DNS უსაფრთხოების სახელმძღვანელო

რასაც კომპანია აკეთებს, უსაფრთხოება DNS უნდა იყოს მისი უსაფრთხოების გეგმის განუყოფელი ნაწილი. სახელების სერვისები, რომლებიც გადაჭრის ჰოსტის სახელებს IP მისამართებზე, გამოიყენება ქსელის პრაქტიკულად ყველა აპლიკაციისა და სერვისის მიერ.

თუ თავდამსხმელი მოიპოვებს კონტროლს ორგანიზაციის DNS-ზე, მას ადვილად შეუძლია:

• მიეცით საკუთარ თავს კონტროლი საერთო რესურსებზე
• შემომავალი ელფოსტის გადამისამართება, ასევე ვებ მოთხოვნები და ავთენტიფიკაციის მცდელობები
• SSL/TLS სერთიფიკატების შექმნა და შემოწმება

ეს სახელმძღვანელო უყურებს DNS უსაფრთხოებას ორი კუთხით:

1. DNS-ზე უწყვეტი მონიტორინგისა და კონტროლის განხორციელება
2. როგორ დაგვეხმარება ახალი DNS პროტოკოლები, როგორიცაა DNSSEC, DOH და DoT, დაიცვან გადაცემული DNS მოთხოვნების მთლიანობა და კონფიდენციალურობა

რა არის DNS უსაფრთხოება?

DNS უსაფრთხოების კონცეფცია მოიცავს ორ მნიშვნელოვან კომპონენტს:

1. DNS სერვისების საერთო მთლიანობისა და ხელმისაწვდომობის უზრუნველყოფა, რომლებიც წყვეტენ ჰოსტის სახელებს IP მისამართებზე
2. აკონტროლეთ DNS აქტივობა, რათა დაადგინოთ უსაფრთხოების შესაძლო პრობლემები თქვენს ქსელში ნებისმიერ ადგილას

რატომ არის DNS დაუცველი შეტევების მიმართ?

DNS ტექნოლოგია შეიქმნა ინტერნეტის ადრეულ დღეებში, ბევრად ადრე, ვიდრე ვინმეს არ დაეწყო ფიქრი ქსელის უსაფრთხოებაზე. DNS მუშაობს ავთენტიფიკაციის ან დაშიფვრის გარეშე, ბრმად ამუშავებს ნებისმიერი მომხმარებლის მოთხოვნებს.

ამის გამო მომხმარებლის მოტყუებისა და ინფორმაციის გაყალბების მრავალი გზა არსებობს იმის შესახებ, თუ სად ხდება რეალურად სახელების გადაწყვეტა IP მისამართებზე.

DNS უსაფრთხოება: საკითხები და კომპონენტები

DNS უსაფრთხოება შედგება რამდენიმე ძირითადისგან კომპონენტები, რომელთაგან თითოეული უნდა იქნას გათვალისწინებული სრული დაცვის უზრუნველსაყოფად:

• სერვერის უსაფრთხოებისა და მართვის პროცედურების გაძლიერება: გაზარდეთ სერვერის უსაფრთხოების დონე და შექმენით სტანდარტული ექსპლუატაციის შაბლონი
• პროტოკოლის გაუმჯობესება: განახორციელეთ DNSSEC, DoT ან DoH
• ანალიტიკა და მოხსენება: დაამატეთ DNS მოვლენების ჟურნალი თქვენს SIEM სისტემაში დამატებითი კონტექსტისთვის ინციდენტების გამოძიებისას
• კიბერ დაზვერვა და საფრთხეების გამოვლენა: გამოიწერეთ აქტიური საფრთხის დაზვერვის არხი
• ავტომატიზაცია: შექმენით რაც შეიძლება მეტი სკრიპტი პროცესების ავტომატიზაციისთვის

ზემოაღნიშნული მაღალი დონის კომპონენტები მხოლოდ DNS უსაფრთხოების აისბერგის მწვერვალია. შემდეგ განყოფილებაში ჩვენ განვიხილავთ გამოყენების უფრო კონკრეტულ შემთხვევებს და საუკეთესო პრაქტიკებს, რომელთა შესახებაც უნდა იცოდეთ.

DNS შეტევები

• DNS გაყალბება ან ქეშის მოწამვლა: იყენებს სისტემის დაუცველობას DNS ქეშის მანიპულირებისთვის მომხმარებლების სხვა ადგილას გადამისამართებისთვის
• DNS გვირაბი: ძირითადად გამოიყენება დისტანციური კავშირის დაცვის გვერდის ავლით
• DNS გატაცება: ნორმალური DNS ტრაფიკის გადამისამართება სხვა სამიზნე DNS სერვერზე დომენის რეგისტრატორის შეცვლით
• NXDOMAIN შეტევა: ავტორიტეტულ DNS სერვერზე DDoS შეტევის განხორციელება დომენის არალეგიტიმური მოთხოვნების გაგზავნით იძულებითი პასუხის მისაღებად
• ფანტომური დომენი: იწვევს DNS გადამწყვეტს დაელოდება პასუხს არარსებული დომენებიდან, რაც იწვევს ცუდ შესრულებას
• შეტევა შემთხვევით ქვედომენზე: კომპრომეტირებული ჰოსტები და ბოტნეტები ახორციელებენ DDoS შეტევას მოქმედ დომენზე, მაგრამ ფოკუსირდებიან ცრუ ქვედომეინებზე, რათა აიძულონ DNS სერვერი მოძებნოს ჩანაწერები და აიღოს სერვისის კონტროლი.
• დომენის დაბლოკვა: აგზავნის მრავალ სპამის პასუხს DNS სერვერის რესურსების დასაბლოკად
• ბოტნეტის შეტევა აბონენტის აღჭურვილობიდან: კომპიუტერების, მოდემების, მარშრუტიზატორების და სხვა მოწყობილობების კოლექცია, რომლებიც კონცენტრირებენ გამოთვლით ძალას კონკრეტულ ვებსაიტზე, რათა გადატვირთონ იგი ტრაფიკის მოთხოვნებით

DNS შეტევები

შეტევები, რომლებიც ერთგვარად იყენებენ DNS-ს სხვა სისტემებზე თავდასხმისთვის (ანუ DNS ჩანაწერების შეცვლა არ არის საბოლოო მიზანი):

• Fast-Flux
• Single Flux Networks
• ორმაგი ნაკადის ქსელები
• DNS გვირაბი

DNS შეტევები

შეტევები, რომლებიც იწვევს თავდამსხმელისთვის საჭირო IP მისამართის დაბრუნებას DNS სერვერიდან:

• DNS გაყალბება ან ქეშის მოწამვლა
• DNS-ის გატაცება

რა არის DNSSEC?

DNSSEC - Domain Name Service Security Engines - გამოიყენება DNS ჩანაწერების დასადასტურებლად ყოველი კონკრეტული DNS მოთხოვნისთვის ზოგადი ინფორმაციის ცოდნის საჭიროების გარეშე.

DNSSEC იყენებს ციფრული ხელმოწერის გასაღებებს (PKI), რათა შეამოწმოს, არის თუ არა დომენის სახელის მოთხოვნის შედეგები სწორი წყაროდან.
DNSSEC-ის დანერგვა არა მხოლოდ ინდუსტრიის საუკეთესო პრაქტიკაა, არამედ ეფექტურია DNS შეტევების უმეტესობის თავიდან ასაცილებლად.

როგორ მუშაობს DNSSEC

DNSSEC მუშაობს TLS/HTTPS-ის მსგავსად, იყენებს საჯარო და კერძო გასაღების წყვილებს DNS ჩანაწერების ციფრული ხელმოწერისთვის. პროცესის ზოგადი მიმოხილვა:

1. DNS ჩანაწერები ხელმოწერილია კერძო-პირადი გასაღების წყვილით
2. პასუხები DNSSEC შეკითხვებზე შეიცავს მოთხოვნილ ჩანაწერს, ასევე ხელმოწერას და საჯარო გასაღებს
3. მაშინ საჯარო გასაღები გამოიყენება ჩანაწერისა და ხელმოწერის ავთენტურობის შესადარებლად

DNS და DNSSEC უსაფრთხოება

DNSSEC არის ინსტრუმენტი DNS მოთხოვნების მთლიანობის შესამოწმებლად. ეს არ იმოქმედებს DNS კონფიდენციალურობაზე. სხვა სიტყვებით რომ ვთქვათ, DNSSEC-ს შეუძლია დაგარწმუნოთ, რომ თქვენს DNS შეკითხვაზე პასუხი არ არის გაყალბებული, მაგრამ ნებისმიერ თავდამსხმელს შეუძლია დაინახოს ეს შედეგები თქვენთვის გაგზავნილი.

DoT - DNS TLS-ზე

სატრანსპორტო ფენის უსაფრთხოება (TLS) არის კრიპტოგრაფიული პროტოკოლი ქსელის კავშირით გადაცემული ინფორმაციის დასაცავად. როგორც კი დამყარდება უსაფრთხო TLS კავშირი კლიენტსა და სერვერს შორის, გადაცემული მონაცემები დაშიფრულია და ვერც ერთი შუამავალი ვერ ხედავს მას.

TLS ყველაზე ხშირად გამოიყენება როგორც HTTPS (SSL) ნაწილი თქვენს ბრაუზერში, რადგან მოთხოვნები იგზავნება დაცულ HTTP სერვერებზე.

DNS-over-TLS (DNS მეტი TLS, DoT) იყენებს TLS პროტოკოლს რეგულარული DNS მოთხოვნის UDP ტრაფიკის დასაშიფრად.
ამ მოთხოვნების დაშიფვრა უბრალო ტექსტში ეხმარება დაიცვას მომხმარებლები ან აპლიკაციები, რომლებიც მოთხოვნებს ახორციელებენ რამდენიმე თავდასხმისგან.

• MitM, ან "კაცი შუაში": დაშიფვრის გარეშე, შუალედურმა სისტემამ კლიენტსა და ავტორიტეტულ DNS სერვერს შორის შეიძლება პოტენციურად გაუგზავნოს კლიენტს ყალბი ან საშიში ინფორმაცია მოთხოვნის საპასუხოდ.
• ჯაშუშობა და თვალთვალი: მოთხოვნების დაშიფვრის გარეშე, შუაპროგრამული სისტემებისთვის ადვილია იმის დანახვა, რომელ საიტებზე წვდება კონკრეტული მომხმარებელი ან აპლიკაცია. მიუხედავად იმისა, რომ მხოლოდ DNS არ გამოავლენს კონკრეტულ გვერდს, რომელსაც ეწვიეთ ვებსაიტზე, უბრალოდ მოთხოვნილი დომენების ცოდნა საკმარისია სისტემის ან ინდივიდის პროფილის შესაქმნელად.

წყარო: კალიფორნიის უნივერსიტეტის Irvine

DoH - DNS HTTPS-ზე

DNS-over-HTTPS (DNS over HTTPS, DoH) არის ექსპერიმენტული პროტოკოლი, რომელსაც ერთობლივად ავრცელებენ Mozilla და Google. მისი მიზნები მსგავსია DoT პროტოკოლის - ადამიანთა კონფიდენციალურობის გაძლიერება ონლაინ DNS მოთხოვნებისა და პასუხების დაშიფვრით.

სტანდარტული DNS მოთხოვნები იგზავნება UDP-ით. მოთხოვნებისა და პასუხების თვალყურის დევნება შესაძლებელია ისეთი ინსტრუმენტების გამოყენებით, როგორიცაა Wireshark. DoT შიფრავს ამ მოთხოვნებს, მაგრამ ისინი მაინც იდენტიფიცირებულია, როგორც საკმაოდ განსხვავებული UDP ტრაფიკი ქსელში.

DoH იღებს განსხვავებულ მიდგომას და აგზავნის დაშიფრული ჰოსტის სახელის გარჩევადობის მოთხოვნებს HTTPS კავშირების საშუალებით, რომლებიც ჰგავს ნებისმიერ სხვა ვებ მოთხოვნას ქსელში.

ეს განსხვავება ძალიან მნიშვნელოვან გავლენას ახდენს როგორც სისტემის ადმინისტრატორებზე, ასევე სახელების მოგვარების მომავალზე.

1. DNS ფილტრაცია არის ვებ ტრაფიკის გაფილტვრის ჩვეულებრივი გზა, რათა დაიცვას მომხმარებლები ფიშინგის შეტევებისგან, საიტები, რომლებიც ავრცელებენ მავნე პროგრამას ან სხვა პოტენციურად საზიანო ინტერნეტ აქტივობას კორპორატიულ ქსელში. DoH პროტოკოლი გვერდს უვლის ამ ფილტრებს, რაც პოტენციურად აყენებს მომხმარებლებს და ქსელს უფრო დიდ რისკს.
2. სახელის რეზოლუციის ამჟამინდელ მოდელში, ქსელში არსებული ყველა მოწყობილობა მეტ-ნაკლებად იღებს DNS მოთხოვნებს ერთი და იგივე მდებარეობიდან (მითითებული DNS სერვერი). DoH და განსაკუთრებით Firefox-ის მიერ მისი განხორციელება აჩვენებს, რომ ეს შეიძლება შეიცვალოს მომავალში. კომპიუტერის თითოეულმა აპლიკაციამ შეიძლება მიიღოს მონაცემები სხვადასხვა DNS წყაროდან, რაც ართულებს პრობლემების აღმოფხვრას, უსაფრთხოებას და რისკის მოდელირებას.

წყარო: www.varonis.com/blog/what-is-powershell

რა განსხვავებაა DNS-ს შორის TLS-სა და DNS-ს შორის HTTPS-ზე?

დავიწყოთ DNS-ით TLS-ზე (DoT). აქ მთავარი ის არის, რომ ორიგინალური DNS პროტოკოლი არ იცვლება, მაგრამ უბრალოდ უსაფრთხოდ გადაიცემა უსაფრთხო არხზე. მეორეს მხრივ, DoH დებს DNS-ს HTTP ფორმატში მოთხოვნის გაკეთებამდე.

DNS მონიტორინგის გაფრთხილებები

თქვენს ქსელში DNS ტრაფიკის ეფექტურად მონიტორინგის შესაძლებლობა საეჭვო ანომალიებზე გადამწყვეტია დარღვევის ადრეული გამოვლენისთვის. ისეთი ხელსაწყოს გამოყენება, როგორიცაა Varonis Edge, მოგცემთ შესაძლებლობას დარჩეთ ყველა მნიშვნელოვანი მეტრიკის თავზე და შექმნათ პროფილები თქვენი ქსელის ყველა ანგარიშისთვის. თქვენ შეგიძლიათ დააკონფიგურიროთ გაფრთხილებები, რომ გენერირებული იყოს მოქმედებების კომბინაციის შედეგად, რომლებიც ხდება დროის კონკრეტულ პერიოდში.

DNS ცვლილებების მონიტორინგი, ანგარიშის მდებარეობები, პირველად გამოყენება და სენსიტიურ მონაცემებზე წვდომა და სამუშაო საათების შემდგომი აქტივობა მხოლოდ რამდენიმე მეტრიკაა, რომელთა კორელაციაც შესაძლებელია უფრო ფართო გამოვლენის სურათის შესაქმნელად.

წყარო: www.habr.com