Na inona na inona ataon'ny orinasa, fiarovana tokony ho anisan'ny drafitry ny fiarovana azy. Ny serivisy anarana, izay mamaha ny anaran'ny mpampiantrano amin'ny adiresy IP, dia saika ampiasain'ny fampiharana sy serivisy rehetra amin'ny tambajotra.
Raha mahazo fifehezana ny DNSn'ny fikambanana iray ny mpanafika dia afaka mora foana:
- omeo fifehezana ny loharano iombonana
- manodina ny mailaka miditra ary koa ny fangatahana amin'ny tranonkala sy ny andrana fanamarinana
- mamorona sy manamarina ny fanamarinana SSL/TLS
Ity torolàlana ity dia mijery ny fiarovana DNS amin'ny lafiny roa:
- Manao fanaraha-maso sy fanaraha-maso tsy tapaka ny DNS
- Ahoana no ahafahan'ny protocole DNS vaovao toy ny DNSSEC, DOH ary DoT manampy amin'ny fiarovana ny fahamendrehana sy ny tsiambaratelon'ny fangatahana DNS alefa
Inona no atao hoe fiarovana DNS?
Ny foto-kevitry ny fiarovana DNS dia misy singa roa manan-danja:
- Miantoka ny fahamendrehana ankapobeny sy ny fisian'ny serivisy DNS izay mamaha ny anaran'ny mpampiantrano amin'ny adiresy IP
- Araho ny hetsika DNS mba hamantarana ny olana momba ny fiarovana na aiza na aiza amin'ny tambajotrao
Nahoana ny DNS no mora voan'ny fanafihana?
Ny teknolojia DNS dia noforonina tamin'ny andro voalohan'ny Internet, ela be talohan'ny nanombohan'ny olona nieritreritra momba ny fiarovana ny tambajotra. DNS dia miasa tsy misy authentication na encryption, mamaly an-jambany ny fangatahana avy amin'ny mpampiasa rehetra.
Noho izany dia misy fomba maro hamitahana ny mpampiasa sy hamitahana ny vaovao momba ny toerana misy ny famahana ny anarana amin'ny adiresy IP.
DNS Security: Olana sy singa
Ny fiarovana DNS dia misy fototra maromaro singa, izay tsy maintsy raisina ny tsirairay mba hahazoana fiarovana tanteraka:
- Fanamafisana ny fiarovana ny mpizara sy ny fomba fitantanana: hampitombo ny haavon'ny fiarovana ny mpizara ary mamorona môdely fampandehanana manara-penitra
- Fanatsarana ny protocole: mampihatra DNSSEC, DoT na DoH
- Analytics sy tatitra: ampio diarin'ny hetsika DNS ao amin'ny rafitra SIEM-nao ho an'ny toe-javatra fanampiny rehefa manadihady tranga
- Cyber Intelligence and Threat Detection: misoratra anarana amin'ny famahanana faharanitan-tsaina mavitrika
- Automation: mamorona script betsaka araka izay azo atao mba ho mandeha ho azy ny dingana
Ireo singa avo lenta voalaza etsy ambony ireo dia ny tendron'ny iceberg fiarovana DNS. Ao amin'ny fizarana manaraka, isika dia hiditra amin'ny tranga fampiasana manokana sy fomba fanao tsara indrindra tokony ho fantatrao.
Fanafihana DNS
- : manararaotra ny fahalemen'ny rafitra hanodinana ny cache DNS mba hamindrana ny mpampiasa any amin'ny toerana hafa
- : ampiasaina voalohany indrindra handosirana ny fiarovana fifandraisana lavitra
- DNS hijacking: mamindra ny fifamoivoizana DNS mahazatra mankany amin'ny mpizara DNS kendrena hafa amin'ny alàlan'ny fanovana ny rejisitra domaine
- Fanafihana NXDOMAIN: manao fanafihana DDoS amin'ny mpizara DNS manam-pahefana amin'ny fandefasana fanontaniana sehatra tsy ara-dalàna hahazoana valiny an-tery
- sehatra phantom: mahatonga ny DNS solver hiandry valiny avy amin'ny sehatra tsy misy, ka miteraka tsy fahombiazana
- fanafihana subdomain kisendrasendra: Ny mpampiantrano sy botnets mandefitra dia manomboka fanafihana DDoS amin'ny sehatra manan-kery, fa mifantoka amin'ny subdomains sandoka ny afony hanerena ny mpizara DNS hikaroka firaketana sy hifehy ny serivisy.
- fanakanana sehatra: dia mandefa valinteny spam marobe hanakanana ny loharanon'ny mpizara DNS
- Fanafihana botnet avy amin'ny fitaovana mpanjifa: fitambarana solosaina, modem, router ary fitaovana hafa izay mifantoka amin'ny herin'ny informatika amin'ny tranokala manokana mba hamenoana azy amin'ny fangatahana fifamoivoizana
Fanafihana DNS
Fanafihana izay mampiasa ny DNS hanafika rafitra hafa (izany hoe ny fanovana ny rakitra DNS dia tsy tanjona farany):
- Fast-Flux
- Single Flux Networks
- Double Flux Networks
Fanafihana DNS
Fanafihana izay nahatonga ny adiresy IP ilain'ny mpanafika naverina avy amin'ny mpizara DNS:
- DNS spoofing na cache poison
- DNS hijacking
Inona no atao hoe DNSSEC?
DNSSEC - Domain Name Service Security Engines - dia ampiasaina hanamarina ny firaketana DNS nefa tsy mila mahafantatra fampahalalana ankapobeny ho an'ny fangatahana DNS manokana.
DNSSEC dia mampiasa Digital Signature Keys (PKIs) hanamarina raha avy amin'ny loharano manan-kery ny valin'ny fangatahana anaran-tsehatra.
Ny fampiharana DNSSEC dia tsy fomba fanao tsara indrindra amin'ny indostria ihany, fa mahomby amin'ny fisorohana ny ankamaroan'ny fanafihana DNS.
Ahoana ny fiasan'ny DNSSEC
Ny DNSSEC dia miasa mitovy amin'ny TLS/HTTPS, mampiasa mpivady fanalahidy ho an'ny daholobe sy tsy miankina hanasonia nomerika ny rakitra DNS. Overview ankapoben'ny dingana:
- Ny firaketana DNS dia nosoniavina miaraka amin'ny mpivady fanalahidy tsy miankina
- Ny valin'ny fanontaniana DNSSEC dia ahitana ny rakitra nangatahana ary koa ny sonia sy ny fanalahidin'ny daholobe
- avy eo ampiasaina hampitahana ny maha-azo itokiana ny rakitra iray sy ny sonia iray
DNS sy DNSSEC Security
DNSSEC dia fitaovana hanamarinana ny fahamarinan'ny fangatahana DNS. Tsy misy fiantraikany amin'ny tsiambaratelo DNS izany. Raha lazaina amin'ny teny hafa, ny DNSSEC dia afaka manome toky anao fa tsy voasoloky ny valin'ny fanontanianao DNS, fa ny mpanafika rehetra dia afaka mahita ireo valiny ireo rehefa nalefa tany aminao.
DoT - DNS amin'ny TLS
Transport Layer Security (TLS) dia protocole kriptografika ho fiarovana ny vaovao ampitaina amin'ny fifandraisana amin'ny tambajotra. Raha vantany vao tafapetraka ny fifandraisana TLS azo antoka eo amin'ny mpanjifa sy ny mpizara, ny angon-drakitra ampitaina dia miafina ary tsy misy mpanelanelana afaka mahita izany.
matetika ampiasaina ho ampahany amin'ny HTTPS (SSL) ao amin'ny mpitety tranonkalanao satria alefa any amin'ny mpizara HTTP fiarovana ny fangatahana.
DNS-over-TLS (DNS over TLS, DoT) dia mampiasa ny protocol TLS mba hanafenana ny fifamoivoizana UDP amin'ny fangatahana DNS mahazatra.
Ny famandrihana ireo fangatahana ireo amin'ny soratra tsotra dia manampy amin'ny fiarovana ny mpampiasa na ny fampiharana manao fangatahana amin'ny fanafihana maro.
- MitM, na "lehilahy eo afovoany": Raha tsy misy fanafenana, ny rafitra mpanelanelana eo amin'ny mpanjifa sy ny mpizara DNS manana fahefana dia mety handefa vaovao diso na mampidi-doza amin'ny mpanjifa ho valin'ny fangatahana.
- Espionage sy fanaraha-maso: Raha tsy misy fangatahana encryption, dia mora ho an'ny rafitra middleware ny mahita izay tranonkala idiran'ny mpampiasa na fampiharana manokana. Na dia ny DNS irery aza dia tsy hanambara ny pejy manokana tsidihina amin'ny tranokala iray, ny fahafantarana fotsiny ireo sehatra nangatahana dia ampy hamoronana mombamomba ny rafitra na olona iray.
Source:
DoH - DNS amin'ny HTTPS
DNS-over-HTTPS (DNS over HTTPS, DoH) dia protocole andrana nampiroboroboin'i Mozilla sy Google. Mitovy amin'ny protocole DoT ny tanjony—fampitomboana ny tsiambaratelon'ny olona amin'ny aterineto amin'ny alàlan'ny fanafenana ny fangatahana DNS sy ny valiny.
Ny fangatahana DNS mahazatra dia alefa amin'ny UDP. Ny fangatahana sy ny valiny dia azo arahina amin'ny fampiasana fitaovana toy ny . Ny DoT dia manisy encryption ireo fangatahana ireo, saingy mbola fantatra fa fifamoivoizana UDP miavaka amin'ny tambajotra izy ireo.
Manao fomba fiasa hafa ny DoH ary mandefa fangatahana famahana ny anaran'ny mpampiantrano miafina amin'ny fifandraisana HTTPS, izay mitovy amin'ny fangatahana tranonkala hafa amin'ny tambajotra.
Ity fahasamihafana ity dia misy fiantraikany lehibe ho an'ny mpitantana ny rafitra sy ho an'ny ho avin'ny famahana anarana.
- Ny sivana DNS dia fomba mahazatra hanivanana ny fifamoivoizana amin'ny Internet mba hiarovana ny mpampiasa amin'ny fanafihana phishing, tranokala manaparitaka malware, na hetsika Internet mety hanimba amin'ny tambajotra orinasa. Ny protocole DoH dia mandalo ireo sivana ireo, izay mety hampidi-doza ny mpampiasa sy ny tambajotra.
- Ao amin'ny modely famahana anarana ankehitriny, ny fitaovana rehetra ao amin'ny tambajotra dia mahazo fanontaniana DNS avy amin'ny toerana iray ihany (server DNS voafaritra). DoH, ary indrindra ny fampiharana an'i Firefox, dia mampiseho fa mety hiova izany amin'ny ho avy. Ny fampiharana tsirairay amin'ny solosaina iray dia mety mahazo angona avy amin'ny loharano DNS samihafa, ka mahatonga ny famahana olana, ny fiarovana ary ny maodely risika ho sarotra kokoa.
Source:
Inona no maha samy hafa ny DNS amin'ny TLS sy DNS amin'ny HTTPS?
Andeha isika hanomboka amin'ny DNS amin'ny TLS (DoT). Ny tena hevi-dehibe eto dia ny hoe tsy ovaina ny protocol DNS tany am-boalohany, fa alefa soa aman-tsara amin'ny fantsona azo antoka. Ny DoH kosa dia mametraka DNS amin'ny endrika HTTP alohan'ny hanaovana fangatahana.
Fanairana fanaraha-maso DNS
Ny fahafahana manara-maso tsara ny fifamoivoizana DNS ao amin'ny tambajotrao raha misy tsy mety mampiahiahy dia tena ilaina amin'ny fahafantarana mialoha ny fisian'ny fandikan-dalàna. Ny fampiasana fitaovana toa an'i Varonis Edge dia hanome anao fahafahana hijanona eo ambonin'ny metrika manan-danja rehetra ary hamorona mombamomba ho an'ny kaonty tsirairay ao amin'ny tambajotrao. Azonao atao ny manitsy ny fampandrenesana havoaka ho vokatry ny fitambaran'ny hetsika mitranga mandritra ny fe-potoana voafaritra.
Ny fanaraha-maso ny fiovan'ny DNS, ny toerana misy ny kaonty, ny fampiasana voalohany ary ny fidirana amin'ny angon-drakitra saro-pady, ary ny hetsika aorian'ny ora dia metrika vitsivitsy izay azo ampifandraisina amin'ny fananganana sary mivelatra kokoa.
Source: www.habr.com