Şirket çi dike, ewlehiyê divê bibe beşeke bingehîn a plana wê ya ewlehiyê. Karûbarên navan, ku navên mêvandar li navnîşanên IP-yê çareser dikin, hema hema ji hêla her serîlêdan û karûbarê li ser torê ve têne bikar anîn.
Ger êrîşkar DNS-ya rêxistinek kontrol bike, ew dikare bi hêsanî:
- kontrola xwe li ser çavkaniyên hevpar bidin
- e-nameyên hatinî û her weha daxwazên malperê û hewildanên erêkirinê beralî bikin
- sertîfîkayên SSL/TLS biafirînin û rast bikin
Ev rêber ji du aliyan ve li ewlehiya DNS dinêre:
- Li ser DNS çavdêrîkirin û kontrolkirina domdar dikin
- Protokolên DNS-ê yên nû yên wekî DNSSEC, DOH û DoT çawa dikarin bibin alîkar ku yekitî û nepenîtiya daxwazên DNS-ê yên hatine şandin biparêzin
Ewlekariya DNS çi ye?
Têgeha ewlehiya DNS du beşên girîng digire:
- Paqijkirina yekbûn û hebûna karûbarên DNS yên ku navên mêvandar ji navnîşanên IP-yê re çareser dikin
- Çalakiya DNS-ê bişopînin da ku pirsgirêkên ewlehiyê yên mimkun li her deverê li ser tora we nas bikin
Çima DNS ji êrîşan re xeternak e?
Teknolojiya DNS di rojên destpêkê yên Înternetê de hate afirandin, berî ku kesek dest pê bike li ser ewlehiya torê bifikire. DNS bêyî rastkirin an şîfrekirinê kar dike, daxwazên her bikarhênerek bi korayî pêvajoyê dike.
Ji ber vê yekê, gelek awayên xapandina bikarhêner û sextekirina agahdariya li ser cihê ku çareseriya navên navnîşanên IP-ê bi rastî pêk tê hene.
Ewlekariya DNS: Pirsgirêk û pêkhate
Ewlekariya DNS ji çend bingehîn pêk tê beşan, divê her yek ji wan were hesibandin da ku parastina bêkêmasî peyda bike:
- Bihêzkirina prosedurên ewlehî û rêveberiyê yên serverê: asta ewlehiya serverê zêde bikin û şablonek komîsyonê ya standard biafirînin
- Pêşveçûnên protokolê: DNSSEC, DoT an DoH bicîh bikin
- Analîtîk û rapor: Ji bo vekolîna bûyeran ji bo çarçoveyek din têketinek bûyerek DNS li pergala xweya SIEM zêde bikin
- Îstîxbarata Sîber û Tespîtkirina Tehdîdê: bibin abone li ser feed îstîxbarata gefa çalak
- Otomatîkî: Ji bo otomotekirina pêvajoyan bi qasî ku pêkan gelek nivîsan biafirînin
Pêkhateyên asta bilind ên jorîn tenê serê berfê ewlehiya DNS ne. Di beşa paşîn de, em ê li ser dozên karanîna taybetî û pratîkên çêtirîn ên ku hûn hewce ne ku pê zanibin bigerin.
Êrîşên DNS
- : xerabûna pergalê bikar tîne da ku cache DNS-ê manîpule bike da ku bikarhêner berbi cîhek din vegerîne
- : di serî de ji bo derbaskirina parastina girêdana dûr tê bikar anîn
- Rakirina DNS: beralîkirina seyrûsefera DNS-ya normal berbi serverek DNS-a armancek cihêreng bi guheztina tomara domainê
- Êrîşa NXDOMAIN: pêkanîna êrîşek DDoS li ser serverek DNS-ya desthilatdar bi şandina pirsên domainê yên neqanûnî ji bo wergirtina bersivek zorê
- domaina xeyalî: dibe sedem ku çareserkerê DNS li benda bersivek ji domên neheyî bimîne, di encamê de performansa nebaş dibe
- êrîşa li ser subdomainek rasthatî: Mêvandar û botnetên lihevhatî êrîşek DDoS li ser domanek derbasdar dest pê dikin, lê agirê xwe li ser jêrdomayên sexte dikin da ku servera DNS neçar bike ku tomaran bigere û kontrola karûbarê bigire
- astengkirina domainê: ji bo astengkirina çavkaniyên servera DNS-ê gelek bersivên spam dişîne
- Êrîşa Botnetê ji alavên abonetiyê: berhevokek ji komputer, modem, router û amûrên din ên ku hêza hesabkirinê li ser malperek taybetî berhev dikin da ku wê bi daxwazên trafîkê re zêde bikin.
Êrîşên DNS
Êrîşên ku bi rengek DNS-ê bikar tînin da ku êrişî pergalên din bikin (ango guhartina tomarên DNS ne armanca dawîn e):
- Fast-Flux
- Torên yekane Flux
- Torên Double Flux
Êrîşên DNS
Êrîşên ku di encamê de navnîşana IP-ya ku êrîşkar hewce dike ji servera DNS vedigere:
- DNS spoofing an jehrîkirina cache
- revandina DNS
DNSSEC çi ye?
DNSSEC - Motorên Ewlekariya Karûbarê Navê Domain - ji bo rastkirina tomarên DNS-ê bêyî ku hewce bike ku agahdariya gelemperî ji bo her daxwazek taybetî ya DNS-ê zanibe têne bikar anîn.
DNSSEC Bişkojkên Îmzeya Dîjîtal (PKI) bikar tîne da ku verast bike ka encamên pirsek navekî domainê ji çavkaniyek derbasdar hatine an na.
Pêkanîna DNSSEC ne tenê pratîkek çêtirîn pîşesaziyê ye, lê di heman demê de ew di dûrketina piraniya êrişên DNS de jî bandorker e.
DNSSEC çawa dixebite
DNSSEC bi TLS / HTTPS re bi heman rengî dixebite, cotên mifteyên gelemperî û taybet bikar tîne da ku bi dîjîtal tomarên DNS-ê îmze bike. Nêrîna giştî ya pêvajoyê:
- Tomarên DNS bi cotek mifteya taybet-taybetî têne îmze kirin
- Bersivên li ser pirsên DNSSEC qeyda daxwazkirî û hem jî îmze û mifteya giştî dihewîne
- paşê ji bo berawirdkirina rastiya tomar û îmzeyekê tê bikaranîn
Ewlekariya DNS û DNSSEC
DNSSEC amûrek ji bo kontrolkirina yekrêziya pirsên DNS-ê ye. Ew bandorê li nepeniya DNS nake. Bi gotinek din, DNSSEC dikare pêbaweriyê bide we ku bersiva pirsa weya DNS-ê nehatiye destwerdan, lê her êrîşkar dikare wan encaman wekî ku ji we re hatine şandin bibîne.
DoT - DNS li ser TLS
Ewlekariya Layera Veguhestinê (TLS) protokolek krîptografî ye ji bo parastina agahdariya ku li ser pêwendiyek torê ve hatî veguheztin. Dema ku têkiliyek ewledar a TLS di navbera xerîdar û serverê de were saz kirin, daneyên hatine veguheztin têne şîfre kirin û ti navbeynkar nikare wê bibîne.
Bi gelemperî wekî beşek HTTPS (SSL) di geroka weya webê de tête bikar anîn ji ber ku daxwaz ji pêşkêşkerên HTTP-ê ewle têne şandin.
DNS-ser-TLS (DNS li ser TLS, DoT) protokola TLS bikar tîne da ku seyrûsefera UDP ya daxwazên DNS yên birêkûpêk şîfre bike.
Şîfrekirina van daxwazan di nivîsa sade de dibe alîkar ku bikarhêner an serîlêdanên ku ji gelek êrîşan daxwaz dikin biparêzin.
- MitM, an "zilamê di navîn": Bêyî şîfrekirinê, pergala navîn di navbera xerîdar û servera DNS-ya desthilatdar de dikare di bersiva daxwazek de agahdariya derewîn an xeternak ji xerîdar re bişîne.
- Sîxurî û şopandin: Bêyî daxwazên şîfrekirinê, ji bo pergalên navgîniyê hêsan e ku bibînin ka bikarhênerek an serîlêdanek taybetî digihîje kîjan malperan. Her çend DNS tenê dê rûpela taybetî ya ku li ser malperek tê serdan eşkere neke, tenê zanîna domainên daxwazkirî bes e ku meriv profîlek pergalek an kesek kesek biafirîne.
Source:
DoH - DNS li ser HTTPS
DNS-ser-HTTPS (DNS li ser HTTPS, DoH) protokolek ceribandinê ye ku ji hêla Mozilla û Google ve bi hev re tê pêşve xistin. Armancên wê mîna protokola DoT-ê ne - bi şîfrekirina daxwaz û bersivên DNS-ê nepeniya mirovan serhêl zêde dike.
Pirsên DNS yên standard li ser UDP têne şandin. Daxwaz û bersiv dikarin bi karanîna amûrên wekî wekî têne şopandin . DoT van daxwazan şîfre dike, lê ew hîn jî wekî seyrûsefera UDP-ya berbiçav a li ser torê têne nas kirin.
DoH nêzîkatiyek cûda digire û daxwazên çareseriya navê mêvandarê şîfrekirî dişîne ser girêdanên HTTPS, yên ku dişibin her daxwazek din a malperê li ser torê.
Ev cûdahî hem ji bo rêvebirên pergalê û hem jî ji bo paşeroja çareseriya navan bandorek pir girîng heye.
- Parzûnkirina DNS rêyek hevpar e ku seyrûsefera webê fîltre dike da ku bikarhêneran ji êrişên fîşekirinê, malperên ku malware belav dikin, an çalakiyên din ên Internetnternetê yên potansiyel zirardar li ser torê pargîdanî biparêze. Protokola DoH van parzûnan derbas dike, potansiyel bikarhêner û torê dixe ber xeterek mezintir.
- Di modela çareseriya navê heyî de, her amûrek li ser torê kêm-zêde pirsên DNS-ê ji heman cîhê (pêşkêşkerek DNS-ya diyarkirî) distîne. DoH, û bi taybetî pêkanîna Firefox-ê ya wê, nîşan dide ku dibe ku ev di pêşerojê de biguhere. Dibe ku her serîlêdana li ser komputerek daneyan ji çavkaniyên cûda yên DNS-ê werbigire, ku çareserî, ewlehî û modela xetereyê pir tevlihevtir dike.
Source:
Cûdahiya di navbera DNS li ser TLS û DNS li ser HTTPS çi ye?
Werin em bi DNS-ê li ser TLS (DoT) dest pê bikin. Xala sereke li vir ev e ku protokola DNS ya orîjînal nayê guheztin, lê tenê bi ewlehî li ser kanalek ewledar tê veguheztin. Ji hêla din ve, DoH, berî ku daxwazan bike DNS-ê dixe nav formata HTTP.
Alerts Çavdêriya DNS
Kapasîteya şopandina bi bandor a seyrûsefera DNS-ê ya li ser tora xwe ji bo anomalîyên gumanbar ji bo tespîtkirina zû ya binpêkirinê pir girîng e. Bikaranîna amûrek mîna Varonis Edge dê kapasîteyê bide we ku hûn li ser hemî pîvanên girîng bimînin û ji bo her hesabê li ser tora xwe profîlan biafirînin. Hûn dikarin hişyariyan mîheng bikin da ku di encama tevhevkirina çalakiyên ku di heyamek diyarkirî de çêdibin werin çêkirin.
Çavdêriya guheztinên DNS, cîhên hesabê, karanîna yekem-car û gihîştina daneyên hesas, û çalakiya piştî demjimêran tenê çend metrîk in ku dikarin werin girêdan da ku wêneyek tespîta berfireh ava bikin.
Source: www.habr.com