Lai ko uzÅÄmums darÄ«tu, droŔība DNS jÄbÅ«t tÄs droŔības plÄna neatÅemamai sastÄvdaļai. Nosaukumu pakalpojumus, kas resursdatora nosaukumus atdala uz IP adresÄm, izmanto praktiski katra tÄ«kla lietojumprogramma un pakalpojums.
Ja uzbrucÄjs iegÅ«st kontroli pÄr organizÄcijas DNS, viÅÅ” var viegli:
dodiet sev kontroli pÄr kopÄ«giem resursiem
novirzÄ«t ienÄkoÅ”os e-pastus, kÄ arÄ« tÄ«mekļa pieprasÄ«jumus un autentifikÄcijas mÄÄ£inÄjumus
izveidot un apstiprinÄt SSL/TLS sertifikÄtus
Å ajÄ rokasgrÄmatÄ DNS droŔība aplÅ«kota no diviem leÅÄ·iem:
NepÄrtraukta DNS uzraudzÄ«ba un kontrole
KÄ jaunie DNS protokoli, piemÄram, DNSSEC, DOH un DoT, var palÄ«dzÄt aizsargÄt pÄrsÅ«tÄ«to DNS pieprasÄ«jumu integritÄti un konfidencialitÄti
Kas ir DNS droŔība?
DNS droŔības koncepcija ietver divus svarīgus komponentus:
NodroÅ”ina vispÄrÄju integritÄti un DNS pakalpojumu pieejamÄ«bu, kas atdala resursdatora nosaukumus uz IP adresÄm
PÄrraugiet DNS darbÄ«bu, lai identificÄtu iespÄjamÄs droŔības problÄmas jebkurÄ tÄ«klÄ
KÄpÄc DNS ir neaizsargÄts pret uzbrukumiem?
DNS tehnoloÄ£ija tika izveidota interneta pirmsÄkumos, ilgi pirms kÄds vispÄr sÄka domÄt par tÄ«kla droŔību. DNS darbojas bez autentifikÄcijas vai Å”ifrÄÅ”anas, akli apstrÄdÄjot jebkura lietotÄja pieprasÄ«jumus.
Å Ä« iemesla dÄļ ir daudzi veidi, kÄ maldinÄt lietotÄju un viltot informÄciju par to, kur faktiski notiek vÄrdu izŔķirÅ”ana uz IP adresÄm.
DNS droŔība: problÄmas un komponenti
DNS droŔība sastÄv no vairÄkiem pamata komponenti, no kuriem katrs ir jÄÅem vÄrÄ, lai nodroÅ”inÄtu pilnÄ«gu aizsardzÄ«bu:
Serveru droŔības un pÄrvaldÄ«bas procedÅ«ru stiprinÄÅ”ana: paaugstinÄt servera droŔības lÄ«meni un izveidot standarta nodoÅ”anas ekspluatÄcijÄ veidni
Protokola uzlabojumi: ieviest DNSSEC, DoT vai DoH
Analytics un pÄrskati: pievienojiet savai SIEM sistÄmai DNS notikumu žurnÄlu, lai iegÅ«tu papildu kontekstu, izmeklÄjot incidentus
KiberizlÅ«koÅ”ana un draudu noteikÅ”ana: abonÄjiet aktÄ«vo draudu izlÅ«koÅ”anas plÅ«smu
AutomatizÄcija: izveidot pÄc iespÄjas vairÄk skriptu, lai automatizÄtu procesus
IepriekÅ” minÄtie augsta lÄ«meÅa komponenti ir tikai DNS droŔības aisberga redzamÄ daļa. NÄkamajÄ sadaÄ¼Ä mÄs apskatÄ«sim konkrÄtÄkus lietoÅ”anas gadÄ«jumus un paraugpraksi, kas jums jÄzina.
DNS tunelÄÅ”ana: galvenokÄrt izmanto, lai apietu attÄlÄ savienojuma aizsardzÄ«bu
DNS nolaupÄ«Å”ana: normÄla DNS trafika novirzÄ«Å”ana uz citu mÄrÄ·a DNS serveri, mainot domÄna reÄ£istratÅ«ru
NXDOMAIN uzbrukums: DDoS uzbrukuma veikÅ”ana autoritatÄ«vam DNS serverim, nosÅ«tot neleÄ£itÄ«mus domÄna vaicÄjumus, lai iegÅ«tu piespiedu atbildi
fantoma domÄns: liek DNS atrisinÄtÄjam gaidÄ«t atbildi no neesoÅ”iem domÄniem, kÄ rezultÄtÄ tiek pasliktinÄta veiktspÄja
uzbrukums nejauÅ”am apakÅ”domÄnam: KompromitÄti resursdatori un robottÄ«kli uzsÄk DDoS uzbrukumu derÄ«gam domÄnam, bet koncentrÄjas uz viltotiem apakÅ”domÄniem, lai piespiestu DNS serveri meklÄt ierakstus un pÄrÅemt pakalpojuma kontroli.
domÄna bloÄ·ÄÅ”ana: sÅ«ta vairÄkas surogÄtpasta atbildes, lai bloÄ·Ätu DNS servera resursus
BottÄ«kla uzbrukums no abonenta aprÄ«kojuma: datoru, modemu, marÅ”rutÄtÄju un citu ierÄ«Äu kolekcija, kas koncentrÄ skaitļoÅ”anas jaudu noteiktÄ vietnÄ, lai to pÄrslogotu ar trafika pieprasÄ«jumiem
DNS uzbrukumi
Uzbrukumi, kas kaut kÄdÄ veidÄ izmanto DNS, lai uzbruktu citÄm sistÄmÄm (t.i., DNS ierakstu maiÅa nav galamÄrÄ·is):
Uzbrukumi, kuru rezultÄtÄ uzbrucÄjam nepiecieÅ”amÄ IP adrese tiek atgriezta no DNS servera:
DNS viltoÅ”ana vai saindÄÅ”anÄs ar keÅ”atmiÅu
DNS nolaupīŔana
Kas ir DNSSEC?
DNSSEC ā domÄna nosaukumu pakalpojuma droŔības programmas ā tiek izmantotas, lai apstiprinÄtu DNS ierakstus, nezinot vispÄrÄ«gu informÄciju par katru konkrÄtu DNS pieprasÄ«jumu.
DNSSEC izmanto digitÄlÄ paraksta atslÄgas (PKI), lai pÄrbaudÄ«tu, vai domÄna vÄrda vaicÄjuma rezultÄti ir no derÄ«ga avota.
DNSSEC ievieÅ”ana ir ne tikai nozares labÄkÄ prakse, bet arÄ« efektÄ«va, lai izvairÄ«tos no vairuma DNS uzbrukumu.
KÄ darbojas DNSSEC
DNSSEC darbojas lÄ«dzÄ«gi kÄ TLS/HTTPS, DNS ierakstu digitÄlai parakstÄ«Å”anai izmantojot publisko un privÄto atslÄgu pÄrus. VispÄrÄ«gs procesa pÄrskats:
DNS ieraksti tiek parakstÄ«ti ar privÄto un privÄto atslÄgu pÄri
Atbildes uz DNSSEC vaicÄjumiem satur pieprasÄ«to ierakstu, kÄ arÄ« parakstu un publisko atslÄgu
Tad publiskÄ atslÄga izmanto, lai salÄ«dzinÄtu ieraksta un paraksta autentiskumu
DNS un DNSSEC droŔība
DNSSEC ir rÄ«ks DNS vaicÄjumu integritÄtes pÄrbaudei. Tas neietekmÄ DNS privÄtumu. Citiem vÄrdiem sakot, DNSSEC var sniegt jums pÄrliecÄ«bu, ka atbilde uz jÅ«su DNS vaicÄjumu nav bojÄta, taÄu jebkurÅ” uzbrucÄjs var redzÄt Å”os rezultÄtus, kÄ tie jums tika nosÅ«tÄ«ti.
DoT ā DNS, izmantojot TLS
Transporta slÄÅa droŔība (TLS) ir kriptogrÄfijas protokols, lai aizsargÄtu informÄciju, kas tiek pÄrsÅ«tÄ«ta, izmantojot tÄ«kla savienojumu. Kad starp klientu un serveri ir izveidots droÅ”s TLS savienojums, pÄrsÅ«tÄ«tie dati tiek Å”ifrÄti un neviens starpnieks tos nevar redzÄt.
TLS visbiežÄk tiek izmantots kÄ HTTPS (SSL) daļa jÅ«su tÄ«mekļa pÄrlÅ«kprogrammÄ, jo pieprasÄ«jumi tiek sÅ«tÄ«ti uz droÅ”iem HTTP serveriem.
DNS-over-TLS (DNS, izmantojot TLS, DoT) izmanto TLS protokolu, lai Å”ifrÄtu parasto DNS pieprasÄ«jumu UDP trafiku.
Å o pieprasÄ«jumu Å”ifrÄÅ”ana vienkÄrÅ”Ä tekstÄ palÄ«dz aizsargÄt lietotÄjus vai lietojumprogrammas, kas iesniedz pieprasÄ«jumus, no vairÄkiem uzbrukumiem.
MitM jeb "cilvÄks vidÅ«": bez Å”ifrÄÅ”anas starpposma sistÄma starp klientu un autoritatÄ«vo DNS serveri, reaÄ£Äjot uz pieprasÄ«jumu, klientam var nosÅ«tÄ«t nepatiesu vai bÄ«stamu informÄciju.
SpiegoÅ”ana un izsekoÅ”ana: bez pieprasÄ«jumu Å”ifrÄÅ”anas starpprogrammatÅ«ras sistÄmÄm ir viegli redzÄt, kurÄm vietnÄm konkrÄts lietotÄjs vai lietojumprogramma piekļūst. Lai gan DNS vien neatklÄs konkrÄto tÄ«mekļa vietnes lapu, kas tiek apmeklÄta, pietiek tikai zinÄt pieprasÄ«tos domÄnus, lai izveidotu sistÄmas vai personas profilu.
DNS-over-HTTPS (DNS, izmantojot HTTPS, DoH) ir eksperimentÄls protokols, ko kopÄ«gi reklamÄ Mozilla un Google. TÄs mÄrÄ·i ir lÄ«dzÄ«gi DoT protokolam ā uzlabot cilvÄku privÄtumu tieÅ”saistÄ, Å”ifrÄjot DNS pieprasÄ«jumus un atbildes.
Standarta DNS vaicÄjumi tiek nosÅ«tÄ«ti, izmantojot UDP. PieprasÄ«jumus un atbildes var izsekot, izmantojot tÄdus rÄ«kus kÄ Wireshark. DoT Å”ifrÄ Å”os pieprasÄ«jumus, taÄu tie joprojÄm tiek identificÄti kÄ diezgan atŔķirÄ«ga UDP trafika tÄ«klÄ.
DoH izmanto atŔķirÄ«gu pieeju un nosÅ«ta Å”ifrÄtus saimniekdatora nosaukuma izŔķirtspÄjas pieprasÄ«jumus, izmantojot HTTPS savienojumus, kas izskatÄs kÄ jebkurÅ” cits tÄ«mekļa pieprasÄ«jums tÄ«klÄ.
Å ai atŔķirÄ«bai ir ļoti svarÄ«ga ietekme gan uz sistÄmu administratoriem, gan uz vÄrdu izŔķirÅ”anas nÄkotni.
DNS filtrÄÅ”ana ir izplatÄ«ts veids, kÄ filtrÄt tÄ«mekļa trafiku, lai aizsargÄtu lietotÄjus no pikŔķerÄÅ”anas uzbrukumiem, vietnÄm, kas izplata ļaunprÄtÄ«gu programmatÅ«ru, vai citÄm potenciÄli kaitÄ«gÄm interneta darbÄ«bÄm korporatÄ«vajÄ tÄ«klÄ. DoH protokols apiet Å”os filtrus, potenciÄli pakļaujot lietotÄjus un tÄ«klu lielÄkam riskam.
PaÅ”reizÄjÄ nosaukumu izŔķirtspÄjas modelÄ« katra tÄ«kla ierÄ«ce vairÄk vai mazÄk saÅem DNS vaicÄjumus no vienas un tÄs paÅ”as vietas (noteikta DNS servera). DoH un jo Ä«paÅ”i Firefox tÄ ievieÅ”ana liecina, ka nÄkotnÄ tas var mainÄ«ties. Katra datora lietojumprogramma var saÅemt datus no dažÄdiem DNS avotiem, padarot problÄmu novÄrÅ”anu, droŔību un riska modelÄÅ”anu daudz sarežģītÄku.
KÄda ir atŔķirÄ«ba starp DNS, izmantojot TLS, un DNS, izmantojot HTTPS?
SÄksim ar DNS, izmantojot TLS (DoT). Galvenais Å”eit ir tas, ka sÄkotnÄjais DNS protokols netiek mainÄ«ts, bet tiek vienkÄrÅ”i droÅ”i pÄrsÅ«tÄ«ts pa droÅ”u kanÄlu. No otras puses, DoH pirms pieprasÄ«jumu veikÅ”anas ievieto DNS HTTP formÄtÄ.
DNS uzraudzÄ«bas brÄ«dinÄjumi
SpÄja efektÄ«vi pÄrraudzÄ«t DNS trafiku jÅ«su tÄ«klÄ, lai atklÄtu aizdomÄ«gas anomÄlijas, ir bÅ«tiska, lai agrÄ«ni atklÄtu pÄrkÄpumu. Izmantojot tÄdu rÄ«ku kÄ Varonis Edge, varÄsit sekot lÄ«dzi visiem svarÄ«gajiem rÄdÄ«tÄjiem un izveidot profilus katram kontam savÄ tÄ«klÄ. Varat konfigurÄt brÄ«dinÄjumus, kas tiek Ä£enerÄti kÄ darbÄ«bu kombinÄcijas rezultÄts, kas notiek noteiktÄ laika periodÄ.
DNS izmaiÅu uzraudzÄ«ba, kontu atraÅ”anÄs vietas, pirmreizÄja izmantoÅ”ana un piekļuve sensitÄ«viem datiem, kÄ arÄ« darbÄ«ba Ärpus darba laika ir tikai daži rÄdÄ«tÄji, kurus var saistÄ«t, lai izveidotu plaÅ”Äku noteikÅ”anas attÄlu.