ProHoster > Blog > Administratioun > DNS Sécherheetsguide

DNS Sécherheetsguide

DNS Sécherheetsguide

Wat och ëmmer d'Firma mécht, Sécherheet DNS soll en integralen Deel vu sengem Sécherheetsplang sinn. Numm Servicer, déi Hostnumm op IP Adressen opléisen, gi vu quasi all Applikatioun a Service am Netz benotzt.

Wann en Ugräifer d'Kontroll iwwer d'DNS vun enger Organisatioun kritt, kann hien einfach:

  • ginn Iech Kontroll iwwer gemeinsam Ressourcen
  • Viruleedung vun erakommen E-Mailen souwéi Webufroen an Authentifikatiounsversich
  • erstellen a validéieren SSL / TLS Certificaten

Dëse Guide kuckt op DNS Sécherheet aus zwee Winkelen:

  1. Kontinuéierlech Iwwerwaachung a Kontroll iwwer DNS ausféieren
  2. Wéi nei DNS Protokoller wéi DNSSEC, DOH an DoT kënnen hëllefen d'Integritéit an d'Vertraulechkeet vun iwwerdroenen DNS Ufroen ze schützen

Wat ass DNS Sécherheet?

DNS Sécherheetsguide

D'Konzept vun der DNS Sécherheet enthält zwee wichteg Komponenten:

  1. Assuréieren d'allgemeng Integritéit an d'Disponibilitéit vun DNS-Servicer déi Hostnamen op IP Adressen léisen
  2. Monitor DNS Aktivitéit fir méiglech Sécherheetsprobleemer iwwerall op Ärem Netz z'identifizéieren

Firwat ass DNS vulnérabel fir Attacken?

DNS Technologie gouf an de fréie Deeg vum Internet erstallt, laang ier iergendeen iwwer d'Netzsécherheet ugefaang huet. DNS funktionnéiert ouni Authentifikatioun oder Verschlësselung, blann veraarbecht Ufroe vun all Benotzer.

Dofir ginn et vill Weeër fir de Benotzer ze täuschen an d'Informatioun ze falséieren iwwer wou d'Resolutioun vun den Nimm op IP Adressen tatsächlech stattfënnt.

DNS Sécherheet: Themen a Komponenten

DNS Sécherheetsguide

DNS Sécherheet besteet aus e puer Basis Komponenten, jidderee muss berücksichtegt ginn fir de komplette Schutz ze garantéieren:

  • Stäerkung vun Server Sécherheet a Gestioun Prozeduren: erhéicht den Niveau vun der Serversécherheet an erstellt eng Standardkommissiounsschabloun
  • Protokollverbesserungen: DNSSEC, DoT oder DoH implementéieren
  • Analyse a Berichterstattung: Füügt en DNS Event Log op Äre SIEM System fir zousätzlech Kontext wann Dir Tëschefäll ënnersicht
  • Cyber ​​​​Intelligenz an Bedrohungserkennung: abonnéieren op eng aktiv Bedrohung Intelligenz fidderen
  • Automatisatioun: esou vill Skripte wéi méiglech erstellen fir Prozesser ze automatiséieren

Déi uewe genannte High-Level Komponenten sinn just den Tipp vum DNS Sécherheets Äisbierg. An der nächster Sektioun dauche mir a méi spezifesch Benotzungsfäll a bescht Praktiken iwwer déi Dir wësse musst.

DNS Attacken

DNS Sécherheetsguide

  • DNS Spoofing oder Cache Vergëftung: Ausnotzen vun enger Systemschwachheet fir den DNS-Cache ze manipuléieren fir Benotzer op eng aner Plaz ze redirectéieren
  • DNS Tunneling: haaptsächlech benotzt fir Fernverbindungsschutz ze ëmgoen
  • DNS Hijacking: den normale DNS-Traffic op en aneren Zil-DNS-Server ëmgeleet andeems Dir den Domain Registrar ännert
  • NXDOMAIN Attack: en DDoS-Attack op en autoritären DNS-Server duerchzeféieren andeems se illegitim Domain Ufroen schécken fir eng gezwongen Äntwert ze kréien
  • Phantom Domain: verursaacht datt den DNS Resolver op eng Äntwert vun net existente Domainen waart, wat zu enger schlechter Leeschtung resultéiert
  • Attack op engem zoufällegem Subdomain: kompromittéiert Hosten a Botnets lancéieren en DDoS Attack op e gültege Domain, awer fokusséiere säi Feier op falsch Ënnerdomainen fir den DNS-Server ze zwéngen fir records opzemaachen an d'Kontroll vum Service ze iwwerhuelen
  • Domain blockéieren: schéckt verschidde Spam-Äntwerten fir DNS-Serverressourcen ze blockéieren
  • Botnet Attack vun Abonnentausrüstung: eng Sammlung vu Computeren, Modem, Router an aner Apparater déi Rechenkraaft op eng spezifesch Websäit konzentréieren fir se mat Traffic Ufroen ze iwwerlaascht

DNS Attacken

Attacken déi iergendwéi d'DNS benotzen fir aner Systemer z'attackéieren (dh DNS-Records änneren ass net d'Ennziel):

  • Schnell-Flux
  • Single Flux Netzwierker
  • Duebel Flux Netzwierker
  • DNS Tunneling

DNS Attacken

Attacken, déi dozou féieren datt d'IP Adress, déi vum Ugräifer gebraucht gëtt, vum DNS-Server zréckginn:

  • DNS Spoofing oder Cache Vergëftung
  • DNS kaping

Wat ass DNSSEC?

DNS Sécherheetsguide

DNSSEC - Domain Name Service Security Engines - gi benotzt fir DNS records ze validéieren ouni allgemeng Informatioun fir all spezifesch DNS Ufro ze wëssen.

DNSSEC benotzt Digital Signature Keys (PKIs) fir z'iwwerpréiwen ob d'Resultater vun enger Domain Numm Ufro aus enger valabeler Quell koumen.
D'Ëmsetzung vun DNSSEC ass net nëmmen eng Industrie Best Practice, awer et ass och effektiv fir déi meescht DNS Attacken ze vermeiden.

Wéi DNSSEC Wierker

DNSSEC funktionnéiert ähnlech wéi TLS / HTTPS, benotzt ëffentlech a privat Schlësselpaaren fir digital DNS records z'ënnerschreiwen. Allgemeng Iwwersiicht vum Prozess:

  1. DNS records gi mat engem privaten-private Schlësselpaar ënnerschriwwen
  2. Äntwerten op DNSSEC Ufroen enthalen den ugefrote Rekord souwéi d'Ënnerschrëft an den ëffentleche Schlëssel
  3. dann ëffentleche Schlëssel benotzt fir d'Authentizitéit vun engem Rekord an enger Ënnerschrëft ze vergläichen

DNS an DNSSEC Sécherheet

DNS Sécherheetsguide

DNSSEC ass en Tool fir d'Integritéit vun DNS Ufroen ze kontrolléieren. Et beaflosst keng DNS Privatsphär. An anere Wierder, DNSSEC kann Iech Vertrauen ginn datt d'Äntwert op Är DNS-Ufro net manipuléiert gouf, awer all Ugräifer kann dës Resultater gesinn wéi se Iech geschéckt goufen.

DoT - DNS iwwer TLS

Transport Layer Security (TLS) ass e kryptographesche Protokoll fir Informatioun ze schützen déi iwwer eng Netzwierkverbindung iwwerdroe gëtt. Wann eng sécher TLS Verbindung tëscht dem Client an dem Server etabléiert ass, sinn déi iwwerdroen Donnéeën verschlësselt a kee Vermëttler kann se gesinn.

TLS am meeschten benotzt als Deel vun HTTPS (SSL) an Ärem Webbrowser well Ufroe fir sécher HTTP-Server geschéckt ginn.

DNS-over-TLS (DNS iwwer TLS, DoT) benotzt den TLS-Protokoll fir den UDP-Traffic vu regelméissegen DNS-Ufroen ze verschlësselen.
D'Verschlësselung vun dësen Ufroen am Kloertext hëlleft Benotzer oder Uwendungen ze schützen déi Ufroe vu verschiddenen Attacken maachen.

  • MitM, oder "Mann an der Mëtt": Ouni Verschlësselung kann den Zwëschensystem tëscht dem Client an dem autoritären DNS-Server potenziell falsch oder geféierlech Informatioun un de Client als Äntwert op eng Ufro schécken
  • Spionage an Tracking: Ouni Ufroen ze verschlësselen ass et einfach fir Middleware Systemer ze gesinn op wéi eng Siten e bestëmmte Benotzer oder Applikatioun zougräift. Och wann DNS eleng déi spezifesch Säit net opzeweisen, déi op enger Websäit besicht gëtt, ass einfach ze wëssen déi ugefrote Domainen genuch fir e Profil vun engem System oder engem Individuum ze kreéieren

DNS Sécherheetsguide
Source: Universitéit vu Kalifornien Irvine

DoH - DNS iwwer HTTPS

DNS-over-HTTPS (DNS iwwer HTTPS, DoH) ass en experimentellen Protokoll deen zesumme vu Mozilla a Google gefördert gëtt. Seng Ziler sinn ähnlech wéi den DoT Protokoll - d'Privatsphär vun de Leit online verbesseren andeems DNS Ufroen an Äntwerten verschlësselen.

Standard DNS Ufroe ginn iwwer UDP geschéckt. Ufroen an Äntwerte kënne verfollegt ginn mat Tools wéi Wireshark. DoT verschlësselt dës Ufroen, awer si ginn ëmmer nach als zimlech ënnerscheedlechen UDP-Traffic am Netz identifizéiert.

DoH hëlt eng aner Approche a schéckt verschlësselte Hostnumm Resolutiounsufroen iwwer HTTPS Verbindungen, déi ausgesinn wéi all aner Web Ufro iwwer d'Netz.

Dësen Ënnerscheed huet ganz wichteg Implikatioune souwuel fir Systemadministrateuren wéi och fir d'Zukunft vun der Nummresolutioun.

  1. DNS Filteren ass e gemeinsame Wee fir de Webverkéier ze filteren fir Benotzer vu Phishingattacken ze schützen, Siten déi Malware verdeelen oder aner potenziell schiedlech Internetaktivitéiten op engem Firmennetz. Den DoH Protokoll ëmgeet dës Filtere, potenziell Benotzer an d'Netzwierk fir e gréissere Risiko ausgesat.
  2. Am aktuellen Nummresolutiounsmodell kritt all Apparat am Netz méi oder manner DNS Ufroe vun der selwechter Plaz (e spezifizéierten DNS Server). DoH, a besonnesch d'Ëmsetzung vun Firefox dovunner, weist, datt dëst an Zukunft änneren kann. All Applikatioun op engem Computer kann Daten aus verschiddenen DNS Quellen kréien, wat d'Problembehandlung, d'Sécherheet an d'Risikomodelléierung vill méi komplex mécht.

DNS Sécherheetsguide
Source: www.varonis.com/blog/what-is-powershell

Wat ass den Ënnerscheed tëscht DNS iwwer TLS an DNS iwwer HTTPS?

Loosst eis mat DNS iwwer TLS (DoT) ufänken. Den Haaptpunkt hei ass datt den ursprénglechen DNS-Protokoll net geännert gëtt, awer einfach sécher iwwer e séchere Kanal iwwerdroen gëtt. DoH, op der anerer Säit, setzt DNS an HTTP-Format ier Dir Ufroe mécht.

DNS Iwwerwachung Alarmer

DNS Sécherheetsguide

D'Kapazitéit fir den DNS-Traffic op Ärem Netz effektiv ze iwwerwaachen fir verdächteg Anomalien ass kritesch fir eng fréi Detektioun vun engem Verstouss. Mat engem Tool wéi Varonis Edge gëtt Iech d'Fäegkeet fir op all de wichtege Metriken ze bleiwen a Profiler fir all Kont op Ärem Netz ze kreéieren. Dir kënnt Alarmer konfiguréieren fir generéiert ze ginn als Resultat vun enger Kombinatioun vun Aktiounen déi iwwer eng spezifesch Zäit geschéien.

Iwwerwaachung vun DNS Ännerungen, Kontoplazen, Éischte Gebrauch an Zougang zu sensiblen Donnéeën, an After-Hour Aktivitéit sinn nëmmen e puer Metriken déi korreléiert kënne ginn fir e méi breet Detektiounsbild ze bauen.

Source: will.com

Setzt e Commentaire