Apa pun yang dilakukan perusahaan, keamanan DNS harus menjadi bagian integral dari rencana keamanannya. Layanan nama, yang menyelesaikan nama host menjadi alamat IP, digunakan oleh hampir semua aplikasi dan layanan di jaringan.
Jika penyerang mendapatkan kendali atas DNS suatu organisasi, dia dapat dengan mudah:
memberi diri Anda kendali atas sumber daya bersama
mengalihkan email masuk serta permintaan web dan upaya otentikasi
membuat dan memvalidasi sertifikat SSL/TLS
Panduan ini membahas keamanan DNS dari dua sudut:
Melakukan pemantauan dan kontrol terus menerus terhadap DNS
Bagaimana protokol DNS baru seperti DNSSEC, DOH, dan DoT dapat membantu melindungi integritas dan kerahasiaan permintaan DNS yang dikirimkan
Apa itu keamanan DNS?
Konsep keamanan DNS mencakup dua komponen penting:
Memastikan integritas keseluruhan dan ketersediaan layanan DNS yang menyelesaikan nama host menjadi alamat IP
Pantau aktivitas DNS untuk mengidentifikasi kemungkinan masalah keamanan di mana pun di jaringan Anda
Mengapa DNS rentan terhadap serangan?
Teknologi DNS diciptakan pada masa awal Internet, jauh sebelum orang mulai memikirkan tentang keamanan jaringan. DNS beroperasi tanpa otentikasi atau enkripsi, memproses permintaan dari pengguna mana pun secara membabi buta.
Oleh karena itu, ada banyak cara untuk menipu pengguna dan memalsukan informasi tentang di mana sebenarnya resolusi nama menjadi alamat IP dilakukan.
Keamanan DNS: Masalah dan Komponen
Keamanan DNS terdiri dari beberapa dasar komponen, yang masing-masing harus diperhitungkan untuk memastikan perlindungan penuh:
Memperkuat keamanan server dan prosedur manajemen: meningkatkan tingkat keamanan server dan membuat template komisioning standar
Peningkatan protokol: mengimplementasikan DNSSEC, DoT atau DoH
Analisis dan pelaporan: tambahkan log peristiwa DNS ke sistem SIEM Anda untuk konteks tambahan saat menyelidiki insiden
Intelijen Cyber dan Deteksi Ancaman: berlangganan umpan intelijen ancaman aktif
Otomatisasi: buat skrip sebanyak mungkin untuk mengotomatisasi proses
Komponen tingkat tinggi yang disebutkan di atas hanyalah puncak dari gunung es keamanan DNS. Di bagian selanjutnya, kita akan mendalami kasus penggunaan yang lebih spesifik dan praktik terbaik yang perlu Anda ketahui.
Serangan DNS
Spoofing DNS atau keracunan cache: mengeksploitasi kerentanan sistem untuk memanipulasi cache DNS untuk mengarahkan pengguna ke lokasi lain
Penerowongan DNS: terutama digunakan untuk melewati perlindungan koneksi jarak jauh
Pembajakan DNS: mengarahkan lalu lintas DNS normal ke server DNS target yang berbeda dengan mengubah pendaftar domain
Serangan NXDOMAIN: melakukan serangan DDoS pada server DNS otoritatif dengan mengirimkan kueri domain tidak sah untuk mendapatkan respons yang dipaksakan
domain hantu: menyebabkan penyelesai DNS menunggu respons dari domain yang tidak ada, sehingga mengakibatkan kinerja buruk
serangan pada subdomain acak: host dan botnet yang disusupi meluncurkan serangan DDoS pada domain yang valid, namun memfokuskan serangannya pada subdomain palsu untuk memaksa server DNS mencari catatan dan mengambil alih kendali layanan
pemblokiran domain: mengirimkan beberapa tanggapan spam untuk memblokir sumber daya server DNS
Serangan botnet dari peralatan pelanggan: kumpulan komputer, modem, router, dan perangkat lain yang memusatkan daya komputasi pada situs web tertentu untuk membebani situs tersebut dengan permintaan lalu lintas
Serangan DNS
Serangan yang menggunakan DNS untuk menyerang sistem lain (yaitu mengubah catatan DNS bukanlah tujuan akhir):
Serangan yang mengakibatkan alamat IP yang dibutuhkan penyerang dikembalikan dari server DNS:
Spoofing DNS atau keracunan cache
pembajakan DNS
Apa itu DNSSEC?
DNSSEC - Mesin Keamanan Layanan Nama Domain - digunakan untuk memvalidasi catatan DNS tanpa perlu mengetahui informasi umum untuk setiap permintaan DNS tertentu.
DNSSEC menggunakan Kunci Tanda Tangan Digital (PKI) untuk memverifikasi apakah hasil kueri nama domain berasal dari sumber yang valid.
Menerapkan DNSSEC bukan hanya praktik terbaik industri, namun juga efektif dalam menghindari sebagian besar serangan DNS.
Cara kerja DNSSEC
DNSSEC bekerja mirip dengan TLS/HTTPS, menggunakan pasangan kunci publik dan privat untuk menandatangani data DNS secara digital. Gambaran umum proses:
Catatan DNS ditandatangani dengan pasangan kunci pribadi-pribadi
Respons terhadap pertanyaan DNSSEC berisi catatan yang diminta serta tanda tangan dan kunci publik
kemudian kunci publik digunakan untuk membandingkan keaslian catatan dan tanda tangan
Keamanan DNS dan DNSSEC
DNSSEC adalah alat untuk memeriksa integritas kueri DNS. Itu tidak mempengaruhi privasi DNS. Dengan kata lain, DNSSEC dapat memberi Anda keyakinan bahwa jawaban atas permintaan DNS Anda belum diubah, namun penyerang mana pun dapat melihat hasil tersebut saat dikirimkan kepada Anda.
DoT - DNS melalui TLS
Transport Layer Security (TLS) adalah protokol kriptografi untuk melindungi informasi yang dikirimkan melalui koneksi jaringan. Setelah koneksi TLS aman dibuat antara klien dan server, data yang dikirimkan dienkripsi dan tidak ada perantara yang dapat melihatnya.
TLS paling umum digunakan sebagai bagian dari HTTPS (SSL) di browser web Anda karena permintaan dikirim ke server HTTP yang aman.
DNS-over-TLS (DNS over TLS, DoT) menggunakan protokol TLS untuk mengenkripsi lalu lintas UDP dari permintaan DNS reguler.
Mengenkripsi permintaan ini dalam teks biasa membantu melindungi pengguna atau aplikasi yang membuat permintaan dari beberapa serangan.
MitM, atau "pria di tengah": Tanpa enkripsi, sistem perantara antara klien dan server DNS otoritatif berpotensi mengirimkan informasi palsu atau berbahaya ke klien sebagai respons terhadap permintaan
Spionase dan pelacakan: Tanpa mengenkripsi permintaan, sistem middleware akan mudah melihat situs mana yang diakses oleh pengguna atau aplikasi tertentu. Meskipun DNS saja tidak akan mengungkapkan halaman spesifik yang sedang dikunjungi di sebuah situs web, mengetahui domain yang diminta saja sudah cukup untuk membuat profil sistem atau individu.
DNS-over-HTTPS (DNS over HTTPS, DoH) adalah protokol eksperimental yang dipromosikan bersama oleh Mozilla dan Google. Tujuannya mirip dengan protokol DoT—meningkatkan privasi orang secara online dengan mengenkripsi permintaan dan respons DNS.
Kueri DNS standar dikirim melalui UDP. Permintaan dan tanggapan dapat dilacak menggunakan alat seperti Wireshark. DoT mengenkripsi permintaan ini, namun permintaan tersebut masih diidentifikasi sebagai lalu lintas UDP yang cukup berbeda di jaringan.
DoH mengambil pendekatan berbeda dan mengirimkan permintaan resolusi nama host terenkripsi melalui koneksi HTTPS, yang terlihat seperti permintaan web lainnya melalui jaringan.
Perbedaan ini memiliki implikasi yang sangat penting bagi administrator sistem dan masa depan resolusi nama.
Pemfilteran DNS adalah cara umum untuk memfilter lalu lintas web guna melindungi pengguna dari serangan phishing, situs yang mendistribusikan malware, atau aktivitas Internet lainnya yang berpotensi membahayakan di jaringan perusahaan. Protokol DoH melewati filter ini, sehingga berpotensi membuat pengguna dan jaringan menghadapi risiko yang lebih besar.
Dalam model resolusi nama saat ini, setiap perangkat di jaringan kurang lebih menerima permintaan DNS dari lokasi yang sama (server DNS tertentu). DoH, dan khususnya implementasi Firefox, menunjukkan bahwa hal ini mungkin berubah di masa depan. Setiap aplikasi di komputer mungkin menerima data dari sumber DNS yang berbeda, sehingga membuat pemecahan masalah, keamanan, dan pemodelan risiko menjadi jauh lebih kompleks.
Apa perbedaan antara DNS melalui TLS dan DNS melalui HTTPS?
Mari kita mulai dengan DNS melalui TLS (DoT). Poin utamanya di sini adalah bahwa protokol DNS asli tidak diubah, tetapi hanya dikirimkan dengan aman melalui saluran aman. DoH, di sisi lain, memasukkan DNS ke dalam format HTTP sebelum membuat permintaan.
Peringatan Pemantauan DNS
Kemampuan untuk memantau lalu lintas DNS di jaringan Anda secara efektif untuk mendeteksi anomali yang mencurigakan sangat penting untuk deteksi dini pelanggaran. Menggunakan alat seperti Varonis Edge akan memberi Anda kemampuan untuk selalu mengetahui semua metrik penting dan membuat profil untuk setiap akun di jaringan Anda. Anda dapat mengonfigurasi peringatan untuk dihasilkan sebagai hasil dari kombinasi tindakan yang terjadi selama periode waktu tertentu.
Memantau perubahan DNS, lokasi akun, penggunaan pertama kali dan akses ke data sensitif, serta aktivitas setelah jam kerja hanyalah beberapa metrik yang dapat dikorelasikan untuk membangun gambaran deteksi yang lebih luas.