מדריך אבטחת DNS

מה שהחברה תעשה, אבטחה DNS צריך להיות חלק בלתי נפרד מתוכנית האבטחה שלו. שירותי שמות, הפותרים שמות מארחים לכתובות IP, משמשים כמעט כל יישום ושירות ברשת.

אם תוקף משיג שליטה ב-DNS של ארגון, הוא יכול בקלות:

• תן לעצמך שליטה על משאבים משותפים
• הפניית דואר אלקטרוני נכנסת כמו גם בקשות אינטרנט וניסיונות אימות
• ליצור ולאמת אישורי SSL/TLS

מדריך זה מסתכל על אבטחת DNS משתי זוויות:

1. ביצוע ניטור ובקרה מתמשכים על DNS
2. כיצד פרוטוקולי DNS חדשים כגון DNSSEC, DOH ו-DoT יכולים לעזור להגן על השלמות והסודיות של בקשות DNS המועברות

מהי אבטחת DNS?

הרעיון של אבטחת DNS כולל שני מרכיבים חשובים:

1. הבטחת השלמות והזמינות הכוללת של שירותי DNS הפותרים שמות מארחים לכתובות IP
2. עקוב אחר פעילות DNS כדי לזהות בעיות אבטחה אפשריות בכל מקום ברשת שלך

מדוע DNS פגיע להתקפות?

טכנולוגיית DNS נוצרה בימים הראשונים של האינטרנט, הרבה לפני שמישהו בכלל התחיל לחשוב על אבטחת רשת. DNS פועל ללא אימות או הצפנה, ומעבד באופן עיוור בקשות מכל משתמש.

בשל כך, ישנן דרכים רבות להונות את המשתמש ולזייף מידע על היכן מתבצעת למעשה פתרון השמות לכתובות IP.

אבטחת DNS: בעיות ורכיבים

אבטחת DNS מורכבת מכמה בסיסים רכיבים, שכל אחד מהם חייב להילקח בחשבון כדי להבטיח הגנה מלאה:

• חיזוק נהלי אבטחת שרתים וניהול: להגביר את רמת אבטחת השרת וליצור תבנית הפעלה סטנדרטית
• שיפורים בפרוטוקול: ליישם DNSSEC, DoT או DoH
• ניתוח ודיווח: הוסף יומן אירועי DNS למערכת ה-SIEM שלך להקשר נוסף בעת חקירת תקריות
• מודיעין סייבר וזיהוי איומים: הירשם לעדכון פעיל של מודיעין איומים
• אוטומציה: ליצור כמה שיותר סקריפטים כדי להפוך תהליכים לאוטומטיים

הרכיבים ברמה הגבוהה שהוזכרו לעיל הם רק קצה הקרחון של אבטחת ה-DNS. בסעיף הבא, נצלול למקרי שימוש ספציפיים יותר ושיטות עבודה מומלצות שאתה צריך לדעת עליהן.

התקפות DNS

• זיוף DNS או הרעלת מטמון: ניצול פגיעות מערכת כדי לתפעל את מטמון ה-DNS כדי להפנות משתמשים למיקום אחר
• מנהור DNS: משמש בעיקר כדי לעקוף הגנות חיבור מרחוק
• חטיפת DNS: הפניית תעבורת DNS רגילה לשרת DNS יעד אחר על ידי שינוי רשם הדומיינים
• התקפת NXDOMAIN: ביצוע התקפת DDoS על שרת DNS סמכותי על ידי שליחת שאילתות דומיין לא לגיטימיות כדי לקבל תגובה כפויה
• תחום פנטום: גורם לפותר ה-DNS להמתין לתגובה מדומיינים לא קיימים, וכתוצאה מכך ביצועים גרועים
• התקפה על תת-דומיין אקראי: מארחים ו-botnets שנפגעו משיקים התקפת DDoS על דומיין חוקי, אך ממקדים את האש שלהם בתת-דומיינים מזויפים כדי לאלץ את שרת ה-DNS לחפש רשומות ולהשתלט על השירות
• חסימת דומיין: שולח מספר תגובות ספאם כדי לחסום משאבי שרת DNS
• התקפת Botnet מציוד מנויים: אוסף של מחשבים, מודמים, נתבים והתקנים אחרים המרכזים כוח מחשוב באתר מסוים כדי להעמיס עליו בבקשות תנועה

התקפות DNS

התקפות שמשתמשות איכשהו ב-DNS כדי לתקוף מערכות אחרות (כלומר, שינוי רשומות DNS אינו המטרה הסופית):

• שטף מהיר
• רשתות שטף יחיד
• Double Flux Networks
• מנהור DNS

התקפות DNS

התקפות שגורמות לכך שכתובת ה-IP הדרושה לתוקף מוחזרת משרת ה-DNS:

• זיוף DNS או הרעלת מטמון
• חטיפת DNS

מה זה DNSSEC?

DNSSEC - Domain Name Service Security Engines - משמשים לאימות רשומות DNS מבלי צורך לדעת מידע כללי עבור כל בקשת DNS ספציפית.

DNSSEC משתמש במפתחות חתימה דיגיטלית (PKI) כדי לוודא אם התוצאות של שאילתת שם תחום הגיעו ממקור חוקי.
הטמעת DNSSEC היא לא רק שיטה מומלצת בתעשייה, אלא היא גם יעילה בהימנעות מרוב התקפות ה-DNS.

איך DNSSEC עובד

DNSSEC פועל בדומה ל-TLS/HTTPS, תוך שימוש בצמדי מפתחות ציבוריים ופרטיים כדי לחתום דיגיטלית על רשומות DNS. סקירה כללית של התהליך:

1. רשומות DNS חתומות עם זוג מפתחות פרטיים-פרטיים
2. תשובות לשאילתות DNSSEC מכילות את הרשומה המבוקשת וכן את החתימה והמפתח הציבורי
3. לאחר מכן מפתח ציבורי משמש להשוואת האותנטיות של רשומה וחתימה

אבטחת DNS ו-DNSSEC

DNSSEC הוא כלי לבדיקת תקינות שאילתות DNS. זה לא משפיע על פרטיות ה-DNS. במילים אחרות, DNSSEC יכול לתת לך ביטחון שהתשובה לשאילתת ה-DNS שלך לא טופלה, אבל כל תוקף יכול לראות את התוצאות האלה כשהן נשלחו אליך.

DoT - DNS על TLS

Transport Layer Security (TLS) הוא פרוטוקול קריפטוגרפי להגנה על מידע המועבר דרך חיבור רשת. ברגע שנוצר חיבור TLS מאובטח בין הלקוח לשרת, הנתונים המועברים מוצפנים ואף מתווך לא יכול לראות אותם.

TLS משמש לרוב כחלק מ-HTTPS (SSL) בדפדפן האינטרנט שלך מכיוון שבקשות נשלחות לשרתי HTTP מאובטחים.

DNS-over-TLS (DNS over TLS, DoT) משתמש בפרוטוקול TLS כדי להצפין את תעבורת UDP של בקשות DNS רגילות.
הצפנת בקשות אלה בטקסט רגיל עוזרת להגן על משתמשים או יישומים המגישים בקשות ממספר התקפות.

• MitM, או "אדם באמצע": ללא הצפנה, מערכת הביניים בין הלקוח לשרת ה-DNS הסמכותי עלולה לשלוח מידע שקרי או מסוכן ללקוח בתגובה לבקשה
• ריגול ומעקב: ללא הצפנת בקשות, קל למערכות תווך לראות לאילו אתרים משתמש או אפליקציה מסוימים ניגשים. למרות שה-DNS לבדו לא יחשוף את הדף הספציפי שבו מבקרים באתר, מספיקה ידיעת הדומיינים המבוקשים כדי ליצור פרופיל של מערכת או אדם פרטי

מקור: אוניברסיטת קליפורניה באירווין

DoH - DNS על HTTPS

DNS-over-HTTPS (DNS over HTTPS, DoH) הוא פרוטוקול ניסיוני המקודם במשותף על ידי מוזילה וגוגל. המטרות שלו דומות לפרוטוקול DoT - שיפור הפרטיות של אנשים באינטרנט על ידי הצפנת בקשות ותגובות DNS.

שאילתות DNS סטנדרטיות נשלחות דרך UDP. ניתן לעקוב אחר בקשות ותגובות באמצעות כלים כגון Wireshark. DoT מצפין בקשות אלו, אך הן עדיין מזוהות כתעבורת UDP די ברורה ברשת.

DoH נוקט בגישה שונה ושולח בקשות לפתרון שם מארח מוצפן דרך חיבורי HTTPS, שנראים כמו כל בקשת אינטרנט אחרת ברשת.

להבדל זה יש השלכות חשובות מאוד הן על מנהלי המערכת והן על עתיד פתרון השמות.

1. סינון DNS הוא דרך נפוצה לסנן תעבורת אינטרנט כדי להגן על משתמשים מפני התקפות דיוג, אתרים שמפיצים תוכנות זדוניות או פעילות אחרת באינטרנט שעלולה להזיק ברשת ארגונית. פרוטוקול ה-DoH עוקף את המסננים הללו, ועלול לחשוף את המשתמשים ואת הרשת לסיכון גדול יותר.
2. במודל רזולוציית השם הנוכחי, כל מכשיר ברשת מקבל פחות או יותר שאילתות DNS מאותו מיקום (שרת DNS מוגדר). DoH, ובפרט היישום של Firefox שלו, מראה שזה עשוי להשתנות בעתיד. כל יישום במחשב עשוי לקבל נתונים ממקורות DNS שונים, מה שהופך את פתרון הבעיות, האבטחה ומודל סיכונים להרבה יותר מורכבים.

מקור: www.varonis.com/blog/what-is-powershell

מה ההבדל בין DNS על TLS ל-DNS על HTTPS?

נתחיל עם DNS על TLS (DoT). הנקודה העיקרית כאן היא שפרוטוקול ה-DNS המקורי לא משתנה, אלא פשוט מועבר בצורה מאובטחת בערוץ מאובטח. DoH, לעומת זאת, מכניס DNS לפורמט HTTP לפני ביצוע בקשות.

התראות ניטור DNS

היכולת לנטר ביעילות את תעבורת ה-DNS ברשת שלך לאיתור חריגות חשודות היא קריטית לזיהוי מוקדם של הפרה. שימוש בכלי כמו Varonis Edge ייתן לך את היכולת להישאר מעודכן בכל המדדים החשובים וליצור פרופילים עבור כל חשבון ברשת שלך. אתה יכול להגדיר התראות שייווצרו כתוצאה משילוב של פעולות המתרחשות על פני פרק זמן מסוים.

ניטור שינויים ב-DNS, מיקומי חשבון, שימוש ראשון וגישה לנתונים רגישים ופעילות לאחר שעות העבודה הם רק כמה מדדים שניתן לתאם כדי לבנות תמונת זיהוי רחבה יותר.

מקור: www.habr.com