Hvað sem fyrirtækið gerir, öryggi ætti að vera óaðskiljanlegur hluti af öryggisáætlun þess. Nafnaþjónusta, sem leysir hýsingarnöfn yfir í IP-tölur, eru notuð af nánast öllum forritum og þjónustum á netinu.
Ef árásarmaður nær stjórn á DNS fyrirtækis getur hann auðveldlega:
- gefðu þér stjórn á sameiginlegum auðlindum
- framsenda tölvupóst sem berast sem og vefbeiðnir og auðkenningartilraunir
- búa til og staðfesta SSL/TLS vottorð
Þessi handbók lítur á DNS öryggi frá tveimur sjónarhornum:
- Framkvæma stöðugt eftirlit og eftirlit með DNS
- Hvernig nýjar DNS samskiptareglur eins og DNSSEC, DOH og DoT geta hjálpað til við að vernda heilleika og trúnað sendra DNS beiðna
Hvað er DNS öryggi?
Hugmyndin um DNS öryggi inniheldur tvo mikilvæga þætti:
- Að tryggja heildar heilleika og framboð á DNS þjónustu sem leysir hýsilheiti í IP tölur
- Fylgstu með DNS-virkni til að bera kennsl á hugsanleg öryggisvandamál hvar sem er á netinu þínu
Af hverju er DNS viðkvæmt fyrir árásum?
DNS tækni var búin til í árdaga internetsins, löngu áður en nokkur fór að hugsa um netöryggi. DNS starfar án auðkenningar eða dulkóðunar og vinnur í blindni beiðnir frá hvaða notanda sem er.
Vegna þessa eru margar leiðir til að blekkja notandann og falsa upplýsingar um hvar úrlausn nafna á IP-tölur fer í raun fram.
DNS öryggi: vandamál og íhlutir
DNS öryggi samanstendur af nokkrum grundvallaratriðum hluti, sem þarf að taka tillit til hvers og eins til að tryggja fullkomna vernd:
- Efling öryggi og stjórnun netþjóna: auka öryggisstig netþjónsins og búa til staðlað gangsetningarsniðmát
- Umbætur á bókun: innleiða DNSSEC, DoT eða DoH
- Greining og skýrslur: bættu DNS atburðaskrá við SIEM kerfið þitt til að fá frekari samhengi þegar atvik eru rannsakað
- Netgreind og ógnunargreining: gerast áskrifandi að virkum ógnarupplýsingastraumi
- Sjálfvirkni: búa til eins mörg forskrift og mögulegt er til að gera ferla sjálfvirkan
Ofangreindir íhlutir á háu stigi eru aðeins toppurinn á DNS öryggisísjakanum. Í næsta kafla munum við kafa ofan í sértækari notkunartilvik og bestu starfsvenjur sem þú þarft að vita um.
DNS árásir
- : að nýta sér veikleika kerfisins til að vinna með DNS skyndiminni til að beina notendum á annan stað
- : fyrst og fremst notað til að komast framhjá fjartengingarvörnum
- DNS ræning: að beina venjulegri DNS-umferð yfir á annan DNS-markmiðlara með því að breyta lénsritara
- NXDOMAIN árás: framkvæma DDoS árás á opinberan DNS netþjón með því að senda ólögmætar lénsfyrirspurnir til að fá þvingað svar
- phantom domain: veldur því að DNS leysirinn bíður eftir svari frá lénum sem ekki eru til, sem leiðir til lélegrar frammistöðu
- árás á handahófskennt undirlén: hýsingar og botnet sem eru í hættu hefja DDoS árás á gilt lén, en beina skotinu að fölskum undirlénum til að þvinga DNS netþjóninn til að fletta upp skrám og taka yfir stjórn þjónustunnar
- lénslokun: er að senda mörg ruslpóstsvörun til að loka á auðlindir DNS netþjóns
- Botnet árás frá áskrifendabúnaði: safn af tölvum, mótaldum, beinum og öðrum tækjum sem einbeita tölvuafli á tiltekna vefsíðu til að ofhlaða hana með umferðarbeiðnum
DNS árásir
Árásir sem einhvern veginn nota DNS til að ráðast á önnur kerfi (þ.e.a.s. að breyta DNS skrám er ekki lokamarkmiðið):
- Hraðflæði
- Single Flux Networks
- Double Flux Networks
DNS árásir
Árásir sem leiða til þess að IP-tölu sem árásarmaðurinn þarfnast skilar frá DNS-þjóninum:
- DNS skopstæling eða skyndiminni eitrun
- DNS ræning
Hvað er DNSSEC?
DNSSEC - Domain Name Service Security Engines - eru notaðar til að staðfesta DNS færslur án þess að þurfa að vita almennar upplýsingar fyrir hverja sérstaka DNS beiðni.
DNSSEC notar Digital Signature Keys (PKI) til að sannreyna hvort niðurstöður fyrirspurnar um lén hafi komið frá gildum uppruna.
Innleiðing DNSSEC er ekki aðeins bestu starfsvenjur í iðnaði, heldur er það einnig áhrifaríkt til að forðast flestar DNS árásir.
Hvernig DNSSEC virkar
DNSSEC virkar svipað og TLS/HTTPS og notar opinber og einkalyklapar til að undirrita DNS færslur stafrænt. Almennt yfirlit yfir ferlið:
- DNS færslur eru undirritaðar með einkalyklapari
- Svör við DNSSEC fyrirspurnum innihalda umbeðna skrá sem og undirskrift og opinbera lykil
- Þá notað til að bera saman áreiðanleika skráar og undirskriftar
DNS og DNSSEC öryggi
DNSSEC er tæki til að athuga heilleika DNS fyrirspurna. Það hefur ekki áhrif á friðhelgi DNS. Með öðrum orðum, DNSSEC getur veitt þér fullvissu um að ekki hafi verið átt við svarið við DNS fyrirspurn þinni, en hvaða árásarmaður sem er getur séð þessar niðurstöður eins og þær voru sendar til þín.
DoT - DNS yfir TLS
Transport Layer Security (TLS) er dulmálssamskiptareglur til að vernda upplýsingar sem sendar eru um nettengingu. Þegar örugg TLS tenging hefur verið komið á milli viðskiptavinarins og netþjónsins eru send gögn dulkóðuð og enginn milliliður getur séð þau.
oftast notað sem hluti af HTTPS (SSL) í vafranum þínum vegna þess að beiðnir eru sendar til öruggra HTTP netþjóna.
DNS-over-TLS (DNS over TLS, DoT) notar TLS-samskiptareglur til að dulkóða UDP-umferð venjulegra DNS-beiðna.
Dulkóðun þessara beiðna með einföldum texta hjálpar til við að vernda notendur eða forrit sem leggja fram beiðnir gegn nokkrum árásum.
- MitM, eða "maður í miðjunni": Án dulkóðunar gæti millikerfið á milli viðskiptavinarins og opinbera DNS-þjónsins hugsanlega sent rangar eða hættulegar upplýsingar til viðskiptavinarins sem svar við beiðni
- Njósnir og eftirlit: Án dulkóðunarbeiðna er auðvelt fyrir millihugbúnaðarkerfi að sjá hvaða síður tiltekinn notandi eða forrit er að opna. Þrátt fyrir að DNS eitt og sér muni ekki sýna tiltekna síðu sem heimsótt er á vefsíðu, nægir einfaldlega að vita umbeðin lén til að búa til prófíl fyrir kerfi eða einstakling
Heimild:
DoH - DNS yfir HTTPS
DNS-yfir-HTTPS (DNS yfir HTTPS, DoH) er tilraunasamskiptareglur sem Mozilla og Google kynna sameiginlega. Markmið þess eru svipuð og DoT siðareglur - auka friðhelgi fólks á netinu með því að dulkóða DNS beiðnir og svör.
Staðlaðar DNS fyrirspurnir eru sendar yfir UDP. Hægt er að fylgjast með beiðnum og svörum með því að nota verkfæri eins og . DoT dulkóðar þessar beiðnir, en þær eru samt auðkenndar sem nokkuð aðgreind UDP umferð á netinu.
DoH tekur aðra nálgun og sendir dulkóðaðar beiðnir um upplausn hýsilnafna yfir HTTPS tengingar, sem líta út eins og hver önnur vefbeiðni yfir netið.
Þessi munur hefur mjög mikilvæg áhrif bæði fyrir kerfisstjóra og fyrir framtíð nafnaupplausnar.
- DNS síun er algeng leið til að sía netumferð til að vernda notendur fyrir vefveiðum, vefsvæðum sem dreifa spilliforritum eða annarri hugsanlega skaðlegri internetvirkni á fyrirtækjaneti. DoH-samskiptareglur fara framhjá þessum síum, sem getur hugsanlega útsett notendur og netið fyrir meiri áhættu.
- Í núverandi nafnaupplausnarlíkani fær hvert tæki á netinu meira og minna DNS-fyrirspurnir frá sama stað (tiltekinn DNS-þjónn). DoH, og sérstaklega útfærsla Firefox á því, sýnir að þetta gæti breyst í framtíðinni. Hvert forrit á tölvu getur tekið á móti gögnum frá mismunandi DNS heimildum, sem gerir bilanaleit, öryggi og áhættulíkön miklu flóknari.
Heimild:
Hver er munurinn á DNS yfir TLS og DNS yfir HTTPS?
Byrjum á DNS yfir TLS (DoT). Aðalatriðið hér er að upprunalegu DNS samskiptareglunum er ekki breytt, heldur er hún einfaldlega send á öruggan hátt yfir örugga rás. DoH, aftur á móti, setur DNS í HTTP snið áður en þú leggur fram beiðnir.
DNS vöktunarviðvaranir
Hæfni til að fylgjast með DNS-umferð á netinu þínu með tilliti til grunsamlegra frávika er mikilvægt fyrir snemma uppgötvun brots. Með því að nota tól eins og Varonis Edge mun gefa þér möguleika á að fylgjast með öllum mikilvægum mælingum og búa til snið fyrir hvern reikning á netinu þínu. Þú getur stillt viðvaranir til að myndast sem afleiðing af samsetningu aðgerða sem eiga sér stað á tilteknu tímabili.
Vöktun á DNS breytingum, staðsetningu reikninga, notkun í fyrsta skipti og aðgangur að viðkvæmum gögnum og virkni eftir vinnu eru aðeins nokkrar mælikvarðar sem hægt er að tengja saman til að byggja upp breiðari uppgötvunarmynd.
Heimild: www.habr.com