DNS коопсуздук колдонмосу

Компания эмне кылбасын, коопсуздук DNS анын коопсуздук планынын ажырагыс бөлүгү болууга тийиш. Хост атын IP даректерине чечүүчү аталыш кызматтары тармактагы дээрлик бардык тиркемелер жана кызматтар тарабынан колдонулат.

Эгер чабуулчу уюмдун DNS башкаруусуна ээ болсо, ал оңой эле:

• бөлүштүрүлгөн ресурстарды өзүңүзгө көзөмөлгө алыңыз
• кирүүчү электрондук каттарды, ошондой эле веб-суроолорду жана аутентификация аракетин багыттоо
• SSL/TLS сертификаттарын түзүү жана текшерүү

Бул колдонмо DNS коопсуздугун эки бурчтан карайт:

1. DNS боюнча үзгүлтүксүз мониторинг жүргүзүү жана көзөмөлдөө
2. DNSSEC, DOH жана DoT сыяктуу жаңы DNS протоколдору берилген DNS сурамдарынын бүтүндүгүн жана купуялуулугун коргоого кантип жардам бере алат

DNS коопсуздугу деген эмне?

DNS коопсуздук түшүнүгү эки маанилүү компонентти камтыйт:

1. Хост атын IP даректерине чечүүчү DNS кызматтарынын жалпы бүтүндүгүн жана жеткиликтүүлүгүн камсыздоо
2. Тармагыңыздын каалаган жеринде мүмкүн болгон коопсуздук маселелерин аныктоо үчүн DNS ишмердүүлүгүн көзөмөлдөңүз

Эмне үчүн DNS чабуулдарга алсыз?

DNS технологиясы Интернеттин алгачкы күндөрүндө, эч ким тармактын коопсуздугу жөнүндө ойлоно баштаганга чейин эле түзүлгөн. DNS аутентификациясыз же шифрлөөсүз иштейт, кандайдыр бир колдонуучунун суроо-талаптарын сокур иштетет.

Ушундан улам, колдонуучуну алдоо жана IP даректерге ысымдарды чечүү иш жүзүндө кайда жүрүп жаткандыгы жөнүндө маалыматты бурмалоонун көптөгөн жолдору бар.

DNS коопсуздугу: маселелер жана компоненттер

DNS коопсуздугу бир нече негизгилерден турат компоненттери, алардын ар бири толук коргоону камсыз кылуу үчүн эске алынышы керек:

• Сервердин коопсуздугун жана башкаруу процедураларын күчөтүү: сервердин коопсуздук деңгээлин жогорулатуу жана стандарттуу ишке киргизүү шаблонун түзүү
• Протоколду жакшыртуу: DNSSEC, DoT же DoH ишке ашыруу
• Аналитика жана отчеттуулук: окуяларды иликтөөдө кошумча контекст үчүн SIEM тутумуңузга DNS окуялар журналын кошуңуз
• Кибер чалгындоо жана коркунучтарды аныктоо: жигердүү коркунуч чалгындоо түрмөгүнө жазылуу
• Автоматташтыруу: процесстерди автоматташтыруу үчүн мүмкүн болушунча көп сценарийлерди түзүңүз

Жогоруда айтылган жогорку деңгээлдеги компоненттер DNS коопсуздук айсбергинин чети гана. Кийинки бөлүмдө биз сиз билишиңиз керек болгон конкреттүү колдонуу учурларын жана мыкты тажрыйбаларды карап чыгабыз.

DNS чабуулдары

• DNS бурмалоо же кэш уулануу: колдонуучуларды башка жерге багыттоо үчүн DNS кэшин манипуляциялоо үчүн системанын аялуулугун пайдалануу
• DNS туннели: биринчи кезекте алыскы туташуу коргоолорун айланып өтүү үчүн колдонулат
• DNS уурдоо: нормалдуу DNS трафигин башка максаттуу DNS серверине багыттоо, домен регистрин өзгөртүү
• NXDOMAIN чабуулу: мажбурлап жооп алуу үчүн мыйзамсыз домен сурамдарын жөнөтүү менен авторитеттүү DNS серверине DDoS чабуулун жүргүзүү
• фантом домени: DNS чечүүчүнү жок домендерден жооп күтүшүнө алып келет, натыйжада начар иштешине алып келет
• кокус субдоменге чабуул: бузулган хосттор жана ботнеттер жарактуу доменге DDoS чабуулун башташат, бирок DNS серверин жазууларды издөөгө жана кызматты көзөмөлдөөгө мажбурлоо үчүн отту жасалма субдомендерге багытташат
• доменди бөгөттөө: DNS серверинин ресурстарын бөгөттөө үчүн бир нече спам жоопторун жөнөтүүдө
• Абоненттик жабдуулардан ботнет чабуулу: компьютерлердин, модемдердин, роутерлердин жана башка түзмөктөрдүн жыйындысы, аны трафик сурамдары менен ашыкча жүктөө үчүн белгилүү бир веб-сайтка эсептөө күчүн топтойт.

DNS чабуулдары

Башка системаларга чабуул жасоо үчүн кандайдыр бир жол менен DNS колдонгон чабуулдар (б.а. DNS жазууларын өзгөртүү акыркы максат эмес):

• Fast-Flux
• Single Flux Networks
• Double Flux Networks
• DNS туннели

DNS чабуулдары

Чабуулчуга керектүү IP даректи DNS серверинен кайтарууга алып келген чабуулдар:

• DNS бурмалоо же кэш уулануу
• DNS уурдоо

DNSSEC деген эмне?

DNSSEC - Domain Name Service Security Engines - ар бир DNS суроо-талабы үчүн жалпы маалыматты билбестен DNS жазууларын текшерүү үчүн колдонулат.

DNSSEC домен аталышын суроонун натыйжалары жарактуу булактан келгендигин текшерүү үчүн Digital Signature Keys (PKIs) колдонот.
DNSSECти ишке ашыруу - бул тармактын эң мыкты тажрыйбасы гана эмес, ошондой эле көпчүлүк DNS чабуулдарынан качууда натыйжалуу.

DNSSEC кантип иштейт

DNSSEC TLS/HTTPS сыяктуу иштейт, DNS жазууларына санариптик кол коюу үчүн ачык жана купуя ачкыч жуптарын колдонот. Процесстин жалпы баяндамасы:

1. DNS жазууларына купуя-жеке ачкыч жуптары менен кол коюлат
2. DNSSEC сурамдарына жооптор талап кылынган жазууну, ошондой эле кол тамганы жана ачык ачкычты камтыйт
3. ошондо ачык ачкыч жазуу менен колдун аныктыгын салыштыруу үчүн колдонулат

DNS жана DNSSEC Коопсуздук

DNSSEC бул DNS сурамдарынын бүтүндүгүн текшерүү үчүн курал. Бул DNS купуялыгына таасир этпейт. Башкача айтканда, DNSSEC сиздин DNS сурооңузга жооп бурмаланбаганына ишене алат, бирок каалаган чабуулчу ал натыйжаларды сизге жөнөтүлгөндөй көрө алат.

DoT - TLS аркылуу DNS

Транспорт катмарынын коопсуздугу (TLS) – бул тармак байланышы аркылуу берилүүчү маалыматты коргоо үчүн криптографиялык протокол. Кардар менен сервердин ортосунда коопсуз TLS байланышы орнотулгандан кийин, берилүүчү маалыматтар шифрленет жана эч бир ортомчу аны көрө албайт.

TLS көбүнчө веб браузериңизде HTTPS (SSL) бөлүгү катары колдонулат, анткени сурамдар коопсуз HTTP серверлерине жөнөтүлөт.

DNS-over-TLS (DNS over TLS, DoT) кадимки DNS сурамдарынын UDP трафигин шифрлөө үчүн TLS протоколун колдонот.
Бул суроо-талаптарды ачык текстте шифрлөө колдонуучуларды же сурамдарды жасаган колдонмолорду бир нече чабуулдардан коргоого жардам берет.

• MitM, же "ортодогу адам": Шифрлөөсүз, кардар менен авторитеттүү DNS серверинин ортосундагы аралык система суроо-талапка жооп катары кардарга жалган же коркунучтуу маалыматты жөнөтүшү мүмкүн
• Шпиондук жана көз салуу: Сурамдарды шифрлөөсүз, орто программа системалары үчүн белгилүү бир колдонуучу же колдонмо кайсы сайттарга кирип жатканын оңой көрө алат. DNS гана веб-сайтка кирген конкреттүү баракты ачып бербесе да, системанын же жеке адамдын профилин түзүү үчүн суралган домендерди билүү жетиштүү.

Source: California Irvine менен University

DoH - HTTPS аркылуу DNS

DNS-over-HTTPS (HTTPS үстүнөн DNS, DoH) Mozilla жана Google биргелешип көмөктөшкөн эксперименталдык протокол. Анын максаттары DoT протоколуна окшош — DNS суроо-талаптарын жана жоопторун шифрлөө аркылуу адамдардын онлайн купуялыгын жогорулатуу.

Стандарттык DNS сурамдары UDP аркылуу жөнөтүлөт. сыяктуу куралдардын жардамы менен суроо-талаптарды жана жоопторду байкоого болот Wireshark. DoT бул суроо-талаптарды шифрлейт, бирок алар дагы эле тармакта кыйла айырмаланган UDP трафиги катары аныкталган.

DoH башка ыкманы колдонот жана HTTPS туташуусу аркылуу шифрленген хост атын чечмелөө суроо-талаптарын жөнөтөт, алар тармак аркылуу башка веб сурамдарга окшош.

Бул айырма системалык администраторлор үчүн да, ысымды чечүүнүн келечеги үчүн да абдан маанилүү.

1. DNS чыпкалоо - колдонуучуларды фишингдик чабуулдардан, кесепеттүү программаларды тараткан сайттардан же корпоративдик тармактагы башка потенциалдуу зыяндуу интернет аракеттеринен коргоо үчүн веб-трафикти чыпкалоонун кеңири таралган жолу. DoH протоколу бул чыпкаларды айланып өтүп, колдонуучуларды жана тармакты чоң коркунучка дуушар кылат.
2. Учурдагы аталышты чечүү моделинде, тармактагы ар бир түзмөк аздыр-көптүр DNS сурамдарын ошол эле жерден (белгиленген DNS серверинен) алат. DoH, өзгөчө Firefoxтун аны ишке ашыруусу, бул келечекте өзгөрүшү мүмкүн экенин көрсөтүп турат. Компьютердеги ар бир тиркеме ар кандай DNS булактарынан маалыматтарды кабыл алышы мүмкүн, бул көйгөйлөрдү чечүү, коопсуздукту жана тобокелдиктерди моделдештирүү кыйла татаалдашат.

Source: www.varonis.com/blog/what-is-powershell

TLS боюнча DNS жана HTTPS боюнча DNS ортосунда кандай айырма бар?

Келгиле, TLS (DoT) аркылуу DNS менен баштайлы. Бул жерде негизги нерсе, баштапкы DNS протоколу өзгөртүлбөйт, бирок жөн гана коопсуз канал аркылуу коопсуз өткөрүлүп берилет. DoH, экинчи жагынан, суроо-талаптарды жасоодон мурун DNSти HTTP форматына коет.

DNS мониторинг эскертүүлөрү

Тармагыңыздагы DNS трафикти шектүү аномалиялар үчүн натыйжалуу көзөмөлдөө мүмкүнчүлүгү бузууну эрте аныктоо үчүн абдан маанилүү. Varonis Edge сыяктуу куралды колдонуу сизге бардык маанилүү көрсөткүчтөрдүн үстүндө турууга жана тармагыңыздагы ар бир каттоо эсеби үчүн профилдерди түзүүгө мүмкүнчүлүк берет. Белгилүү бир убакыт аралыгындагы иш-аракеттердин айкалышынын натыйжасында түзүлө турган эскертүүлөрдү конфигурациялай аласыз.

DNS өзгөрүүлөрүн, каттоо эсебинин жайгашкан жерин, биринчи жолу колдонуу жана купуя маалыматтарга жетүү жана жумуштан кийинки иш-аракеттерди көзөмөлдөө кеңири аныктоо сүрөтүн түзүү үчүн байланыштырылышы мүмкүн болгон бир нече көрсөткүчтөр.

Source: www.habr.com