DNS անվտանգության ուղեցույց

Ինչ էլ որ անի ընկերությունը, անվտանգություն DNS պետք է լինի իր անվտանգության ծրագրի անբաժանելի մասը: Անվան ծառայությունները, որոնք լուծում են հոսթների անունները IP հասցեներով, օգտագործվում են ցանցի գրեթե բոլոր հավելվածների և ծառայության կողմից:

Եթե ​​հարձակվողը վերահսկողություն է ձեռք բերում կազմակերպության DNS-ի վրա, նա հեշտությամբ կարող է.

• ձեզ վերահսկեք ընդհանուր ռեսուրսները
• վերահղել մուտքային նամակները, ինչպես նաև վեբ հարցումները և նույնականացման փորձերը
• ստեղծել և հաստատել SSL/TLS վկայագրերը

Այս ուղեցույցը նայում է DNS անվտանգությանը երկու տեսանկյունից.

1. DNS-ի շարունակական մոնիտորինգի և վերահսկողության իրականացում
2. Ինչպես DNS-ի նոր արձանագրությունները, ինչպիսիք են DNSSEC, DOH և DoT, կարող են օգնել պաշտպանել փոխանցված DNS հարցումների ամբողջականությունն ու գաղտնիությունը:

Ի՞նչ է DNS անվտանգությունը:

DNS անվտանգության հայեցակարգը ներառում է երկու կարևոր բաղադրիչ.

1. DNS ծառայությունների ընդհանուր ամբողջականության և հասանելիության ապահովում, որոնք լուծում են հոսթների անունները դեպի IP հասցեներ
2. Դիտեք DNS-ի գործունեությունը` ձեր ցանցի ցանկացած կետում անվտանգության հնարավոր խնդիրները հայտնաբերելու համար

Ինչու է DNS-ը խոցելի հարձակումների համար:

DNS տեխնոլոգիան ստեղծվել է ինտերնետի սկզբնական շրջանում, շատ ավելի վաղ, քան որևէ մեկը սկսել է մտածել ցանցի անվտանգության մասին: DNS-ն աշխատում է առանց նույնականացման կամ գաղտնագրման՝ կուրորեն մշակելով ցանկացած օգտատիրոջ հարցումները:

Դրա պատճառով օգտատիրոջը խաբելու և տեղեկատվությունը կեղծելու բազմաթիվ եղանակներ կան, թե որտեղ է իրականում տեղի ունենում անունների լուծումը IP հասցեներին:

DNS անվտանգություն. խնդիրներ և բաղադրիչներ

DNS անվտանգությունը բաղկացած է մի քանի հիմնականից բաղադրիչներ, որոնցից յուրաքանչյուրը պետք է հաշվի առնվի ամբողջական պաշտպանություն ապահովելու համար.

• Սերվերի անվտանգության և կառավարման ընթացակարգերի ուժեղացում. բարձրացնել սերվերի անվտանգության մակարդակը և ստեղծել ստանդարտ գործարկման ձևանմուշ
• Արձանագրության բարելավումներ. իրականացնել DNSSEC, DoT կամ DoH
• Վերլուծություն և հաշվետվություն. ավելացրեք DNS իրադարձությունների գրանցամատյան ձեր SIEM համակարգին՝ միջադեպերը հետաքննելիս լրացուցիչ համատեքստի համար
• Կիբեր հետախուզություն և սպառնալիքների հայտնաբերում. բաժանորդագրվել ակտիվ սպառնալիքների հետախուզական հոսքին
• Ավտոմատացում: ստեղծել հնարավորինս շատ սցենարներ՝ գործընթացները ավտոմատացնելու համար

Վերոնշյալ բարձր մակարդակի բաղադրիչները միայն DNS անվտանգության այսբերգի գագաթն են: Հաջորդ բաժնում մենք կանդրադառնանք ավելի կոնկրետ օգտագործման դեպքերին և լավագույն փորձին, որոնց մասին դուք պետք է իմանաք:

DNS հարձակումներ

• DNS կեղծում կամ քեշի թունավորում: օգտագործելով համակարգի խոցելիությունը՝ շահարկելու DNS քեշը՝ օգտվողներին այլ վայր վերահղելու համար
• DNS թունելավորում: հիմնականում օգտագործվում է հեռավոր կապի պաշտպանությունը շրջանցելու համար
• DNS առևանգում. նորմալ DNS տրաֆիկի վերահղում դեպի այլ թիրախային DNS սերվեր՝ փոխելով տիրույթի գրանցիչը
• NXDOMAIN հարձակում. DDoS հարձակում իրականացնել հեղինակավոր DNS սերվերի վրա՝ ուղարկելով անօրինական տիրույթի հարցումներ՝ հարկադիր պատասխան ստանալու համար
• ուրվական տիրույթ. ստիպում է DNS լուծիչին սպասել գոյություն չունեցող տիրույթների պատասխանին, ինչը հանգեցնում է վատ կատարման
• հարձակում պատահական ենթադոմեյնի վրա. Վտանգված հոսթները և բոտնետները DDoS հարձակում են գործարկում վավեր տիրույթի վրա, բայց իրենց կրակը կենտրոնացնում են կեղծ ենթադոմեյնների վրա՝ ստիպելու DNS սերվերին փնտրել գրառումները և ստանձնել ծառայության վերահսկողությունը։
• տիրույթի արգելափակում. ուղարկում է բազմաթիվ սպամի պատասխաններ՝ արգելափակելու DNS սերվերի ռեսուրսները
• Բոտնետների հարձակումը բաժանորդային սարքավորումներից. համակարգիչների, մոդեմների, երթուղիչների և այլ սարքերի հավաքածու, որոնք հաշվողական հզորությունը կենտրոնացնում են որոշակի վեբկայքի վրա՝ այն ծանրաբեռնելու համար տրաֆիկի հարցումներով

DNS հարձակումներ

Հարձակումներ, որոնք ինչ-որ կերպ օգտագործում են DNS-ը՝ այլ համակարգերի վրա հարձակվելու համար (այսինքն՝ DNS գրառումների փոփոխությունը վերջնական նպատակը չէ).

• Fast-Flux
• Single Flux Networks
• Կրկնակի հոսքի ցանցեր
• DNS թունելավորում

DNS հարձակումներ

Հարձակումներ, որոնք հանգեցնում են նրան, որ հարձակվողին անհրաժեշտ IP հասցեն վերադարձվում է DNS սերվերից.

• DNS կեղծում կամ քեշի թունավորում
• DNS առևանգում

Ի՞նչ է DNSSEC-ը:

DNSSEC - Domain Name Service Security Engines - օգտագործվում են DNS գրառումները վավերացնելու համար՝ առանց DNS-ի յուրաքանչյուր կոնկրետ հարցման ընդհանուր տեղեկություններ իմանալու անհրաժեշտության:

DNSSEC-ն օգտագործում է թվային ստորագրության բանալիներ (PKIs)՝ ստուգելու համար, թե արդյոք տիրույթի անվան հարցման արդյունքները ստացվել են վավեր աղբյուրից:
DNSSEC-ի ներդրումը ոչ միայն արդյունաբերության լավագույն փորձն է, այլ նաև արդյունավետ է DNS հարձակումներից շատերից խուսափելու համար:

Ինչպես է աշխատում DNSSEC-ը

DNSSEC-ն աշխատում է TLS/HTTPS-ի նման՝ օգտագործելով հանրային և մասնավոր բանալիների զույգեր՝ DNS գրառումները թվային ստորագրելու համար: Գործընթացի ընդհանուր ակնարկ.

1. DNS գրառումները ստորագրվում են մասնավոր-մասնավոր բանալիների զույգով
2. DNSSEC հարցումների պատասխանները պարունակում են պահանջվող գրառումը, ինչպես նաև ստորագրությունը և հանրային բանալին
3. Ապա հանրային բանալին օգտագործվում է արձանագրության և ստորագրության իսկությունը համեմատելու համար

DNS և DNSSEC անվտանգություն

DNSSEC-ը DNS հարցումների ամբողջականությունը ստուգելու գործիք է: Այն չի ազդում DNS-ի գաղտնիության վրա: Այլ կերպ ասած, DNSSEC-ը կարող է ձեզ վստահություն տալ, որ ձեր DNS հարցման պատասխանը չի կեղծվել, բայց ցանկացած հարձակվող կարող է տեսնել այդ արդյունքները, երբ դրանք ուղարկվել են ձեզ:

DoT - DNS TLS-ի վրա

Տրանսպորտային շերտի անվտանգությունը (TLS) ծածկագրային արձանագրություն է՝ ցանցային կապով փոխանցվող տեղեկատվությունը պաշտպանելու համար: Երբ հաճախորդի և սերվերի միջև ապահով TLS կապ հաստատվի, փոխանցված տվյալները կոդավորված են, և ոչ մի միջնորդ չի կարող տեսնել դրանք:

TLS առավել հաճախ օգտագործվում է որպես HTTPS (SSL) մաս ձեր վեբ բրաուզերում, քանի որ հարցումներն ուղարկվում են ապահով HTTP սերվերներին:

DNS-over-TLS (DNS ավելի քան TLS, DoT) օգտագործում է TLS արձանագրությունը՝ սովորական DNS հարցումների UDP տրաֆիկը գաղտնագրելու համար:
Այս հարցումների գաղտնագրումը պարզ տեքստով օգնում է պաշտպանել օգտվողներին կամ հարցումներ կատարող հավելվածները մի քանի հարձակումներից:

• MitM կամ «մարդը մեջտեղում»Առանց կոդավորման, հաճախորդի և հեղինակավոր DNS սերվերի միջև միջանկյալ համակարգը կարող է պոտենցիալ կեղծ կամ վտանգավոր տեղեկատվություն ուղարկել հաճախորդին՝ ի պատասխան հարցման:
• Լրտեսություն և հետևումԱռանց գաղտնագրման հարցումների, միջին ծրագրային համակարգերի համար հեշտ է տեսնել, թե որ կայքերն է մուտք գործում որոշակի օգտվող կամ հավելված: Թեև միայն DNS-ը չի բացահայտի վեբկայքում այցելվող կոնկրետ էջը, պարզապես պահանջվող տիրույթների իմացությունը բավական է համակարգի կամ անհատի պրոֆիլ ստեղծելու համար:

Source: Կալիֆորնիայի համալսարանում Irvine

DoH - DNS HTTPS-ի միջոցով

DNS-over-HTTPS (DNS over HTTPS, DoH) փորձարարական արձանագրություն է, որը համատեղ խթանվում է Mozilla-ի և Google-ի կողմից: Դրա նպատակները նման են DoT արձանագրությանը` ընդլայնելով մարդկանց գաղտնիությունը առցանց՝ գաղտնագրելով DNS հարցումներն ու պատասխանները:

Ստանդարտ DNS հարցումներն ուղարկվում են UDP-ով: Հարցումները և պատասխանները կարելի է հետևել՝ օգտագործելով այնպիսի գործիքներ, ինչպիսիք են Wireshark. DoT-ը գաղտնագրում է այս հարցումները, բայց դրանք դեռևս նույնացվում են որպես ցանցի բավականին հստակ UDP տրաֆիկ:

DoH-ն այլ մոտեցում է ցուցաբերում և ուղարկում է գաղտնագրված հոսթի անվան լուծման հարցումներ HTTPS կապերի միջոցով, որոնք նման են ցանցի ցանկացած այլ վեբ հարցումների:

Այս տարբերությունը շատ կարևոր հետևանքներ ունի ինչպես համակարգի ադմինիստրատորների, այնպես էլ անվան լուծման ապագայի համար:

1. DNS-ի զտումը վեբ տրաֆիկը զտելու սովորական միջոց է՝ պաշտպանելու օգտատերերին ֆիշինգ հարձակումներից, կայքերից, որոնք տարածում են չարամիտ ծրագրեր կամ կորպորատիվ ցանցում այլ պոտենցիալ վնասակար ինտերնետային գործունեություն: DoH արձանագրությունը շրջանցում է այս զտիչները՝ պոտենցիալ օգտատերերին և ցանցին ավելի մեծ ռիսկի ենթարկելով:
2. Անվան լուծման ներկայիս մոդելում ցանցի յուրաքանչյուր սարք քիչ թե շատ DNS հարցումներ է ստանում նույն վայրից (նշված DNS սերվեր): DoH, և մասնավորապես Firefox-ի կողմից դրա իրականացումը ցույց է տալիս, որ դա կարող է փոխվել ապագայում: Համակարգչի վրա յուրաքանչյուր հավելված կարող է տվյալներ ստանալ տարբեր DNS աղբյուրներից, ինչը շատ ավելի բարդ է դարձնում անսարքությունների վերացումը, անվտանգությունը և ռիսկերի մոդելավորումը:

Source: www.varonis.com/blog/what-is-powershell

Ո՞րն է տարբերությունը DNS-ի միջև TLS-ի և DNS-ի միջև HTTPS-ի միջոցով:

Սկսենք DNS-ից՝ TLS-ից (DoT): Հիմնական կետն այստեղ այն է, որ բնօրինակ DNS արձանագրությունը չի փոխվել, այլ պարզապես ապահով կերպով փոխանցվում է անվտանգ ալիքով: Մյուս կողմից, DoH-ը DNS-ը դնում է HTTP ձևաչափի նախքան հարցումներ կատարելը:

DNS մոնիտորինգի ահազանգեր

Ձեր ցանցում DNS երթևեկությունը կասկածելի անոմալիաների համար արդյունավետորեն վերահսկելու ունակությունը կարևոր է խախտումների վաղ հայտնաբերման համար: Varonis Edge-ի նման գործիքի օգտագործումը ձեզ հնարավորություն կտա պահպանել բոլոր կարևոր ցուցանիշները և ստեղծել պրոֆիլներ ձեր ցանցի յուրաքանչյուր հաշվի համար: Դուք կարող եք կարգավորել ազդանշանները, որպեսզի ստեղծվեն գործողությունների համակցության արդյունքում, որոնք տեղի են ունենում որոշակի ժամանակահատվածում:

DNS-ի փոփոխությունների մոնիտորինգը, հաշվի գտնվելու վայրը, առաջին անգամ օգտագործելը և զգայուն տվյալների հասանելիությունը, ինչպես նաև աշխատանքային ժամերից հետո գործունեությունը ընդամենը մի քանի չափումներ են, որոնք կարող են փոխկապակցվել՝ հայտնաբերման ավելի լայն պատկեր ստեղծելու համար:

Source: www.habr.com