Qualunque cosa faccia l'azienda, sicurezza DNS dovrebbe essere parte integrante del suo piano di sicurezza. I servizi di denominazione, che risolvono i nomi host in indirizzi IP, sono utilizzati praticamente da ogni applicazione e servizio sulla rete.
Se un utente malintenzionato ottiene il controllo del DNS di un'organizzazione, può facilmente:
darti il controllo sulle risorse condivise
reindirizzare le e-mail in arrivo, nonché le richieste Web e i tentativi di autenticazione
creare e convalidare certificati SSL/TLS
Questa guida esamina la sicurezza DNS da due angolazioni:
Esecuzione di monitoraggio e controllo continui sul DNS
In che modo i nuovi protocolli DNS come DNSSEC, DOH e DoT possono aiutare a proteggere l'integrità e la riservatezza delle richieste DNS trasmesse
Cos'è la sicurezza DNS?
Il concetto di sicurezza DNS comprende due componenti importanti:
Garantire l'integrità e la disponibilità complessive dei servizi DNS che risolvono i nomi host in indirizzi IP
Monitora l'attività DNS per identificare possibili problemi di sicurezza ovunque sulla tua rete
Perché il DNS è vulnerabile agli attacchi?
La tecnologia DNS è stata creata agli albori di Internet, molto prima che qualcuno iniziasse a pensare alla sicurezza della rete. Il DNS funziona senza autenticazione o crittografia, elaborando ciecamente le richieste di qualsiasi utente.
Per questo motivo esistono molti modi per ingannare l'utente e falsificare le informazioni su dove avviene effettivamente la conversione dei nomi in indirizzi IP.
Sicurezza DNS: problemi e componenti
La sicurezza DNS è costituita da diversi elementi di base componenti, ciascuno dei quali deve essere preso in considerazione per garantire una protezione completa:
Rafforzamento delle procedure di sicurezza e gestione dei server: aumentare il livello di sicurezza del server e creare un modello di commissioning standard
Miglioramenti del protocollo: implementare DNSSEC, DoT o DoH
Analisi e reporting: aggiungi un registro eventi DNS al tuo sistema SIEM per ulteriore contesto durante l'analisi degli incidenti
Cyber intelligence e rilevamento delle minacce: iscriversi a un feed di intelligence sulle minacce attivo
Automazione: creare il maggior numero possibile di script per automatizzare i processi
I componenti di alto livello sopra menzionati sono solo la punta dell’iceberg della sicurezza DNS. Nella sezione successiva, approfondiremo casi d'uso e best practice più specifici che devi conoscere.
Attacchi DNS
Spoofing DNS o avvelenamento della cache: sfruttare una vulnerabilità del sistema per manipolare la cache DNS per reindirizzare gli utenti in un'altra posizione
Tunneling DNS: utilizzato principalmente per bypassare le protezioni della connessione remota
Dirottamento DNS: reindirizzando il normale traffico DNS a un server DNS di destinazione diverso modificando il registrar del dominio
Attacco NXDOMAIN: condurre un attacco DDoS su un server DNS autorevole inviando query di dominio illegittime per ottenere una risposta forzata
dominio fantasma: fa sì che il risolutore DNS attenda una risposta da domini inesistenti, con conseguenti prestazioni scadenti
attacco a un sottodominio casuale: host e botnet compromessi lanciano un attacco DDoS su un dominio valido, ma concentrano il loro fuoco su sottodomini falsi per costringere il server DNS a cercare record e assumere il controllo del servizio
blocco dominio: sta inviando più risposte spam per bloccare le risorse del server DNS
Attacco botnet da parte delle apparecchiature dell'abbonato: un insieme di computer, modem, router e altri dispositivi che concentrano la potenza di calcolo su un sito Web specifico per sovraccaricarlo di richieste di traffico
Attacchi DNS
Attacchi che in qualche modo utilizzano il DNS per attaccare altri sistemi (ad esempio, la modifica dei record DNS non è l'obiettivo finale):
Attacchi che comportano la restituzione dell'indirizzo IP necessario all'aggressore dal server DNS:
Spoofing DNS o avvelenamento della cache
Dirottamento DNS
Cos'è DNSSEC?
DNSSEC - Domain Name Service Security Engines - vengono utilizzati per convalidare i record DNS senza la necessità di conoscere informazioni generali per ogni specifica richiesta DNS.
DNSSEC utilizza le chiavi di firma digitale (PKI) per verificare se i risultati di una query sul nome di dominio provengono da una fonte valida.
L’implementazione di DNSSEC non è solo una best practice del settore, ma è anche efficace per evitare la maggior parte degli attacchi DNS.
Come funziona DNSSEC
DNSSEC funziona in modo simile a TLS/HTTPS, utilizzando coppie di chiavi pubbliche e private per firmare digitalmente i record DNS. Panoramica generale del processo:
I record DNS sono firmati con una coppia di chiavi privata-privata
Le risposte alle query DNSSEC contengono il record richiesto, nonché la firma e la chiave pubblica
Poi chiave pubblica utilizzato per confrontare l'autenticità di un documento e di una firma
Sicurezza DNS e DNSSEC
DNSSEC è uno strumento per verificare l'integrità delle query DNS. Non influisce sulla privacy DNS. In altre parole, DNSSEC può darti la certezza che la risposta alla tua query DNS non è stata manomessa, ma qualsiasi utente malintenzionato può vedere quei risultati così come ti sono stati inviati.
DoT: DNS su TLS
Transport Layer Security (TLS) è un protocollo crittografico per proteggere le informazioni trasmesse su una connessione di rete. Una volta stabilita una connessione TLS sicura tra il client e il server, i dati trasmessi vengono crittografati e nessun intermediario può vederli.
TLS più comunemente utilizzato come parte di HTTPS (SSL) nel browser Web poiché le richieste vengono inviate a server HTTP protetti.
DNS-over-TLS (DNS over TLS, DoT) utilizza il protocollo TLS per crittografare il traffico UDP delle normali richieste DNS.
La crittografia di queste richieste in testo semplice aiuta a proteggere gli utenti o le applicazioni che effettuano richieste da diversi attacchi.
MitM, ovvero "l'uomo nel mezzo": Senza crittografia, il sistema intermedio tra il client e il server DNS autorevole potrebbe potenzialmente inviare informazioni false o pericolose al client in risposta a una richiesta
Spionaggio e tracciamento: senza crittografare le richieste, è facile per i sistemi middleware vedere a quali siti accede un particolare utente o applicazione. Sebbene il DNS da solo non riveli la pagina specifica visitata su un sito web, è sufficiente conoscere i domini richiesti per creare il profilo di un sistema o di un individuo
DNS-over-HTTPS (DNS over HTTPS, DoH) è un protocollo sperimentale promosso congiuntamente da Mozilla e Google. I suoi obiettivi sono simili al protocollo DoT: migliorare la privacy delle persone online crittografando le richieste e le risposte DNS.
Le query DNS standard vengono inviate tramite UDP. Le richieste e le risposte possono essere monitorate utilizzando strumenti come Wireshark. DoT crittografa queste richieste, ma vengono comunque identificate come traffico UDP abbastanza distinto sulla rete.
DoH adotta un approccio diverso e invia richieste di risoluzione del nome host crittografate tramite connessioni HTTPS, che assomigliano a qualsiasi altra richiesta web sulla rete.
Questa differenza ha implicazioni molto importanti sia per gli amministratori di sistema che per il futuro della risoluzione dei nomi.
Il filtro DNS è un metodo comune per filtrare il traffico Web per proteggere gli utenti da attacchi di phishing, siti che distribuiscono malware o altre attività Internet potenzialmente dannose su una rete aziendale. Il protocollo DoH bypassa questi filtri, esponendo potenzialmente gli utenti e la rete a rischi maggiori.
Nell'attuale modello di risoluzione dei nomi, ogni dispositivo sulla rete riceve più o meno query DNS dalla stessa posizione (un server DNS specificato). DoH, e in particolare la sua implementazione da parte di Firefox, mostrano che ciò potrebbe cambiare in futuro. Ciascuna applicazione su un computer può ricevere dati da diverse origini DNS, rendendo la risoluzione dei problemi, la sicurezza e la modellazione dei rischi molto più complessi.
Qual è la differenza tra DNS su TLS e DNS su HTTPS?
Cominciamo con DNS su TLS (DoT). Il punto principale è che il protocollo DNS originale non viene modificato, ma viene semplicemente trasmesso in modo sicuro su un canale protetto. DoH, d'altra parte, inserisce il DNS in formato HTTP prima di effettuare richieste.
Avvisi di monitoraggio DNS
La capacità di monitorare in modo efficace il traffico DNS sulla rete per rilevare anomalie sospette è fondamentale per il rilevamento tempestivo di una violazione. L'utilizzo di uno strumento come Varonis Edge ti darà la possibilità di rimanere aggiornato su tutte le metriche importanti e di creare profili per ogni account sulla tua rete. È possibile configurare gli avvisi da generare come risultato di una combinazione di azioni che si verificano in un periodo di tempo specifico.
Il monitoraggio delle modifiche DNS, delle posizioni degli account, del primo utilizzo e dell'accesso ai dati sensibili e dell'attività fuori orario sono solo alcuni dei parametri che possono essere correlati per creare un quadro di rilevamento più ampio.