Kad ir ką įmonė bedarytų, saugumas DNS turėtų būti neatsiejama jos saugumo plano dalis. Vardų paslaugas, kurios išskiria pagrindinio kompiuterio pavadinimus į IP adresus, naudoja beveik kiekviena tinklo programa ir paslauga.
Jei užpuolikas įgyja organizacijos DNS kontrolę, jis gali lengvai:
leiskite sau valdyti bendrus išteklius
peradresuoti gaunamus el. laiškus, taip pat žiniatinklio užklausas ir autentifikavimo bandymus
sukurti ir patvirtinti SSL/TLS sertifikatus
Šiame vadove DNS saugumas nagrinėjamas dviem aspektais:
Nuolatinis DNS stebėjimas ir valdymas
Kaip nauji DNS protokolai, tokie kaip DNSSEC, DOH ir DoT, gali padėti apsaugoti perduodamų DNS užklausų vientisumą ir konfidencialumą
Kas yra DNS sauga?
DNS saugumo koncepcija apima du svarbius komponentus:
Užtikrinti bendrą DNS paslaugų, kurios išskiria pagrindinio kompiuterio pavadinimus į IP adresus, vientisumą ir prieinamumą
Stebėkite DNS veiklą, kad nustatytumėte galimas saugos problemas bet kurioje tinklo vietoje
Kodėl DNS yra pažeidžiamas atakoms?
DNS technologija buvo sukurta pirmosiomis interneto dienomis, gerokai anksčiau nei kas nors net pradėjo galvoti apie tinklo saugumą. DNS veikia be autentifikavimo ar šifravimo, aklai apdorodamas bet kurio vartotojo užklausas.
Dėl šios priežasties yra daug būdų, kaip apgauti vartotoją ir suklastoti informaciją apie tai, kur iš tikrųjų vyksta vardų išskyrimas į IP adresus.
DNS sauga: problemos ir komponentai
DNS saugumas susideda iš kelių pagrindinių komponentai, į kiekvieną iš kurių reikia atsižvelgti siekiant užtikrinti visišką apsaugą:
Serverio saugumo ir valdymo procedūrų stiprinimas: padidinti serverio saugumo lygį ir sukurti standartinį paleidimo šabloną
Protokolo patobulinimai: įdiegti DNSSEC, DoT arba DoH
Analizė ir ataskaitos: pridėkite DNS įvykių žurnalą prie savo SIEM sistemos, kad gautumėte papildomo konteksto tirdami incidentus
Kibernetinė žvalgyba ir grėsmių aptikimas: užsiprenumeruokite aktyvų grėsmės žvalgybos kanalą
Automatika: sukurti kuo daugiau scenarijų procesams automatizuoti
Minėti aukšto lygio komponentai yra tik DNS saugumo ledkalnio viršūnė. Kitame skyriuje apžvelgsime konkretesnius naudojimo atvejus ir geriausią praktiką, apie kurią turite žinoti.
DNS tuneliavimas: pirmiausia naudojami nuotolinio ryšio apsaugai apeiti
DNS užgrobimas: įprasto DNS srauto nukreipimas į kitą tikslinį DNS serverį, pakeičiant domeno registratorių
NXDOMAIN ataka: DDoS atakos vykdymas autoritetingame DNS serveryje siunčiant neteisėtas domeno užklausas, kad gautų priverstinį atsakymą
fantominis domenas: verčia DNS sprendiklį laukti atsakymo iš neegzistuojančių domenų, todėl našumas prastas
ataka prieš atsitiktinį padomenį: pažeisti pagrindiniai kompiuteriai ir robotų tinklai pradeda DDoS ataką prieš tinkamą domeną, tačiau sutelkia dėmesį į netikrus padomenius, kad priverstų DNS serverį ieškoti įrašų ir perimti paslaugos valdymą.
domeno blokavimas: siunčia kelis atsakymus į šlamštą, kad blokuotų DNS serverio išteklius
Botneto ataka iš abonento įrangos: kompiuterių, modemų, maršruto parinktuvų ir kitų įrenginių rinkinys, sutelkiantis skaičiavimo galią konkrečioje svetainėje, kad perkrautų ją srauto užklausomis
DNS atakos
Atakos, kurios kažkaip naudoja DNS kitoms sistemoms atakuoti (t. y. DNS įrašų keitimas nėra galutinis tikslas):
Atakos, kurių metu iš DNS serverio grąžinamas užpuolikui reikalingas IP adresas:
DNS klastojimas arba apsinuodijimas talpykla
DNS užgrobimas
Kas yra DNSSEC?
DNSSEC – domeno vardų tarnybos saugos varikliai – naudojami DNS įrašams patvirtinti, nežinant bendros informacijos apie kiekvieną konkrečią DNS užklausą.
DNSSEC naudoja skaitmeninio parašo raktus (PKI), kad patikrintų, ar domeno vardo užklausos rezultatai buvo gauti iš tinkamo šaltinio.
DNSSEC diegimas yra ne tik geriausia pramonės praktika, bet ir veiksmingai padeda išvengti daugumos DNS atakų.
Kaip veikia DNSSEC
DNSSEC veikia panašiai kaip TLS/HTTPS, naudodamas viešųjų ir privačių raktų poras skaitmeniniam DNS įrašų pasirašymui. Bendra proceso apžvalga:
DNS įrašai pasirašomi privačių ir privačių raktų pora
Atsakymuose į DNSSEC užklausas yra prašomas įrašas, taip pat parašas ir viešasis raktas
Tada viešasis raktas naudojamas įrašo ir parašo autentiškumui palyginti
DNS ir DNSSEC sauga
DNSSEC yra DNS užklausų vientisumo tikrinimo įrankis. Tai neturi įtakos DNS privatumui. Kitaip tariant, DNSSEC gali suteikti jums pasitikėjimo, kad atsakymas į DNS užklausą nebuvo sugadintas, tačiau bet kuris užpuolikas gali matyti tuos rezultatus, tokius, kokius jie jums buvo išsiųsti.
DoT – DNS per TLS
Transport Layer Security (TLS) yra kriptografinis protokolas, skirtas apsaugoti tinklo ryšiu perduodamą informaciją. Užmezgus saugų TLS ryšį tarp kliento ir serverio, perduodami duomenys užšifruojami ir joks tarpininkas jų nemato.
TLS dažniausiai naudojamas kaip HTTPS (SSL) dalis jūsų žiniatinklio naršyklėje, nes užklausos siunčiamos į saugius HTTP serverius.
DNS-over-TLS (DNS per TLS, DoT) naudoja TLS protokolą įprastų DNS užklausų UDP srautui užšifruoti.
Šių užklausų šifravimas paprastu tekstu padeda apsaugoti vartotojus ar programas, teikiančias užklausas nuo kelių atakų.
MitM arba „vyras viduryje“: be šifravimo tarpinė sistema tarp kliento ir autoritetingo DNS serverio gali siųsti klaidingą ar pavojingą informaciją klientui atsakydama į užklausą.
Šnipinėjimas ir sekimas: Nešifruojant užklausų, tarpinės programinės įrangos sistemos gali lengvai pamatyti, kurias svetaines pasiekia konkretus vartotojas ar programa. Nors vien DNS neatskleis konkretaus lankomo svetainės puslapio, norint sukurti sistemos ar asmens profilį, užtenka vien žinoti prašomus domenus.
DNS per HTTPS (DNS per HTTPS, DoH) yra eksperimentinis protokolas, kurį kartu reklamuoja „Mozilla“ ir „Google“. Jo tikslai yra panašūs į DoT protokolą – didinti žmonių privatumą internete šifruojant DNS užklausas ir atsakymus.
Standartinės DNS užklausos siunčiamos per UDP. Užklausas ir atsakymus galima sekti naudojant tokius įrankius kaip wireshark. DoT užšifruoja šias užklausas, tačiau jos vis tiek identifikuojamos kaip gana skirtingas UDP srautas tinkle.
DoH laikosi kitokio požiūrio ir siunčia užšifruotas pagrindinio kompiuterio pavadinimo skyros užklausas per HTTPS ryšius, kurios atrodo kaip bet kurios kitos žiniatinklio užklausos tinkle.
Šis skirtumas turi labai svarbių pasekmių tiek sistemos administratoriams, tiek ateičiai vardų sprendimams.
DNS filtravimas yra įprastas būdas filtruoti žiniatinklio srautą, siekiant apsaugoti vartotojus nuo sukčiavimo atakų, svetainių, platinančių kenkėjiškas programas, ar kitos potencialiai žalingos interneto veiklos įmonės tinkle. DoH protokolas apeina šiuos filtrus, todėl vartotojams ir tinklui gali kilti didesnė rizika.
Dabartiniame vardų skyrimo modelyje kiekvienas tinklo įrenginys daugiau ar mažiau gauna DNS užklausas iš tos pačios vietos (nurodyto DNS serverio). DoH, o ypač „Firefox“ įgyvendinimas, rodo, kad tai gali pasikeisti ateityje. Kiekviena kompiuterio programa gali gauti duomenis iš skirtingų DNS šaltinių, todėl trikčių šalinimas, saugumas ir rizikos modeliavimas tampa daug sudėtingesnis.
Pradėkime nuo DNS per TLS (DoT). Svarbiausia yra tai, kad pradinis DNS protokolas nėra keičiamas, o tiesiog saugiai perduodamas saugiu kanalu. Kita vertus, DoH prieš pateikdamas užklausas įdeda DNS į HTTP formatą.
DNS stebėjimo įspėjimai
Galimybė efektyviai stebėti DNS srautą tinkle, ar nėra įtartinų anomalijų, yra labai svarbus norint anksti aptikti pažeidimą. Naudodami tokį įrankį kaip Varonis Edge galėsite stebėti visus svarbius rodiklius ir kurti profilius kiekvienai jūsų tinklo paskyrai. Galite sukonfigūruoti įspėjimus, kad jie būtų generuojami kaip veiksmų, atliekamų per tam tikrą laikotarpį, derinys.
DNS pakeitimų stebėjimas, paskyros vietos, naudojimas pirmą kartą ir prieiga prie neskelbtinų duomenų bei veikla po darbo valandų yra tik keletas rodiklių, kuriuos galima susieti kuriant platesnį aptikimo vaizdą.