DNS drošības rokasgrāmata

Lai ko uzņēmums darītu, drošība DNS jābūt tās drošības plāna neatņemamai sastāvdaļai. Nosaukumu pakalpojumus, kas resursdatora nosaukumus atdala uz IP adresēm, izmanto praktiski katra tīkla lietojumprogramma un pakalpojums.

Ja uzbrucējs iegūst kontroli pār organizācijas DNS, viņš var viegli:

• dodiet sev kontroli pār kopīgiem resursiem
• novirzīt ienākošos e-pastus, kā arī tīmekļa pieprasījumus un autentifikācijas mēģinājumus
• izveidot un apstiprināt SSL/TLS sertifikātus

Šajā rokasgrāmatā DNS drošība aplūkota no diviem leņķiem:

1. Nepārtraukta DNS uzraudzība un kontrole
2. Kā jaunie DNS protokoli, piemēram, DNSSEC, DOH un DoT, var palīdzēt aizsargāt pārsūtīto DNS pieprasījumu integritāti un konfidencialitāti

Kas ir DNS drošība?

DNS drošības koncepcija ietver divus svarīgus komponentus:

1. Nodrošina vispārēju integritāti un DNS pakalpojumu pieejamību, kas atdala resursdatora nosaukumus uz IP adresēm
2. Pārraugiet DNS darbību, lai identificētu iespējamās drošības problēmas jebkurā tīklā

Kāpēc DNS ir neaizsargāts pret uzbrukumiem?

DNS tehnoloģija tika izveidota interneta pirmsākumos, ilgi pirms kāds vispār sāka domāt par tīkla drošību. DNS darbojas bez autentifikācijas vai šifrēšanas, akli apstrādājot jebkura lietotāja pieprasījumus.

Šī iemesla dēļ ir daudzi veidi, kā maldināt lietotāju un viltot informāciju par to, kur faktiski notiek vārdu izšķiršana uz IP adresēm.

DNS drošība: problēmas un komponenti

DNS drošība sastāv no vairākiem pamata komponenti, no kuriem katrs ir jāņem vērā, lai nodrošinātu pilnīgu aizsardzību:

• Serveru drošības un pārvaldības procedūru stiprināšana: paaugstināt servera drošības līmeni un izveidot standarta nodošanas ekspluatācijā veidni
• Protokola uzlabojumi: ieviest DNSSEC, DoT vai DoH
• Analytics un pārskati: pievienojiet savai SIEM sistēmai DNS notikumu žurnālu, lai iegūtu papildu kontekstu, izmeklējot incidentus
• Kiberizlūkošana un draudu noteikšana: abonējiet aktīvo draudu izlūkošanas plūsmu
• Automatizācija: izveidot pēc iespējas vairāk skriptu, lai automatizētu procesus

Iepriekš minētie augsta līmeņa komponenti ir tikai DNS drošības aisberga redzamā daļa. Nākamajā sadaļā mēs apskatīsim konkrētākus lietošanas gadījumus un paraugpraksi, kas jums jāzina.

DNS uzbrukumi

• DNS viltošana vai saindēšanās ar kešatmiņu: sistēmas ievainojamības izmantošana, lai manipulētu ar DNS kešatmiņu, lai novirzītu lietotājus uz citu vietu
• DNS tunelēšana: galvenokārt izmanto, lai apietu attālā savienojuma aizsardzību
• DNS nolaupīšana: normāla DNS trafika novirzīšana uz citu mērķa DNS serveri, mainot domēna reģistratūru
• NXDOMAIN uzbrukums: DDoS uzbrukuma veikšana autoritatīvam DNS serverim, nosūtot neleģitīmus domēna vaicājumus, lai iegūtu piespiedu atbildi
• fantoma domēns: liek DNS atrisinātājam gaidīt atbildi no neesošiem domēniem, kā rezultātā tiek pasliktināta veiktspēja
• uzbrukums nejaušam apakšdomēnam: Kompromitēti resursdatori un robottīkli uzsāk DDoS uzbrukumu derīgam domēnam, bet koncentrējas uz viltotiem apakšdomēniem, lai piespiestu DNS serveri meklēt ierakstus un pārņemt pakalpojuma kontroli.
• domēna bloķēšana: sūta vairākas surogātpasta atbildes, lai bloķētu DNS servera resursus
• Bottīkla uzbrukums no abonenta aprīkojuma: datoru, modemu, maršrutētāju un citu ierīču kolekcija, kas koncentrē skaitļošanas jaudu noteiktā vietnē, lai to pārslogotu ar trafika pieprasījumiem

DNS uzbrukumi

Uzbrukumi, kas kaut kādā veidā izmanto DNS, lai uzbruktu citām sistēmām (t.i., DNS ierakstu maiņa nav galamērķis):

• Fast-Flux
• Viena plūsmas tīkli
• Dubultās plūsmas tīkli
• DNS tunelēšana

DNS uzbrukumi

Uzbrukumi, kuru rezultātā uzbrucējam nepieciešamā IP adrese tiek atgriezta no DNS servera:

• DNS viltošana vai saindēšanās ar kešatmiņu
• DNS nolaupīšana

Kas ir DNSSEC?

DNSSEC — domēna nosaukumu pakalpojuma drošības programmas — tiek izmantotas, lai apstiprinātu DNS ierakstus, nezinot vispārīgu informāciju par katru konkrētu DNS pieprasījumu.

DNSSEC izmanto digitālā paraksta atslēgas (PKI), lai pārbaudītu, vai domēna vārda vaicājuma rezultāti ir no derīga avota.
DNSSEC ieviešana ir ne tikai nozares labākā prakse, bet arī efektīva, lai izvairītos no vairuma DNS uzbrukumu.

Kā darbojas DNSSEC

DNSSEC darbojas līdzīgi kā TLS/HTTPS, DNS ierakstu digitālai parakstīšanai izmantojot publisko un privāto atslēgu pārus. Vispārīgs procesa pārskats:

1. DNS ieraksti tiek parakstīti ar privāto un privāto atslēgu pāri
2. Atbildes uz DNSSEC vaicājumiem satur pieprasīto ierakstu, kā arī parakstu un publisko atslēgu
3. Tad publiskā atslēga izmanto, lai salīdzinātu ieraksta un paraksta autentiskumu

DNS un DNSSEC drošība

DNSSEC ir rīks DNS vaicājumu integritātes pārbaudei. Tas neietekmē DNS privātumu. Citiem vārdiem sakot, DNSSEC var sniegt jums pārliecību, ka atbilde uz jūsu DNS vaicājumu nav bojāta, taču jebkurš uzbrucējs var redzēt šos rezultātus, kā tie jums tika nosūtīti.

DoT — DNS, izmantojot TLS

Transporta slāņa drošība (TLS) ir kriptogrāfijas protokols, lai aizsargātu informāciju, kas tiek pārsūtīta, izmantojot tīkla savienojumu. Kad starp klientu un serveri ir izveidots drošs TLS savienojums, pārsūtītie dati tiek šifrēti un neviens starpnieks tos nevar redzēt.

TLS visbiežāk tiek izmantots kā HTTPS (SSL) daļa jūsu tīmekļa pārlūkprogrammā, jo pieprasījumi tiek sūtīti uz drošiem HTTP serveriem.

DNS-over-TLS (DNS, izmantojot TLS, DoT) izmanto TLS protokolu, lai šifrētu parasto DNS pieprasījumu UDP trafiku.
Šo pieprasījumu šifrēšana vienkāršā tekstā palīdz aizsargāt lietotājus vai lietojumprogrammas, kas iesniedz pieprasījumus, no vairākiem uzbrukumiem.

• MitM jeb "cilvēks vidū": bez šifrēšanas starpposma sistēma starp klientu un autoritatīvo DNS serveri, reaģējot uz pieprasījumu, klientam var nosūtīt nepatiesu vai bīstamu informāciju.
• Spiegošana un izsekošana: bez pieprasījumu šifrēšanas starpprogrammatūras sistēmām ir viegli redzēt, kurām vietnēm konkrēts lietotājs vai lietojumprogramma piekļūst. Lai gan DNS vien neatklās konkrēto tīmekļa vietnes lapu, kas tiek apmeklēta, pietiek tikai zināt pieprasītos domēnus, lai izveidotu sistēmas vai personas profilu.

Avots: University of California Irvine

DoH — DNS, izmantojot HTTPS

DNS-over-HTTPS (DNS, izmantojot HTTPS, DoH) ir eksperimentāls protokols, ko kopīgi reklamē Mozilla un Google. Tās mērķi ir līdzīgi DoT protokolam — uzlabot cilvēku privātumu tiešsaistē, šifrējot DNS pieprasījumus un atbildes.

Standarta DNS vaicājumi tiek nosūtīti, izmantojot UDP. Pieprasījumus un atbildes var izsekot, izmantojot tādus rīkus kā Wireshark. DoT šifrē šos pieprasījumus, taču tie joprojām tiek identificēti kā diezgan atšķirīga UDP trafika tīklā.

DoH izmanto atšķirīgu pieeju un nosūta šifrētus saimniekdatora nosaukuma izšķirtspējas pieprasījumus, izmantojot HTTPS savienojumus, kas izskatās kā jebkurš cits tīmekļa pieprasījums tīklā.

Šai atšķirībai ir ļoti svarīga ietekme gan uz sistēmu administratoriem, gan uz vārdu izšķiršanas nākotni.

1. DNS filtrēšana ir izplatīts veids, kā filtrēt tīmekļa trafiku, lai aizsargātu lietotājus no pikšķerēšanas uzbrukumiem, vietnēm, kas izplata ļaunprātīgu programmatūru, vai citām potenciāli kaitīgām interneta darbībām korporatīvajā tīklā. DoH protokols apiet šos filtrus, potenciāli pakļaujot lietotājus un tīklu lielākam riskam.
2. Pašreizējā nosaukumu izšķirtspējas modelī katra tīkla ierīce vairāk vai mazāk saņem DNS vaicājumus no vienas un tās pašas vietas (noteikta DNS servera). DoH un jo īpaši Firefox tā ieviešana liecina, ka nākotnē tas var mainīties. Katra datora lietojumprogramma var saņemt datus no dažādiem DNS avotiem, padarot problēmu novēršanu, drošību un riska modelēšanu daudz sarežģītāku.

Avots: www.varonis.com/blog/what-is-powershell

Kāda ir atšķirība starp DNS, izmantojot TLS, un DNS, izmantojot HTTPS?

Sāksim ar DNS, izmantojot TLS (DoT). Galvenais šeit ir tas, ka sākotnējais DNS protokols netiek mainīts, bet tiek vienkārši droši pārsūtīts pa drošu kanālu. No otras puses, DoH pirms pieprasījumu veikšanas ievieto DNS HTTP formātā.

DNS uzraudzības brīdinājumi

Spēja efektīvi pārraudzīt DNS trafiku jūsu tīklā, lai atklātu aizdomīgas anomālijas, ir būtiska, lai agrīni atklātu pārkāpumu. Izmantojot tādu rīku kā Varonis Edge, varēsit sekot līdzi visiem svarīgajiem rādītājiem un izveidot profilus katram kontam savā tīklā. Varat konfigurēt brīdinājumus, kas tiek ģenerēti kā darbību kombinācijas rezultāts, kas notiek noteiktā laika periodā.

DNS izmaiņu uzraudzība, kontu atrašanās vietas, pirmreizēja izmantošana un piekļuve sensitīviem datiem, kā arī darbība ārpus darba laika ir tikai daži rādītāji, kurus var saistīt, lai izveidotu plašāku noteikšanas attēlu.

Avots: www.habr.com