Pandhuan Keamanan DNS

Apa wae sing ditindakake perusahaan, keamanan DNS kudu dadi bagéan integral saka rencana keamanan sawijining. Layanan jeneng, sing ngrampungake jeneng host menyang alamat IP, digunakake dening meh kabeh aplikasi lan layanan ing jaringan.

Yen panyerang entuk kontrol DNS organisasi, dheweke bisa kanthi gampang:

• menehi dhewe kontrol liwat sumber daya bareng
• pangalihan email sing mlebu uga panjalukan web lan upaya otentikasi
• nggawe lan validasi sertifikat SSL / TLS

Pandhuan iki ndeleng keamanan DNS saka rong sudut:

1. Nindakake pemantauan terus-terusan lan kontrol DNS
2. Kepiye protokol DNS anyar kayata DNSSEC, DOH lan DoT bisa mbantu nglindhungi integritas lan rahasia panjaluk DNS sing dikirim

Apa keamanan DNS?

Konsep keamanan DNS kalebu rong komponen penting:

1. Njamin integritas sakabèhé lan kasedhiyan layanan DNS sing mutusake jeneng host menyang alamat IP
2. Ngawasi aktivitas DNS kanggo ngenali masalah keamanan ing ngendi wae ing jaringan sampeyan

Napa DNS rentan kanggo serangan?

Teknologi DNS digawe nalika wiwitan Internet, sadurunge ana wong sing mikir babagan keamanan jaringan. DNS beroperasi tanpa otentikasi utawa enkripsi, kanthi wuta ngolah panjaluk saka pangguna apa wae.

Amarga iki, ana akeh cara kanggo ngapusi pangguna lan ngapusi informasi babagan ing ngendi resolusi jeneng menyang alamat IP bener-bener kedadeyan.

Keamanan DNS: Masalah lan Komponen

Keamanan DNS kalebu sawetara dhasar komponen, saben-saben kudu digatekake kanggo njamin perlindungan lengkap:

• Nguatake keamanan server lan prosedur manajemen: nambah tingkat keamanan server lan nggawe cithakan commissioning standar
• Peningkatan protokol: ngleksanakake DNSSEC, DoT utawa DoH
• Analisis lan laporan: tambahake log acara DNS menyang sistem SIEM kanggo konteks tambahan nalika nyelidiki kedadeyan
• Intelijen Siber lan Deteksi Ancaman: langganan feed Intelligence ancaman aktif
• otomatisasi: nggawe akeh script sabisa kanggo ngotomatisasi pangolahan

Komponen tingkat dhuwur sing kasebut ing ndhuwur mung pucuk gunung es keamanan DNS. Ing bagean sabanjure, kita bakal nliti kasus panggunaan sing luwih spesifik lan praktik paling apik sing sampeyan kudu ngerti.

serangan DNS

• DNS spoofing utawa keracunan cache: ngeksploitasi kerentanan sistem kanggo ngapusi cache DNS kanggo pangalihan pangguna menyang lokasi liya
• DNS tunneling: utamane digunakake kanggo ngliwati proteksi sambungan remot
• Pembajakan DNS: ngarahake lalu lintas DNS normal menyang server DNS target sing beda kanthi ngganti registrar domain
• Serangan NXDOMAIN: nindakake serangan DDoS ing server DNS sing otoritatif kanthi ngirim pitakon domain sing ora sah kanggo entuk tanggapan sing dipeksa
• domain phantom: nyebabake solver DNS ngenteni respon saka domain sing ora ana, nyebabake kinerja sing ora apik
• serangan ing subdomain acak: host lan botnet sing kompromi ngluncurake serangan DDoS ing domain sing bener, nanging fokusake geni ing subdomain palsu kanggo meksa server DNS nggoleki rekaman lan njupuk alih kontrol layanan kasebut.
• pamblokiran domain: ngirim sawetara respon spam kanggo mblokir sumber daya server DNS
• Serangan botnet saka peralatan pelanggan: koleksi komputer, modem, router lan piranti liyane sing konsentrasi daya komputasi ing situs web tartamtu kanggo kakehan karo panjalukan lalu lintas.

serangan DNS

Serangan sing piye wae nggunakake DNS kanggo nyerang sistem liyane (yaiku ngganti cathetan DNS dudu tujuan pungkasan):

• Fast-Flux
• Jaringan Fluks Tunggal
• Jaringan Fluks Ganda
• DNS tunneling

serangan DNS

Serangan sing nyebabake alamat IP sing dibutuhake dening panyerang bali saka server DNS:

• DNS spoofing utawa keracunan cache
• Pembajakan DNS

Apa DNSSEC?

DNSSEC - Mesin Keamanan Layanan Jeneng Domain - digunakake kanggo validasi cathetan DNS tanpa perlu ngerti informasi umum kanggo saben panjalukan DNS tartamtu.

DNSSEC nggunakake Digital Signature Keys (PKIs) kanggo verifikasi apa asil pitakon jeneng domain teka saka sumber sing bener.
Ngleksanakake DNSSEC ora mung praktik paling apik ing industri, nanging uga efektif kanggo nyegah serangan DNS.

Cara kerja DNSSEC

DNSSEC kerjane padha karo TLS/HTTPS, nggunakake pasangan kunci umum lan pribadi kanggo mlebu cathetan DNS kanthi digital. Gambaran umum saka proses:

1. Cathetan DNS ditandatangani nganggo pasangan kunci pribadi-pribadi
2. Tanggapan pitakon DNSSEC ngemot rekaman sing dijaluk uga tanda tangan lan kunci umum
3. banjur kunci umum digunakake kanggo mbandhingake keaslian rekaman lan teken

Keamanan DNS lan DNSSEC

DNSSEC minangka alat kanggo mriksa integritas pitakon DNS. Ora mengaruhi privasi DNS. Kanthi tembung liyane, DNSSEC bisa menehi kapercayan manawa jawaban kanggo pitakon DNS sampeyan ora diganggu, nanging panyerang bisa ndeleng asil kasebut nalika dikirim menyang sampeyan.

DoT - DNS liwat TLS

Transport Layer Security (TLS) minangka protokol kriptografi kanggo nglindhungi informasi sing dikirim liwat sambungan jaringan. Sawise sambungan TLS sing aman ditetepake ing antarane klien lan server, data sing dikirim bakal dienkripsi lan ora ana perantara sing bisa ndeleng.

TLS paling umum digunakake minangka bagéan saka HTTPS (SSL) ing browser web amarga panjalukan dikirim kanggo ngamanake server HTTP.

DNS-over-TLS (DNS over TLS, DoT) nggunakake protokol TLS kanggo ngenkripsi lalu lintas UDP saka panjalukan DNS biasa.
Enkripsi panjaluk kasebut ing teks biasa mbantu nglindhungi pangguna utawa aplikasi sing nggawe panjaluk saka sawetara serangan.

• MitM, utawa "wong ing tengah": Tanpa enkripsi, sistem penengah antarane klien lan server DNS sing otoritatif bisa ngirim informasi palsu utawa mbebayani marang klien kanggo nanggepi panjaluk.
• Spionase lan nelusuri: Tanpa panjalukan enkripsi, sistem middleware gampang kanggo ndeleng situs sing diakses pangguna utawa aplikasi tartamtu. Sanajan DNS mung ora bakal mbukak kaca tartamtu sing dibukak ing situs web, mung ngerti domain sing dijaluk cukup kanggo nggawe profil sistem utawa individu.

Source: Universitas California Irvine

DoH - DNS liwat HTTPS

DNS-over-HTTPS (DNS over HTTPS, DoH) minangka protokol eksperimen sing dipromosekake bebarengan dening Mozilla lan Google. Tujuane padha karo protokol DoT — nambah privasi wong kanthi online kanthi ngenkripsi panjalukan lan tanggapan DNS.

Pitakon DNS standar dikirim liwat UDP. Panjaluk lan tanggapan bisa dilacak nggunakake piranti kayata Wireshark. DoT ngenkripsi panjalukan kasebut, nanging isih diidentifikasi minangka lalu lintas UDP sing cukup béda ing jaringan kasebut.

DoH njupuk pendekatan sing beda lan ngirim panjalukan resolusi jeneng host sing dienkripsi liwat sambungan HTTPS, sing katon kaya panjalukan web liyane liwat jaringan.

Bentenane iki nduweni implikasi sing penting banget kanggo administrator sistem lan kanggo resolusi jeneng ing mangsa ngarep.

1. Nyaring DNS minangka cara umum kanggo nyaring lalu lintas web kanggo nglindhungi pangguna saka serangan phishing, situs sing nyebarake malware, utawa aktivitas Internet liyane sing bisa mbebayani ing jaringan perusahaan. Protokol DoH ngliwati saringan kasebut, sing bisa nyebabake pangguna lan jaringan kanthi resiko sing luwih gedhe.
2. Ing model resolusi jeneng saiki, saben piranti ing jaringan kurang luwih nampa pitakon DNS saka lokasi sing padha (server DNS sing ditemtokake). DoH, lan utamane implementasine Firefox, nuduhake yen iki bisa uga owah ing mangsa ngarep. Saben aplikasi ing komputer bisa nampa data saka macem-macem sumber DNS, nggawe pemecahan masalah, keamanan, lan modeling resiko dadi luwih rumit.

Source: www.varonis.com/blog/what-is-powershell

Apa bedane DNS liwat TLS lan DNS liwat HTTPS?

Ayo miwiti nganggo DNS liwat TLS (DoT). Titik utama ing kene yaiku protokol DNS asli ora diganti, nanging mung dikirim kanthi aman liwat saluran sing aman. DoH, ing tangan liyane, sijine DNS menyang format HTTP sadurunge nggawe panjalukan.

Tandha ngawasi DNS

Kemampuan kanggo ngawasi lalu lintas DNS kanthi efektif ing jaringan kanggo anomali sing curiga penting banget kanggo deteksi awal pelanggaran. Nggunakake alat kaya Varonis Edge bakal menehi sampeyan kemampuan kanggo tetep ing ndhuwur kabeh metrik penting lan nggawe profil kanggo saben akun ing jaringan. Sampeyan bisa ngonfigurasi tandha supaya bisa digawe minangka asil kombinasi tumindak sing kedadeyan sajrone wektu tartamtu.

Ngawasi owah-owahan DNS, lokasi akun, panggunaan pisanan lan akses menyang data sensitif, lan kegiatan sawise jam mung sawetara metrik sing bisa disambungake kanggo mbangun gambar deteksi sing luwih jembar.

Source: www.habr.com