Ngawasi aktivitas DNS kanggo ngenali masalah keamanan ing ngendi wae ing jaringan sampeyan
Napa DNS rentan kanggo serangan?
Teknologi DNS digawe nalika wiwitan Internet, sadurunge ana wong sing mikir babagan keamanan jaringan. DNS beroperasi tanpa otentikasi utawa enkripsi, kanthi wuta ngolah panjaluk saka pangguna apa wae.
Amarga iki, ana akeh cara kanggo ngapusi pangguna lan ngapusi informasi babagan ing ngendi resolusi jeneng menyang alamat IP bener-bener kedadeyan.
Keamanan DNS: Masalah lan Komponen
Keamanan DNS kalebu sawetara dhasar komponen, saben-saben kudu digatekake kanggo njamin perlindungan lengkap:
Nguatake keamanan server lan prosedur manajemen: nambah tingkat keamanan server lan nggawe cithakan commissioning standar
Peningkatan protokol: ngleksanakake DNSSEC, DoT utawa DoH
Analisis lan laporan: tambahake log acara DNS menyang sistem SIEM kanggo konteks tambahan nalika nyelidiki kedadeyan
Intelijen Siber lan Deteksi Ancaman: langganan feed Intelligence ancaman aktif
otomatisasi: nggawe akeh script sabisa kanggo ngotomatisasi pangolahan
Komponen tingkat dhuwur sing kasebut ing ndhuwur mung pucuk gunung es keamanan DNS. Ing bagean sabanjure, kita bakal nliti kasus panggunaan sing luwih spesifik lan praktik paling apik sing sampeyan kudu ngerti.
serangan DNS
DNS spoofing utawa keracunan cache: ngeksploitasi kerentanan sistem kanggo ngapusi cache DNS kanggo pangalihan pangguna menyang lokasi liya
DNS tunneling: utamane digunakake kanggo ngliwati proteksi sambungan remot
Pembajakan DNS: ngarahake lalu lintas DNS normal menyang server DNS target sing beda kanthi ngganti registrar domain
Serangan NXDOMAIN: nindakake serangan DDoS ing server DNS sing otoritatif kanthi ngirim pitakon domain sing ora sah kanggo entuk tanggapan sing dipeksa
domain phantom: nyebabake solver DNS ngenteni respon saka domain sing ora ana, nyebabake kinerja sing ora apik
serangan ing subdomain acak: host lan botnet sing kompromi ngluncurake serangan DDoS ing domain sing bener, nanging fokusake geni ing subdomain palsu kanggo meksa server DNS nggoleki rekaman lan njupuk alih kontrol layanan kasebut.
pamblokiran domain: ngirim sawetara respon spam kanggo mblokir sumber daya server DNS
Serangan botnet saka peralatan pelanggan: koleksi komputer, modem, router lan piranti liyane sing konsentrasi daya komputasi ing situs web tartamtu kanggo kakehan karo panjalukan lalu lintas.
serangan DNS
Serangan sing piye wae nggunakake DNS kanggo nyerang sistem liyane (yaiku ngganti cathetan DNS dudu tujuan pungkasan):
Serangan sing nyebabake alamat IP sing dibutuhake dening panyerang bali saka server DNS:
DNS spoofing utawa keracunan cache
Pembajakan DNS
Apa DNSSEC?
DNSSEC - Mesin Keamanan Layanan Jeneng Domain - digunakake kanggo validasi cathetan DNS tanpa perlu ngerti informasi umum kanggo saben panjalukan DNS tartamtu.
DNSSEC nggunakake Digital Signature Keys (PKIs) kanggo verifikasi apa asil pitakon jeneng domain teka saka sumber sing bener.
Ngleksanakake DNSSEC ora mung praktik paling apik ing industri, nanging uga efektif kanggo nyegah serangan DNS.
Cara kerja DNSSEC
DNSSEC kerjane padha karo TLS/HTTPS, nggunakake pasangan kunci umum lan pribadi kanggo mlebu cathetan DNS kanthi digital. Gambaran umum saka proses:
Cathetan DNS ditandatangani nganggo pasangan kunci pribadi-pribadi
Tanggapan pitakon DNSSEC ngemot rekaman sing dijaluk uga tanda tangan lan kunci umum
banjur kunci umum digunakake kanggo mbandhingake keaslian rekaman lan teken
Keamanan DNS lan DNSSEC
DNSSEC minangka alat kanggo mriksa integritas pitakon DNS. Ora mengaruhi privasi DNS. Kanthi tembung liyane, DNSSEC bisa menehi kapercayan manawa jawaban kanggo pitakon DNS sampeyan ora diganggu, nanging panyerang bisa ndeleng asil kasebut nalika dikirim menyang sampeyan.
DoT - DNS liwat TLS
Transport Layer Security (TLS) minangka protokol kriptografi kanggo nglindhungi informasi sing dikirim liwat sambungan jaringan. Sawise sambungan TLS sing aman ditetepake ing antarane klien lan server, data sing dikirim bakal dienkripsi lan ora ana perantara sing bisa ndeleng.
DNS-over-TLS (DNS over TLS, DoT) nggunakake protokol TLS kanggo ngenkripsi lalu lintas UDP saka panjalukan DNS biasa.
Enkripsi panjaluk kasebut ing teks biasa mbantu nglindhungi pangguna utawa aplikasi sing nggawe panjaluk saka sawetara serangan.
MitM, utawa "wong ing tengah": Tanpa enkripsi, sistem penengah antarane klien lan server DNS sing otoritatif bisa ngirim informasi palsu utawa mbebayani marang klien kanggo nanggepi panjaluk.
Spionase lan nelusuri: Tanpa panjalukan enkripsi, sistem middleware gampang kanggo ndeleng situs sing diakses pangguna utawa aplikasi tartamtu. Sanajan DNS mung ora bakal mbukak kaca tartamtu sing dibukak ing situs web, mung ngerti domain sing dijaluk cukup kanggo nggawe profil sistem utawa individu.
DNS-over-HTTPS (DNS over HTTPS, DoH) minangka protokol eksperimen sing dipromosekake bebarengan dening Mozilla lan Google. Tujuane padha karo protokol DoT β nambah privasi wong kanthi online kanthi ngenkripsi panjalukan lan tanggapan DNS.
DoH njupuk pendekatan sing beda lan ngirim panjalukan resolusi jeneng host sing dienkripsi liwat sambungan HTTPS, sing katon kaya panjalukan web liyane liwat jaringan.
Bentenane iki nduweni implikasi sing penting banget kanggo administrator sistem lan kanggo resolusi jeneng ing mangsa ngarep.
Nyaring DNS minangka cara umum kanggo nyaring lalu lintas web kanggo nglindhungi pangguna saka serangan phishing, situs sing nyebarake malware, utawa aktivitas Internet liyane sing bisa mbebayani ing jaringan perusahaan. Protokol DoH ngliwati saringan kasebut, sing bisa nyebabake pangguna lan jaringan kanthi resiko sing luwih gedhe.
Ing model resolusi jeneng saiki, saben piranti ing jaringan kurang luwih nampa pitakon DNS saka lokasi sing padha (server DNS sing ditemtokake). DoH, lan utamane implementasine Firefox, nuduhake yen iki bisa uga owah ing mangsa ngarep. Saben aplikasi ing komputer bisa nampa data saka macem-macem sumber DNS, nggawe pemecahan masalah, keamanan, lan modeling resiko dadi luwih rumit.
Ayo miwiti nganggo DNS liwat TLS (DoT). Titik utama ing kene yaiku protokol DNS asli ora diganti, nanging mung dikirim kanthi aman liwat saluran sing aman. DoH, ing tangan liyane, sijine DNS menyang format HTTP sadurunge nggawe panjalukan.
Tandha ngawasi DNS
Kemampuan kanggo ngawasi lalu lintas DNS kanthi efektif ing jaringan kanggo anomali sing curiga penting banget kanggo deteksi awal pelanggaran. Nggunakake alat kaya Varonis Edge bakal menehi sampeyan kemampuan kanggo tetep ing ndhuwur kabeh metrik penting lan nggawe profil kanggo saben akun ing jaringan. Sampeyan bisa ngonfigurasi tandha supaya bisa digawe minangka asil kombinasi tumindak sing kedadeyan sajrone wektu tartamtu.
Ngawasi owah-owahan DNS, lokasi akun, panggunaan pisanan lan akses menyang data sensitif, lan kegiatan sawise jam mung sawetara metrik sing bisa disambungake kanggo mbangun gambar deteksi sing luwih jembar.