DNS қауіпсіздік нұсқаулығы

Компания не істесе де, қауіпсіздік DNS оның қауіпсіздік жоспарының ажырамас бөлігі болуы керек. Хост атауларын IP мекенжайларына шешетін атау қызметтерін желідегі барлық дерлік қолданбалар мен қызметтер пайдаланады.

Егер шабуылдаушы ұйымның DNS басқаруына ие болса, ол оңай:

• ортақ ресурстарды басқаруды өзіңізге беріңіз
• кіріс электрондық хаттарды, сондай-ақ веб-сұрауларды және аутентификация әрекеттерін қайта бағыттаңыз
• SSL/TLS сертификаттарын жасаңыз және растаңыз

Бұл нұсқаулық DNS қауіпсіздігін екі қырынан қарастырады:

1. DNS қызметін үздіксіз бақылау және бақылауды жүзеге асыру
2. DNSSEC, DOH және DoT сияқты жаңа DNS протоколдары жіберілген DNS сұрауларының тұтастығы мен құпиялылығын қорғауға қалай көмектесе алады

DNS қауіпсіздігі дегеніміз не?

DNS қауіпсіздігі тұжырымдамасы екі маңызды құрамдас бөлікті қамтиды:

1. Хост атауларын IP мекенжайларына шешетін DNS қызметтерінің жалпы тұтастығын және қолжетімділігін қамтамасыз ету
2. Желінің кез келген жерінде ықтимал қауіпсіздік мәселелерін анықтау үшін DNS әрекетін бақылаңыз

Неліктен DNS шабуылдарға осал?

DNS технологиясы Интернеттің алғашқы күндерінде, кез келген адам желі қауіпсіздігі туралы ойлана бастағанға дейін жасалған. DNS аутентификациясыз немесе шифрлаусыз жұмыс істейді, кез келген пайдаланушының сұрауларын соқыр өңдейді.

Осыған байланысты пайдаланушыны алдаудың және атауларды IP мекенжайларына шешу қай жерде болатыны туралы ақпаратты бұрмалаудың көптеген жолдары бар.

DNS қауіпсіздігі: мәселелер және құрамдас бөліктер

DNS қауіпсіздігі бірнеше негізгі бөліктерден тұрады компоненттері, олардың әрқайсысы толық қорғауды қамтамасыз ету үшін ескерілуі керек:

• Сервер қауіпсіздігі мен басқару процедураларын күшейту: сервер қауіпсіздігінің деңгейін арттыру және стандартты іске қосу үлгісін жасау
• Протоколды жақсартулар: DNSSEC, DoT немесе DoH іске қосыңыз
• Аналитика және есеп беру: оқиғаларды зерттеу кезінде қосымша мәтінмән үшін SIEM жүйесіне DNS оқиғалар журналын қосыңыз
• Кибер барлау және қауіптерді анықтау: белсенді қауіп барлау арнасына жазылу
• Автоматтандыру: процестерді автоматтандыру үшін мүмкіндігінше көп сценарийлер жасаңыз

Жоғарыда аталған жоғары деңгейлі компоненттер DNS қауіпсіздік айсбергінің ұшы ғана. Келесі бөлімде біз нақтырақ пайдалану жағдайлары мен сізге білу керек ең жақсы тәжірибелерді қарастырамыз.

DNS шабуылдары

• DNS спуфингі немесе кэшті улану: пайдаланушыларды басқа орынға қайта бағыттау үшін DNS кэшін басқару үшін жүйенің осалдығын пайдалану
• DNS туннельдеу: негізінен қашықтағы қосылым қорғанысын айналып өту үшін қолданылады
• DNS ұрлау: домен тіркеушісін өзгерту арқылы қалыпты DNS трафигін басқа мақсатты DNS серверіне қайта бағыттау
• NXDOMAIN шабуылы: мәжбүрлі жауап алу үшін заңсыз домен сұрауларын жіберу арқылы беделді DNS серверіне DDoS шабуылын жасау
• фантом домені: DNS шешушісінің жоқ домендерден жауапты күтуіне себеп болады, бұл нашар өнімділікке әкеледі
• кездейсоқ қосалқы доменге шабуыл: бұзылған хосттар мен ботнеттер жарамды доменге DDoS шабуылын бастайды, бірақ DNS серверін жазбаларды іздеуге және қызметті бақылауға алуға мәжбүрлеу үшін өз отын жалған ішкі домендерге бағыттайды.
• доменді блоктау: DNS серверінің ресурстарын блоктау үшін бірнеше спам жауаптарын жіберуде
• Абоненттік жабдықтан ботнет шабуылы: компьютерлер, модемдер, маршрутизаторлар және трафик сұрауларымен шамадан тыс жүктеу үшін белгілі бір веб-сайтқа есептеу қуатын шоғырландыратын басқа құрылғылар жиынтығы

DNS шабуылдары

Басқа жүйелерге шабуыл жасау үшін DNS қолданатын шабуылдар (яғни, DNS жазбаларын өзгерту түпкілікті мақсат емес):

• Жылдам ағын
• Бірыңғай ағынды желілер
• Қос ағынды желілер
• DNS туннельдеу

DNS шабуылдары

Шабуылдаушыға қажет IP мекенжайының DNS серверінен қайтарылуына әкелетін шабуылдар:

• DNS спуфингі немесе кэшті улану
• DNS ұрлау

DNSSEC дегеніміз не?

DNSSEC - Домендік атаулар қызметінің қауіпсіздік механизмдері - әрбір нақты DNS сұрауы үшін жалпы ақпаратты білу қажетсіз DNS жазбаларын тексеру үшін пайдаланылады.

DNSSEC домендік атау сұрауының нәтижелері жарамды көзден келгенін тексеру үшін цифрлық қолтаңба кілттерін (PKI) пайдаланады.
DNSSEC енгізу - бұл саланың ең жақсы тәжірибесі ғана емес, сонымен қатар ол көптеген DNS шабуылдарын болдырмауда тиімді.

DNSSEC қалай жұмыс істейді

DNSSEC TLS/HTTPS сияқты жұмыс істейді, DNS жазбаларына сандық қол қою үшін ашық және жеке кілт жұптарын пайдаланады. Процеске жалпы шолу:

1. DNS жазбаларына жеке-жеке кілт жұбымен қол қойылады
2. DNSSEC сұрауларына жауаптар сұралған жазбаны, сондай-ақ қолтаңбаны және ашық кілтті қамтиды
3. содан кейін ашық кілт жазба мен қолтаңбаның шынайылығын салыстыру үшін қолданылады

DNS және DNSSEC қауіпсіздігі

DNSSEC – DNS сұрауларының тұтастығын тексеру құралы. Бұл DNS құпиялылығына әсер етпейді. Басқаша айтқанда, DNSSEC сізге DNS сұрауыңыздың жауабы өзгертілмегеніне сенімді бола алады, бірақ кез келген шабуылдаушы бұл нәтижелерді сізге жіберілгенін көре алады.

DoT - TLS арқылы DNS

Transport Layer Security (TLS) – желілік қосылым арқылы берілетін ақпаратты қорғауға арналған криптографиялық протокол. Клиент пен сервер арасында қауіпсіз TLS қосылымы орнатылғаннан кейін жіберілген деректер шифрланады және оны ешбір делдал көре алмайды.

TLS веб-шолғышыңызда HTTPS (SSL) бөлігі ретінде жиі пайдаланылады, себебі сұраулар қауіпсіз HTTP серверлеріне жіберіледі.

DNS-over-TLS (DNS over TLS, DoT) тұрақты DNS сұрауларының UDP трафигін шифрлау үшін TLS протоколын пайдаланады.
Бұл сұрауларды кәдімгі мәтінде шифрлау пайдаланушыларды немесе сұрау жасайтын қолданбаларды бірнеше шабуылдардан қорғауға көмектеседі.

• MitM немесе «ортадағы адам»: Шифрлаусыз клиент пен беделді DNS сервері арасындағы аралық жүйе сұрауға жауап ретінде клиентке жалған немесе қауіпті ақпаратты жіберуі мүмкін.
• Шпиондық және қадағалау: Сұрауларды шифрламай, аралық бағдарлама жүйелері белгілі бір пайдаланушы немесе қолданба қай сайттарға кіретінін оңай көреді. Тек DNS веб-сайтқа кіретін нақты бетті көрсетпесе де, жүйенің немесе жеке тұлғаның профилін жасау үшін сұралған домендерді білу жеткілікті.

Ақпарат көзі: Калифорния Ирвайне университеті

DoH - HTTPS арқылы DNS

DNS-over-HTTPS (HTTPS арқылы DNS, DoH) — Mozilla және Google бірлесіп көтерген эксперименттік протокол. Оның мақсаттары DoT протоколына ұқсас — DNS сұраулары мен жауаптарын шифрлау арқылы адамдардың желідегі құпиялылығын арттыру.

Стандартты DNS сұраулары UDP арқылы жіберіледі. сияқты құралдардың көмегімен сұраулар мен жауаптарды бақылауға болады Wireshark. DoT бұл сұрауларды шифрлайды, бірақ олар әлі де желідегі айтарлықтай ерекше UDP трафигі ретінде анықталады.

DoH басқа тәсілді қолданады және желі арқылы кез келген басқа веб-сұраныс сияқты көрінетін HTTPS қосылымдары арқылы шифрланған хост атауын ажырату сұрауларын жібереді.

Бұл айырмашылықтың жүйелік әкімшілер үшін де, атауды шешудің болашағы үшін де өте маңызды салдары бар.

1. DNS сүзгілеуі – пайдаланушыларды фишингтік шабуылдардан, зиянды бағдарламаларды тарататын сайттардан немесе корпоративтік желідегі басқа ықтимал зиянды интернет әрекетінен қорғау үшін веб-трафикті сүзудің кең таралған тәсілі. DoH протоколы бұл сүзгілерді айналып өтіп, пайдаланушылар мен желіні үлкен тәуекелге ұшыратады.
2. Ағымдағы атауды ажырату үлгісінде желідегі әрбір құрылғы DNS сұрауларын бір жерден (көрсетілген DNS сервері) азды-көпті қабылдайды. DoH, әсіресе Firefox-тың оны іске асыруы бұл болашақта өзгеруі мүмкін екенін көрсетеді. Компьютердегі әрбір қолданба әртүрлі DNS көздерінен деректерді алуы мүмкін, бұл ақаулықтарды жоюды, қауіпсіздікті және тәуекелдерді модельдеуді әлдеқайда күрделі етеді.

Ақпарат көзі: www.varonis.com/blog/what-is-powershell

TLS арқылы DNS және HTTPS арқылы DNS арасындағы айырмашылық неде?

TLS (DoT) арқылы DNS арқылы бастайық. Мұндағы басты мәселе - бастапқы DNS протоколы өзгертілмейді, бірақ қауіпсіз арна арқылы қауіпсіз түрде жіберіледі. DoH, керісінше, сұраулар жасамас бұрын DNS-ті HTTP пішіміне қояды.

DNS бақылау ескертулері

Күдікті аномалиялар үшін желіңіздегі DNS трафигін тиімді бақылау мүмкіндігі бұзушылықты ерте анықтау үшін өте маңызды. Varonis Edge сияқты құралды пайдалану сізге барлық маңызды көрсеткіштерді білуге ​​және желідегі әрбір тіркелгі үшін профильдер жасауға мүмкіндік береді. Белгілі бір уақыт аралығында орын алатын әрекеттер тіркесімінің нәтижесінде жасалатын ескертулерді конфигурациялауға болады.

DNS өзгерістерін, тіркелгі орындарын, бірінші рет пайдалану және құпия деректерге қол жеткізуді бақылау және жұмыстан кейінгі белсенділік - анықтаудың кеңірек суретін құру үшін өзара байланыста болатын бірнеше көрсеткіштер ғана.

Ақпарат көзі: www.habr.com