DNSセキュリティガイド

企業が何をするにしても、セキュリティは DNS セキュリティ計画の不可欠な部分である必要があります。 ホスト名を IP アドレスに解決するネーム サービスは、ネットワーク上の事実上すべてのアプリケーションとサービスで使用されます。

攻撃者が組織の DNS を制御できるようになると、次のことが簡単に実行できます。

• 共有リソースを自分で制御できるようにする
• 受信メール、Web リクエスト、認証試行をリダイレクトします。
• SSL/TLS 証明書を作成および検証する

このガイドでは、DNS セキュリティを XNUMX つの角度から考察します。

1. DNS を介した継続的な監視と制御の実行
2. DNSSEC、DOH、DoT などの新しい DNS プロトコルが送信された DNS リクエストの整合性と機密性を保護する方法

DNSセキュリティとは何ですか?

DNS セキュリティの概念には、次の XNUMX つの重要なコンポーネントが含まれています。

1. ホスト名を IP アドレスに解決する DNS サービスの全体的な整合性と可用性を確保する
2. DNS アクティビティを監視して、ネットワーク上のあらゆる場所で発生する可能性のあるセキュリティ問題を特定します

DNS が攻撃に対して脆弱なのはなぜですか?

DNS テクノロジーは、ネットワーク セキュリティについて誰もが考え始めるずっと前の、インターネットの初期に作成されました。 DNS は認証や暗号化を行わずに動作し、ユーザーからのリクエストを盲目的に処理します。

このため、ユーザーを欺き、名前から IP アドレスへの解決が実際に行われる場所に関する情報を改ざんするさまざまな方法が存在します。

DNS セキュリティ: 問題とコンポーネント

DNS セキュリティはいくつかの基本的な要素で構成されます コンポーネント完全な保護を確保するには、それぞれを考慮する必要があります。

• サーバーのセキュリティと管理手順の強化: サーバーセキュリティのレベルを高め、標準のコミッショニングテンプレートを作成します
• プロトコルの改善: DNSSEC、DoT、または DoH を実装する
• 分析とレポート: インシデントを調査する際に追加のコンテキストを得るために、DNS イベント ログを SIEM システムに追加します。
• サイバーインテリジェンスと脅威の検出: アクティブな脅威インテリジェンス フィードを購読する
• オートメーション： プロセスを自動化するためにできるだけ多くのスクリプトを作成する

上記の高レベルのコンポーネントは、DNS セキュリティの氷山の一角にすぎません。 次のセクションでは、知っておくべきより具体的な使用例とベスト プラクティスについて詳しく説明します。

DNS攻撃

• DNSスプーフィングまたはキャッシュポイズニング: システムの脆弱性を悪用して DNS キャッシュを操作し、ユーザーを別の場所にリダイレクトする
• DNSトンネリング: 主にリモート接続保護をバイパスするために使用されます
• DNSハイジャック: ドメイン レジストラを変更することにより、通常の DNS トラフィックを別のターゲット DNS サーバーにリダイレクトする
• NXDOMAIN 攻撃: 強制的な応答を取得するために不正なドメイン クエリを送信することにより、権威ある DNS サーバーに対して DDoS 攻撃を実行する
• ファントム ドメイン: DNS リゾルバーが存在しないドメインからの応答を待機することになり、パフォーマンスが低下します。
• ランダムなサブドメインへの攻撃: 侵害されたホストとボットネットは有効なドメインに対して DDoS 攻撃を開始しますが、攻撃の焦点を偽のサブドメインに集中させて、DNS サーバーにレコードの検索を強制し、サービスの制御を引き継ぎます。
• ドメインのブロック: DNS サーバー リソースをブロックするために複数のスパム応答を送信しています
• 加入者機器からのボットネット攻撃: 特定の Web サイトにコンピューティング能力を集中させてトラフィック要求で過負荷にする、コンピューター、モデム、ルーター、その他のデバイスの集合

DNS攻撃

何らかの方法で DNS を使用して他のシステムを攻撃する攻撃 (つまり、DNS レコードの変更が最終目標ではありません):

• ファストフラックス
• シングルフラックスネットワーク
• ダブルフラックスネットワーク
• DNSトンネリング

DNS攻撃

攻撃者が必要とする IP アドレスが DNS サーバーから返される攻撃:

• DNSスプーフィングまたはキャッシュポイズニング
• DNSハイジャック

DNSSECとは何ですか?

DNSSEC (ドメイン ネーム サービス セキュリティ エンジン) は、特定の DNS 要求ごとに一般的な情報を知る必要がなく、DNS レコードを検証するために使用されます。

DNSSEC は、デジタル署名キー (PKI) を使用して、ドメイン名クエリの結果が有効なソースからのものであるかどうかを検証します。
DNSSEC の実装は業界のベスト プラクティスであるだけでなく、ほとんどの DNS 攻撃を回避するのにも効果的です。

DNSSEC の仕組み

DNSSEC は TLS/HTTPS と同様に機能し、公開キーと秘密キーのペアを使用して DNS レコードにデジタル署名します。 プロセスの一般的な概要:

1. DNS レコードは秘密鍵と秘密鍵のペアで署名されます
2. DNSSEC クエリに対する応答には、要求されたレコード、署名、公開キーが含まれます。
3. その後 公開鍵 記録と署名の信頼性を比較するために使用されます

DNS と DNSSEC のセキュリティ

DNSSEC は、DNS クエリの整合性をチェックするためのツールです。 DNS プライバシーには影響しません。 言い換えれば、DNSSEC を使用すると、DNS クエリに対する答えが改ざんされていないという確信が得られますが、攻撃者は送信された結果を誰でも見ることができます。

DoT - DNS over TLS

Transport Layer Security (TLS) は、ネットワーク接続を介して送信される情報を保護するための暗号化プロトコルです。 クライアントとサーバー間で安全な TLS 接続が確立されると、送信されたデータは暗号化され、仲介者はそのデータを見ることができなくなります。

TLS リクエストは安全な HTTP サーバーに送信されるため、Web ブラウザの HTTPS (SSL) の一部として最も一般的に使用されます。

DNS-over-TLS (DNS over TLS、DoT) は、TLS プロトコルを使用して、通常の DNS 要求の UDP トラフィックを暗号化します。
これらのリクエストをプレーン テキストで暗号化すると、リクエストを行うユーザーやアプリケーションをさまざまな攻撃から保護できます。

• MitM、または「中間者」: 暗号化を行わないと、クライアントと権威 DNS サーバーの間の中間システムが、リクエストに応じて誤った情報や危険な情報をクライアントに送信する可能性があります。
• スパイ活動と追跡: リクエストを暗号化しないと、ミドルウェア システムは特定のユーザーまたはアプリケーションがどのサイトにアクセスしているかを簡単に確認できます。 DNS だけでは Web サイト上でアクセスされている特定のページを明らかにすることはできませんが、要求されたドメインを知るだけで、システムまたは個人のプロファイルを作成するのに十分です。

出所： カリフォルニア大学アーバイン校

DoH - DNS over HTTPS

DNS-over-HTTPS (DNS over HTTPS、DoH) は、Mozilla と Google が共同で推進する実験的なプロトコルです。 その目標は DoT プロトコルと似ており、DNS リクエストと応答を暗号化することでオンラインでの人々のプライバシーを強化します。

標準の DNS クエリは UDP 経由で送信されます。 リクエストとレスポンスは、次のようなツールを使用して追跡できます。 Wiresharkの。 DoT はこれらのリクエストを暗号化しますが、ネットワーク上では依然としてかなり異なる UDP トラフィックとして識別されます。

DoH は異なるアプローチを採用し、暗号化されたホスト名解決リクエストを HTTPS 接続経由で送信します。これは、ネットワーク上の他の Web リクエストと同じように見えます。

この違いは、システム管理者と名前解決の将来の両方にとって非常に重要な意味を持ちます。

1. DNS フィルタリングは、企業ネットワーク上のフィッシング攻撃、マルウェアを配布するサイト、またはその他の潜在的に有害なインターネット活動からユーザーを保護するために、Web トラフィックをフィルタリングする一般的な方法です。 DoH プロトコルはこれらのフィルターをバイパスするため、ユーザーとネットワークがより大きなリスクにさらされる可能性があります。
2. 現在の名前解決モデルでは、ネットワーク上のすべてのデバイスが多かれ少なかれ同じ場所 (指定された DNS サーバー) から DNS クエリを受信します。 DoH、特に Firefox の実装は、これが将来変更される可能性があることを示しています。 コンピューター上の各アプリケーションはさまざまな DNS ソースからデータを受信する可能性があるため、トラブルシューティング、セキュリティ、リスク モデリングがはるかに複雑になります。

出所： www.varonis.com/blog/what-is-powershell

DNS over TLS と DNS over HTTPS の違いは何ですか?

DNS over TLS (DoT) から始めましょう。 ここでの重要な点は、元の DNS プロトコルは変更されず、安全なチャネルを通じて安全に送信されるだけであるということです。 一方、DoH は、リクエストを行う前に DNS を HTTP 形式に変換します。

DNS監視アラート

ネットワーク上の DNS トラフィックを効果的に監視して疑わしい異常がないか確認する機能は、侵害を早期に検出するために重要です。 Varonis Edge のようなツールを使用すると、すべての重要なメトリクスを常に把握し、ネットワーク上のすべてのアカウントのプロファイルを作成できます。 特定の期間に発生するアクションの組み合わせの結果としてアラートが生成されるように構成できます。

DNS の変更、アカウントの場所、機密データへの初回使用とアクセス、営業時間外のアクティビティのモニタリングは、より広範な検出状況を構築するために相互に関連付けることができる指標のほんの一部です。

出所： habr.com