DNS 보안 가이드

회사가 무엇을 하든지 보안 DNS 보안 계획의 필수적인 부분이어야 합니다. 네트워크 호스트 이름을 IP 주소로 확인하는 이름 서비스는 문자 그대로 네트워크의 모든 애플리케이션과 서비스에서 사용됩니다.

공격자가 조직의 DNS를 제어할 수 있는 경우 쉽게 다음을 수행할 수 있습니다.

• 퍼블릭 도메인에 있는 리소스를 스스로 제어할 수 있습니다.
• 수신 이메일 및 웹 요청 및 인증 시도 리디렉션
• SSL/TLS 인증서 생성 및 검증

이 가이드는 두 가지 관점에서 DNS 보안을 살펴봅니다.

1. DNS의 지속적인 모니터링 및 제어
2. DNSSEC, DOH, DoT와 같은 새로운 DNS 프로토콜이 전송된 DNS 쿼리의 무결성과 기밀성을 보호하는 방법

DNS 보안이란 무엇입니까?

DNS 보안 개념에는 두 가지 중요한 구성 요소가 있습니다.

1. 네트워크 호스트 이름을 IP 주소로 확인하는 DNS 서비스의 전반적인 무결성 및 가용성 보장
2. DNS 활동을 모니터링하여 네트워크 어디에서나 잠재적인 보안 문제를 식별합니다.

DNS가 공격에 취약한 이유는 무엇입니까?

DNS 기술은 네트워크 보안에 대해 생각하기 훨씬 전인 인터넷 초기에 만들어졌습니다. DNS는 인증 및 암호화 없이 작동하여 모든 사용자의 요청을 맹목적으로 처리합니다.

이와 관련하여 사용자를 속이는 방법과 IP 주소에 대한 이름 확인이 실제로 수행되는 위치에 대한 가짜 정보가 많이 있습니다.

DNS 보안 문제 및 구성 요소

DNS 보안은 몇 가지 기본 요소로 구성됩니다. 구성 요소들, 완전한 보호를 보장하려면 각 항목을 고려해야 합니다.

• 서버 및 관리 절차의 보안 강화: 서버 보안 강화 및 표준 커미셔닝 템플릿 생성
• 프로토콜 개선: DNSSEC, DoT 또는 DoH 구현
• 분석 및 보고: 사고를 조사할 때 추가 컨텍스트를 위해 SIEM 시스템에 DNS 이벤트 로그를 추가합니다.
• 사이버 인텔리전스 및 위협 탐지: 활성 위협 인텔리전스 피드 구독
• 오토메이션: 프로세스를 자동화하기 위해 가능한 한 많은 스크립트를 작성하십시오.

위의 상위 수준 구성 요소는 DNS 보안 빙산의 일각에 불과합니다. 다음 섹션에서는 알아야 할 더 구체적인 사용 사례와 모범 사례를 자세히 살펴보겠습니다.

DNS에 대한 공격

• DNS 스푸핑 또는 캐시 포이즈닝: 시스템 취약점을 악용하여 DNS 캐시를 조작하여 사용자를 다른 위치로 리디렉션
• DNS 터널링: 주로 원격 연결 보호를 우회하는 데 사용됨
• DNS 가로채기: 도메인 등록 기관을 변경하여 일반 DNS 트래픽을 다른 대상 DNS 서버로 리디렉션
• NXDOMAIN 공격: 강제 응답을 얻기 위해 불법 도메인 쿼리를 전송하여 권한 있는 DNS 서버에서 DDoS 공격 수행
• 팬텀 도메인: DNS 확인자가 존재하지 않는 도메인의 응답을 기다리게 하여 성능 저하
• 임의의 하위 도메인에 대한 공격: 해킹된 호스트 및 봇넷 DDoS는 라이브 도메인이지만 잘못된 하위 도메인에 집중하여 DNS 서버가 레코드를 조회하고 서비스를 제어하도록 합니다.
• 도메인 차단: DNS 서버 리소스를 차단하기 위해 많은 양의 스팸 응답을 보내고 있습니다.
• 사용자 장비의 봇넷 공격: 특정 웹사이트에 처리 능력을 집중시켜 트래픽 요청으로 과부하를 일으키는 컴퓨터, 모뎀, 라우터 및 기타 장치의 집합

DNS 공격

어떻게든 DNS를 사용하여 다른 시스템을 공격하는 공격(예: DNS 레코드 변경이 최종 목표가 아님):

• 패스트 플럭스
• 단일 플럭스 네트워크
• 듀얼 플럭스 네트워크
• DNS 터널링

DNS에 대한 공격

DNS 서버에서 공격자가 필요로 하는 IP 주소를 반환하는 공격:

• DNS 스푸핑 또는 캐시 포이즈닝
• DNS 가로채기

DNSSEC란 무엇입니까?

DNSSEC - 도메인 이름 서비스 보안 모듈 - 각 특정 DNS 요청에 대한 일반 정보를 알 필요 없이 DNS 레코드의 유효성을 검사하는 데 사용됩니다.

DNSSEC는 디지털 서명 키(PKI)를 사용하여 도메인 이름 쿼리 결과가 유효한 출처에서 나온 것인지 확인합니다.
DNSSEC 구현은 업계 모범 사례일 뿐만 아니라 대부분의 DNS 공격을 효과적으로 방지합니다.

DNSSEC 작동 방식

DNSSEC는 공개/개인 키 쌍을 사용하여 DNS 레코드에 디지털 서명하는 TLS/HTTPS와 유사하게 작동합니다. 프로세스의 일반 개요:

1. DNS 레코드는 개인 및 개인 키 쌍으로 서명됩니다.
2. DNSSEC 쿼리에 대한 응답에는 요청된 항목과 서명 및 공개 키가 포함됩니다.
3. 그때 공개 키 기록과 서명의 진위를 비교하는 데 사용

DNS 보안 및 DNSSEC

DNSSEC는 DNS 쿼리의 무결성을 검사하는 도구입니다. DNS 프라이버시에는 영향을 미치지 않습니다. 즉, DNSSEC는 DNS 쿼리에 대한 응답이 스푸핑되지 않는다는 확신을 줄 수 있지만 모든 공격자는 결과가 전송된 대로 볼 수 있습니다.

DoT - TLS를 통한 DNS

TLS(Transport Layer Security)는 네트워크 연결을 통해 전송되는 정보를 보호하기 위한 암호화 프로토콜입니다. 클라이언트와 서버 간에 보안 TLS 연결이 설정되면 전송된 데이터가 암호화되어 중개자가 볼 수 없습니다.

TLS 요청이 보안 HTTP 서버로 전송될 때 웹 브라우저에서 HTTPS(SSL)의 일부로 가장 일반적으로 사용됩니다.

DNS-over-TLS(DNS over TLS, DoT)는 TLS 프로토콜을 사용하여 일반 DNS 쿼리에 대한 UDP 트래픽을 암호화합니다.
이러한 요청을 일반 텍스트로 암호화하면 여러 공격으로부터 요청을 보내는 사용자 또는 애플리케이션을 보호하는 데 도움이 됩니다.

• MitM 또는 "중간자": 암호화가 없으면 클라이언트와 신뢰할 수 있는 DNS 서버 사이의 중간 시스템이 요청에 대한 응답으로 잠재적으로 거짓되거나 위험한 정보를 클라이언트에 보낼 수 있습니다.
• 간첩 및 추적: 요청 암호화가 없으면 중간 시스템에서 특정 사용자 또는 애플리케이션이 액세스하는 사이트를 쉽게 확인할 수 있습니다. DNS만으로는 사이트에서 방문한 특정 페이지를 알 수 없지만 요청된 도메인을 아는 것만으로도 시스템 또는 개인의 프로필을 형성하기에 충분합니다.

출처 : 캘리포니아 어바인 대학

DoH - HTTPS를 통한 DNS

DNS-over-HTTPS(DNS over HTTPS, DoH)는 Mozilla와 Google이 공동으로 추진하는 실험적 프로토콜입니다. 그 목표는 DNS 요청 및 응답을 암호화하여 인터넷 사용자의 개인 정보를 강화하는 DoT 프로토콜과 유사합니다.

표준 DNS 쿼리는 UDP를 통해 전송됩니다. 요청 및 응답은 다음과 같은 도구를 사용하여 추적할 수 있습니다. 와이어 샤크. DoT는 이러한 요청을 암호화하지만 여전히 네트워크에서 상당히 다른 UDP 트래픽으로 식별됩니다.

DoH는 다른 접근 방식을 취하고 네트워크를 통한 다른 웹 요청처럼 보이는 HTTPS 연결을 통해 암호화된 호스트 이름 확인 요청을 보냅니다.

이러한 구분은 시스템 관리자와 향후 이름 확인 모두에 매우 중요한 영향을 미칩니다.

1. DNS 필터링은 회사 네트워크에서 피싱 공격, 맬웨어 사이트 또는 기타 잠재적으로 유해한 인터넷 활동으로부터 사용자를 보호하기 위해 웹 트래픽을 필터링하는 일반적인 방법입니다. DoH 프로토콜은 이러한 필터를 우회하여 잠재적으로 사용자와 네트워크를 더 높은 위험에 노출시킵니다.
2. 현재 이름 확인 모델에서 네트워크의 모든 장치는 어느 정도 동일한 위치(지정된 DNS 서버)에서 DNS 요청을 수신합니다. DoH, 특히 Firefox의 DoH 구현은 이것이 향후 변경될 수 있음을 보여줍니다. 컴퓨터의 각 응용 프로그램은 서로 다른 DNS 소스에서 데이터를 가져올 수 있으므로 문제 해결, 보안 및 위험 모델링이 훨씬 더 어려워집니다.

출처 : www.varonis.com/blog/what-is-powershell

TLS를 통한 DNS와 HTTPS를 통한 DNS의 차이점은 무엇입니까?

DNS over TLS(DoT)부터 시작하겠습니다. 여기서 초점은 원래 DNS 프로토콜이 수정되지 않고 단순히 보안 채널을 통해 안전하게 전송된다는 것입니다. DoH는 요청을 하기 전에 DNS를 HTTP 형식으로 넣습니다.

DNS 모니터링 경고

의심스러운 이상 징후가 있는지 네트워크의 DNS 트래픽을 효과적으로 모니터링할 수 있는 능력은 침해를 조기에 감지하는 데 매우 중요합니다. Varonis Edge와 같은 도구를 사용하면 모든 중요한 메트릭을 파악하고 네트워크의 모든 계정에 대한 프로필을 만들 수 있습니다. 일정 기간 동안 발생하는 작업 조합의 결과로 경고가 생성되도록 설정할 수 있습니다.

모니터링 DNS 변경 사항, 계정 위치, 민감한 데이터에 대한 최초 사용 및 액세스, 시간외 활동은 더 광범위한 탐지 그림을 구축하기 위해 비교할 수 있는 몇 가지 지표에 불과합니다.

출처 : habr.com