Qualunque cosa faccia l'azienda, sicurezza dovrebbe essere parte integrante del suo piano di sicurezza. I servizi di denominazione, che risolvono i nomi host in indirizzi IP, sono utilizzati praticamente da ogni applicazione e servizio sulla rete.
Se un utente malintenzionato ottiene il controllo del DNS di un'organizzazione, può facilmente:
- darti il controllo sulle risorse condivise
- reindirizzare le e-mail in arrivo, nonché le richieste Web e i tentativi di autenticazione
- creare e convalidare certificati SSL/TLS
Questa guida esamina la sicurezza DNS da due angolazioni:
- Esecuzione di monitoraggio e controllo continui sul DNS
- In che modo i nuovi protocolli DNS come DNSSEC, DOH e DoT possono aiutare a proteggere l'integrità e la riservatezza delle richieste DNS trasmesse
Cos'è la sicurezza DNS?
Il concetto di sicurezza DNS comprende due componenti importanti:
- Garantire l'integrità e la disponibilità complessive dei servizi DNS che risolvono i nomi host in indirizzi IP
- Monitora l'attività DNS per identificare possibili problemi di sicurezza ovunque sulla tua rete
Perché il DNS è vulnerabile agli attacchi?
La tecnologia DNS è stata creata agli albori di Internet, molto prima che qualcuno iniziasse a pensare alla sicurezza della rete. Il DNS funziona senza autenticazione o crittografia, elaborando ciecamente le richieste di qualsiasi utente.
Per questo motivo esistono molti modi per ingannare l'utente e falsificare le informazioni su dove avviene effettivamente la conversione dei nomi in indirizzi IP.
Sicurezza DNS: problemi e componenti
La sicurezza DNS è costituita da diversi elementi di base componenti, ciascuno dei quali deve essere preso in considerazione per garantire una protezione completa:
- Rafforzamento delle procedure di sicurezza e gestione dei server: aumentare il livello di sicurezza del server e creare un modello di commissioning standard
- Miglioramenti del protocollo: implementare DNSSEC, DoT o DoH
- Analisi e reporting: aggiungi un registro eventi DNS al tuo sistema SIEM per ulteriore contesto durante l'analisi degli incidenti
- Cyber intelligence e rilevamento delle minacce: iscriversi a un feed di intelligence sulle minacce attivo
- Automazione: creare il maggior numero possibile di script per automatizzare i processi
I componenti di alto livello sopra menzionati sono solo la punta dell’iceberg della sicurezza DNS. Nella sezione successiva, approfondiremo casi d'uso e best practice più specifici che devi conoscere.
Attacchi DNS
- : sfruttare una vulnerabilità del sistema per manipolare la cache DNS per reindirizzare gli utenti in un'altra posizione
- : utilizzato principalmente per bypassare le protezioni della connessione remota
- Dirottamento DNS: reindirizzando il normale traffico DNS a un server DNS di destinazione diverso modificando il registrar del dominio
- Attacco NXDOMAIN: condurre un attacco DDoS su un server DNS autorevole inviando query di dominio illegittime per ottenere una risposta forzata
- dominio fantasma: fa sì che il risolutore DNS attenda una risposta da domini inesistenti, con conseguenti prestazioni scadenti
- attacco a un sottodominio casuale: host e botnet compromessi lanciano un attacco DDoS su un dominio valido, ma concentrano il loro fuoco su sottodomini falsi per costringere il server DNS a cercare record e assumere il controllo del servizio
- blocco dominio: sta inviando più risposte spam per bloccare le risorse del server DNS
- Attacco botnet da parte delle apparecchiature dell'abbonato: un insieme di computer, modem, router e altri dispositivi che concentrano la potenza di calcolo su un sito Web specifico per sovraccaricarlo di richieste di traffico
Attacchi DNS
Attacchi che in qualche modo utilizzano il DNS per attaccare altri sistemi (ad esempio, la modifica dei record DNS non è l'obiettivo finale):
- Flusso veloce
- Reti a flusso singolo
- Reti a doppio flusso
Attacchi DNS
Attacchi che comportano la restituzione dell'indirizzo IP necessario all'aggressore dal server DNS:
- Spoofing DNS o avvelenamento della cache
- Dirottamento DNS
Cos'è DNSSEC?
DNSSEC - Domain Name Service Security Engines - vengono utilizzati per convalidare i record DNS senza la necessità di conoscere informazioni generali per ogni specifica richiesta DNS.
DNSSEC utilizza le chiavi di firma digitale (PKI) per verificare se i risultati di una query sul nome di dominio provengono da una fonte valida.
L’implementazione di DNSSEC non è solo una best practice del settore, ma è anche efficace per evitare la maggior parte degli attacchi DNS.
Come funziona DNSSEC
DNSSEC funziona in modo simile a TLS/HTTPS, utilizzando coppie di chiavi pubbliche e private per firmare digitalmente i record DNS. Panoramica generale del processo:
- I record DNS sono firmati con una coppia di chiavi privata-privata
- Le risposte alle query DNSSEC contengono il record richiesto, nonché la firma e la chiave pubblica
- Poi utilizzato per confrontare l'autenticità di un documento e di una firma
Sicurezza DNS e DNSSEC
DNSSEC è uno strumento per verificare l'integrità delle query DNS. Non influisce sulla privacy DNS. In altre parole, DNSSEC può darti la certezza che la risposta alla tua query DNS non è stata manomessa, ma qualsiasi utente malintenzionato può vedere quei risultati così come ti sono stati inviati.
DoT: DNS su TLS
Transport Layer Security (TLS) è un protocollo crittografico per proteggere le informazioni trasmesse su una connessione di rete. Una volta stabilita una connessione TLS sicura tra il client e il server, i dati trasmessi vengono crittografati e nessun intermediario può vederli.
più comunemente utilizzato come parte di HTTPS (SSL) nel browser Web poiché le richieste vengono inviate a server HTTP protetti.
DNS-over-TLS (DNS over TLS, DoT) utilizza il protocollo TLS per crittografare il traffico UDP delle normali richieste DNS.
La crittografia di queste richieste in testo semplice aiuta a proteggere gli utenti o le applicazioni che effettuano richieste da diversi attacchi.
- MitM, ovvero "l'uomo nel mezzo": Senza crittografia, il sistema intermedio tra il client e il server DNS autorevole potrebbe potenzialmente inviare informazioni false o pericolose al client in risposta a una richiesta
- Spionaggio e tracciamento: senza crittografare le richieste, è facile per i sistemi middleware vedere a quali siti accede un particolare utente o applicazione. Sebbene il DNS da solo non riveli la pagina specifica visitata su un sito web, è sufficiente conoscere i domini richiesti per creare il profilo di un sistema o di un individuo
Fonte:
DoH: DNS su HTTPS
DNS-over-HTTPS (DNS over HTTPS, DoH) è un protocollo sperimentale promosso congiuntamente da Mozilla e Google. I suoi obiettivi sono simili al protocollo DoT: migliorare la privacy delle persone online crittografando le richieste e le risposte DNS.
Le query DNS standard vengono inviate tramite UDP. Le richieste e le risposte possono essere monitorate utilizzando strumenti come . DoT crittografa queste richieste, ma vengono comunque identificate come traffico UDP abbastanza distinto sulla rete.
DoH adotta un approccio diverso e invia richieste di risoluzione del nome host crittografate tramite connessioni HTTPS, che assomigliano a qualsiasi altra richiesta web sulla rete.
Questa differenza ha implicazioni molto importanti sia per gli amministratori di sistema che per il futuro della risoluzione dei nomi.
- Il filtro DNS è un metodo comune per filtrare il traffico Web per proteggere gli utenti da attacchi di phishing, siti che distribuiscono malware o altre attività Internet potenzialmente dannose su una rete aziendale. Il protocollo DoH bypassa questi filtri, esponendo potenzialmente gli utenti e la rete a rischi maggiori.
- Nell'attuale modello di risoluzione dei nomi, ogni dispositivo sulla rete riceve più o meno query DNS dalla stessa posizione (un server DNS specificato). DoH, e in particolare la sua implementazione da parte di Firefox, mostrano che ciò potrebbe cambiare in futuro. Ciascuna applicazione su un computer può ricevere dati da diverse origini DNS, rendendo la risoluzione dei problemi, la sicurezza e la modellazione dei rischi molto più complessi.
Fonte:
Qual è la differenza tra DNS su TLS e DNS su HTTPS?
Cominciamo con DNS su TLS (DoT). Il punto principale è che il protocollo DNS originale non viene modificato, ma viene semplicemente trasmesso in modo sicuro su un canale protetto. DoH, d'altra parte, inserisce il DNS in formato HTTP prima di effettuare richieste.
Avvisi di monitoraggio DNS
La capacità di monitorare in modo efficace il traffico DNS sulla rete per rilevare anomalie sospette è fondamentale per il rilevamento tempestivo di una violazione. L'utilizzo di uno strumento come Varonis Edge ti darà la possibilità di rimanere aggiornato su tutte le metriche importanti e di creare profili per ogni account sulla tua rete. È possibile configurare gli avvisi da generare come risultato di una combinazione di azioni che si verificano in un periodo di tempo specifico.
Il monitoraggio delle modifiche DNS, delle posizioni degli account, del primo utilizzo e dell'accesso ai dati sensibili e dell'attività fuori orario sono solo alcuni dei parametri che possono essere correlati per creare un quadro di rilevamento più ampio.
Fonte: habr.com