն ուղարկվում են UDP-ով: Հարցումները և պատասխանները կարելի է հետևել՝ օգտագործելով այնպիսի գործիքներ, ինչպիսիք են Wireshark. DoT-ը գաղտնագրում է այս հարցումները, բայց դրանք դեռևս նույնացվում են որպես ցանցի բավականին հստակ UDP տրաֆիկ:
DoH-ն այլ մոտեցում է ցուցաբերում և ուղարկում է գաղտնագրված հոսթի անվան լուծման հարցումներ HTTPS կապերի միջոցով, որոնք նման են ցանցի ցանկացած այլ վեբ հարցումների:
Այս տարբերությունը շատ կարևոր հետևանքներ ունի ինչպես համակարգի ադմինիստրատորների, այնպես էլ անվան լուծման ապագայի համար:
DNS-ի զտումը վեբ տրաֆիկը զտելու սովորական միջոց է՝ պաշտպանելու օգտատերերին ֆիշինգ հարձակումներից, կայքերից, որոնք տարածում են չարամիտ ծրագրեր կամ կորպորատիվ ցանցում այլ պոտենցիալ վնասակար ինտերնետային գործունեություն: DoH արձանագրությունը շրջանցում է այս զտիչները՝ պոտենցիալ օգտատերերին և ցանցին ավելի մեծ ռիսկի ենթարկելով:
Անվան լուծման ներկայիս մոդելում ցանցի յուրաքանչյուր սարք քիչ թե շատ DNS հարցումներ է ստանում նույն վայրից (նշված DNS սերվեր): DoH, և մասնավորապես Firefox-ի կողմից դրա իրականացումը ցույց է տալիս, որ դա կարող է փոխվել ապագայում: Համակարգչի վրա յուրաքանչյուր հավելված կարող է տվյալներ ստանալ տարբեր DNS աղբյուրներից, ինչը շատ ավելի բարդ է դարձնում անսարքությունների վերացումը, անվտանգությունը և ռիսկերի մոդելավորումը:
Ո՞րն է տարբերությունը DNS-ի միջև TLS-ի և DNS-ի միջև HTTPS-ի միջոցով:
Սկսենք DNS-ից՝ TLS-ից (DoT): Հիմնական կետն այստեղ այն է, որ բնօրինակ DNS արձանագրությունը չի փոխվել, այլ պարզապես ապահով կերպով փոխանցվում է անվտանգ ալիքով: Մյուս կողմից, DoH-ը DNS-ը դնում է HTTP ձևաչափի նախքան հարցումներ կատարելը:
DNS մոնիտորինգի ահազանգեր
Ձեր ցանցում DNS երթևեկությունը կասկածելի անոմալիաների համար արդյունավետորեն վերահսկելու ունակությունը կարևոր է խախտումների վաղ հայտնաբերման համար: Varonis Edge-ի նման գործիքի օգտագործումը ձեզ հնարավորություն կտա պահպանել բոլոր կարևոր ցուցանիշները և ստեղծել պրոֆիլներ ձեր ցանցի յուրաքանչյուր հաշվի համար: Դուք կարող եք կարգավորել ազդանշանները, որպեսզի ստեղծվեն գործողությունների համակցության արդյունքում, որոնք տեղի են ունենում որոշակի ժամանակահատվածում:
DNS-ի փոփոխությունների մոնիտորինգը, հաշվի գտնվելու վայրը, առաջին անգամ օգտագործելը և զգայուն տվյալների հասանելիությունը, ինչպես նաև աշխատանքային ժամերից հետո գործունեությունը ընդամենը մի քանի չափումներ են, որոնք կարող են փոխկապակցվել՝ հայտնաբերման ավելի լայն պատկեր ստեղծելու համար: