Panduan Keamanan DNS

Apa pun yang dilakukan perusahaan, keamanan DNS harus menjadi bagian integral dari rencana keamanannya. Layanan nama, yang menyelesaikan nama host menjadi alamat IP, digunakan oleh hampir semua aplikasi dan layanan di jaringan.

Jika penyerang mendapatkan kendali atas DNS suatu organisasi, dia dapat dengan mudah:

• memberi diri Anda kendali atas sumber daya bersama
• mengalihkan email masuk serta permintaan web dan upaya otentikasi
• membuat dan memvalidasi sertifikat SSL/TLS

Panduan ini membahas keamanan DNS dari dua sudut:

1. Melakukan pemantauan dan kontrol terus menerus terhadap DNS
2. Bagaimana protokol DNS baru seperti DNSSEC, DOH, dan DoT dapat membantu melindungi integritas dan kerahasiaan permintaan DNS yang dikirimkan

Apa itu keamanan DNS?

Konsep keamanan DNS mencakup dua komponen penting:

1. Memastikan integritas keseluruhan dan ketersediaan layanan DNS yang menyelesaikan nama host menjadi alamat IP
2. Pantau aktivitas DNS untuk mengidentifikasi kemungkinan masalah keamanan di mana pun di jaringan Anda

Mengapa DNS rentan terhadap serangan?

Teknologi DNS diciptakan pada masa awal Internet, jauh sebelum orang mulai memikirkan tentang keamanan jaringan. DNS beroperasi tanpa otentikasi atau enkripsi, memproses permintaan dari pengguna mana pun secara membabi buta.

Oleh karena itu, ada banyak cara untuk menipu pengguna dan memalsukan informasi tentang di mana sebenarnya resolusi nama menjadi alamat IP dilakukan.

Keamanan DNS: Masalah dan Komponen

Keamanan DNS terdiri dari beberapa dasar komponen, yang masing-masing harus diperhitungkan untuk memastikan perlindungan penuh:

• Memperkuat keamanan server dan prosedur manajemen: meningkatkan tingkat keamanan server dan membuat template komisioning standar
• Peningkatan protokol: mengimplementasikan DNSSEC, DoT atau DoH
• Analisis dan pelaporan: tambahkan log peristiwa DNS ke sistem SIEM Anda untuk konteks tambahan saat menyelidiki insiden
• Intelijen Cyber ​​​​dan Deteksi Ancaman: berlangganan umpan intelijen ancaman aktif
• Otomatisasi: buat skrip sebanyak mungkin untuk mengotomatisasi proses

Komponen tingkat tinggi yang disebutkan di atas hanyalah puncak dari gunung es keamanan DNS. Di bagian selanjutnya, kita akan mendalami kasus penggunaan yang lebih spesifik dan praktik terbaik yang perlu Anda ketahui.

Serangan DNS

• Spoofing DNS atau keracunan cache: mengeksploitasi kerentanan sistem untuk memanipulasi cache DNS untuk mengarahkan pengguna ke lokasi lain
• Penerowongan DNS: terutama digunakan untuk melewati perlindungan koneksi jarak jauh
• Pembajakan DNS: mengarahkan lalu lintas DNS normal ke server DNS target yang berbeda dengan mengubah pendaftar domain
• Serangan NXDOMAIN: melakukan serangan DDoS pada server DNS otoritatif dengan mengirimkan kueri domain tidak sah untuk mendapatkan respons yang dipaksakan
• domain hantu: menyebabkan penyelesai DNS menunggu respons dari domain yang tidak ada, sehingga mengakibatkan kinerja buruk
• serangan pada subdomain acak: host dan botnet yang disusupi meluncurkan serangan DDoS pada domain yang valid, namun memfokuskan serangannya pada subdomain palsu untuk memaksa server DNS mencari catatan dan mengambil alih kendali layanan
• pemblokiran domain: mengirimkan beberapa tanggapan spam untuk memblokir sumber daya server DNS
• Serangan botnet dari peralatan pelanggan: kumpulan komputer, modem, router, dan perangkat lain yang memusatkan daya komputasi pada situs web tertentu untuk membebani situs tersebut dengan permintaan lalu lintas

Serangan DNS

Serangan yang menggunakan DNS untuk menyerang sistem lain (yaitu mengubah catatan DNS bukanlah tujuan akhir):

• Fluks Cepat
• Jaringan Fluks Tunggal
• Jaringan Fluks Ganda
• Penerowongan DNS

Serangan DNS

Serangan yang mengakibatkan alamat IP yang dibutuhkan penyerang dikembalikan dari server DNS:

• Spoofing DNS atau keracunan cache
• pembajakan DNS

Apa itu DNSSEC?

DNSSEC - Mesin Keamanan Layanan Nama Domain - digunakan untuk memvalidasi catatan DNS tanpa perlu mengetahui informasi umum untuk setiap permintaan DNS tertentu.

DNSSEC menggunakan Kunci Tanda Tangan Digital (PKI) untuk memverifikasi apakah hasil kueri nama domain berasal dari sumber yang valid.
Menerapkan DNSSEC bukan hanya praktik terbaik industri, namun juga efektif dalam menghindari sebagian besar serangan DNS.

Cara kerja DNSSEC

DNSSEC bekerja mirip dengan TLS/HTTPS, menggunakan pasangan kunci publik dan privat untuk menandatangani data DNS secara digital. Gambaran umum proses:

1. Catatan DNS ditandatangani dengan pasangan kunci pribadi-pribadi
2. Respons terhadap pertanyaan DNSSEC berisi catatan yang diminta serta tanda tangan dan kunci publik
3. kemudian kunci publik digunakan untuk membandingkan keaslian catatan dan tanda tangan

Keamanan DNS dan DNSSEC

DNSSEC adalah alat untuk memeriksa integritas kueri DNS. Itu tidak mempengaruhi privasi DNS. Dengan kata lain, DNSSEC dapat memberi Anda keyakinan bahwa jawaban atas permintaan DNS Anda belum diubah, namun penyerang mana pun dapat melihat hasil tersebut saat dikirimkan kepada Anda.

DoT - DNS melalui TLS

Transport Layer Security (TLS) adalah protokol kriptografi untuk melindungi informasi yang dikirimkan melalui koneksi jaringan. Setelah koneksi TLS aman dibuat antara klien dan server, data yang dikirimkan dienkripsi dan tidak ada perantara yang dapat melihatnya.

TLS paling umum digunakan sebagai bagian dari HTTPS (SSL) di browser web Anda karena permintaan dikirim ke server HTTP yang aman.

DNS-over-TLS (DNS over TLS, DoT) menggunakan protokol TLS untuk mengenkripsi lalu lintas UDP dari permintaan DNS reguler.
Mengenkripsi permintaan ini dalam teks biasa membantu melindungi pengguna atau aplikasi yang membuat permintaan dari beberapa serangan.

• MitM, atau "pria di tengah": Tanpa enkripsi, sistem perantara antara klien dan server DNS otoritatif berpotensi mengirimkan informasi palsu atau berbahaya ke klien sebagai respons terhadap permintaan
• Spionase dan pelacakan: Tanpa mengenkripsi permintaan, sistem middleware akan mudah melihat situs mana yang diakses oleh pengguna atau aplikasi tertentu. Meskipun DNS saja tidak akan mengungkapkan halaman spesifik yang sedang dikunjungi di sebuah situs web, mengetahui domain yang diminta saja sudah cukup untuk membuat profil sistem atau individu.

Sumber: University of California Irvine

DoH - DNS melalui HTTPS

DNS-over-HTTPS (DNS over HTTPS, DoH) adalah protokol eksperimental yang dipromosikan bersama oleh Mozilla dan Google. Tujuannya mirip dengan protokol DoT—meningkatkan privasi orang secara online dengan mengenkripsi permintaan dan respons DNS.

Kueri DNS standar dikirim melalui UDP. Permintaan dan tanggapan dapat dilacak menggunakan alat seperti Wireshark. DoT mengenkripsi permintaan ini, namun permintaan tersebut masih diidentifikasi sebagai lalu lintas UDP yang cukup berbeda di jaringan.

DoH mengambil pendekatan berbeda dan mengirimkan permintaan resolusi nama host terenkripsi melalui koneksi HTTPS, yang terlihat seperti permintaan web lainnya melalui jaringan.

Perbedaan ini memiliki implikasi yang sangat penting bagi administrator sistem dan masa depan resolusi nama.

1. Pemfilteran DNS adalah cara umum untuk memfilter lalu lintas web guna melindungi pengguna dari serangan phishing, situs yang mendistribusikan malware, atau aktivitas Internet lainnya yang berpotensi membahayakan di jaringan perusahaan. Protokol DoH melewati filter ini, sehingga berpotensi membuat pengguna dan jaringan menghadapi risiko yang lebih besar.
2. Dalam model resolusi nama saat ini, setiap perangkat di jaringan kurang lebih menerima permintaan DNS dari lokasi yang sama (server DNS tertentu). DoH, dan khususnya implementasi Firefox, menunjukkan bahwa hal ini mungkin berubah di masa depan. Setiap aplikasi di komputer mungkin menerima data dari sumber DNS yang berbeda, sehingga membuat pemecahan masalah, keamanan, dan pemodelan risiko menjadi jauh lebih kompleks.

Sumber: www.varonis.com/blog/what-is-powershell

Apa perbedaan antara DNS melalui TLS dan DNS melalui HTTPS?

Mari kita mulai dengan DNS melalui TLS (DoT). Poin utamanya di sini adalah bahwa protokol DNS asli tidak diubah, tetapi hanya dikirimkan dengan aman melalui saluran aman. DoH, di sisi lain, memasukkan DNS ke dalam format HTTP sebelum membuat permintaan.

Peringatan Pemantauan DNS

Kemampuan untuk memantau lalu lintas DNS di jaringan Anda secara efektif untuk mendeteksi anomali yang mencurigakan sangat penting untuk deteksi dini pelanggaran. Menggunakan alat seperti Varonis Edge akan memberi Anda kemampuan untuk selalu mengetahui semua metrik penting dan membuat profil untuk setiap akun di jaringan Anda. Anda dapat mengonfigurasi peringatan untuk dihasilkan sebagai hasil dari kombinasi tindakan yang terjadi selama periode waktu tertentu.

Memantau perubahan DNS, lokasi akun, penggunaan pertama kali dan akses ke data sensitif, serta aktivitas setelah jam kerja hanyalah beberapa metrik yang dapat dikorelasikan untuk membangun gambaran deteksi yang lebih luas.

Sumber: www.habr.com