Водич за безбедност на DNS

Што и да прави компанијата, безбедност DNS треба да биде составен дел од неговиот безбедносен план. Услугите за имиња, кои ги решаваат имињата на домаќините на IP адреси, се користат буквално од секоја апликација и услуга на мрежата.

Ако напаѓачот добие контрола врз DNS на организацијата, тој лесно може:

• дајте си контрола над споделените ресурси
• пренасочување на дојдовните пораки, како и веб-барањата и обидите за автентикација
• креирајте и потврдете SSL/TLS сертификати

Овој водич ја разгледува безбедноста на DNS од два агли:

1. Вршење континуиран мониторинг и контрола на DNS
2. Како новите DNS протоколи како што се DNSSEC, DOH и DoT можат да помогнат во заштитата на интегритетот и доверливоста на пренесените барања за DNS

Што е безбедност на DNS?

Концептот за безбедност на DNS вклучува две важни компоненти:

1. Обезбедување на целокупниот интегритет и достапност на услугите на DNS кои ги решаваат имињата на домаќините на IP адресите
2. Следете ја активноста на DNS за да ги идентификувате можните безбедносни проблеми каде било на вашата мрежа

Зошто DNS е ранлив на напади?

DNS технологијата е создадена во раните денови на Интернетот, многу пред некој воопшто да почне да размислува за мрежната безбедност. DNS работи без автентикација или шифрирање, слепо обработувајќи барања од кој било корисник.

Поради ова, постојат многу начини да се измами корисникот и да се фалсификуваат информации за тоа каде всушност се случува резолуцијата на имињата на IP адресите.

DNS безбедност: прашања и компоненти

Безбедноста на DNS се состои од неколку основни компоненти, од кои секоја мора да се земе предвид за да се обезбеди целосна заштита:

• Зајакнување на процедурите за безбедност и управување со серверот: зголемете го нивото на безбедност на серверот и креирајте стандарден шаблон за пуштање во работа
• Подобрувања на протоколот: имплементирајте DNSSEC, DoT или DoH
• Анализа и известување: додајте дневник за настани на DNS во вашиот SIEM систем за дополнителен контекст кога истражувате инциденти
• Сајбер-интелигенција и откривање закани: претплатете се на активен извор на разузнавачки информации за закани
• Автоматизација: креирајте што е можно повеќе скрипти за автоматизирање на процесите

Горенаведените компоненти на високо ниво се само врвот на безбедносната санта мраз на DNS. Во следниот дел, ќе нурнеме во поспецифични случаи на употреба и најдобри практики за кои треба да знаете.

DNS напади

• DNS измама или труење со кеш: искористување на системска ранливост за манипулирање со кешот на DNS за да ги пренасочи корисниците на друга локација
• DNS тунелирање: првенствено се користи за заобиколување на заштитата за далечинско поврзување
• Киднапирање на DNS: пренасочување на нормалниот DNS сообраќај на различен целен DNS сервер со промена на регистраторот на доменот
• Напад NXDOMAIN: спроведување на DDoS напад на авторитетен DNS сервер со испраќање нелегитимни прашања за домен за да се добие принуден одговор
• фантомски домен: предизвикува разрешувачот на DNS да чека одговор од непостоечки домени, што резултира со слаби перформанси
• напад на случаен поддомен: компромитирани хостови и ботнети започнуваат DDoS напад на валиден домен, но го фокусираат својот оган на лажни поддомени за да го принудат серверот DNS да бара записи и да ја преземе контролата врз услугата
• блокирање на домен: испраќа повеќе одговори на спам за блокирање на ресурсите на DNS-серверот
• Ботнет напад од претплатничка опрема: збирка од компјутери, модеми, рутери и други уреди кои ја концентрираат компјутерската моќ на одредена веб-локација за да ја преоптоварат со сообраќајни барања

DNS напади

Напади кои некако го користат DNS за напад на други системи (т.е. менувањето на записите на DNS не е крајната цел):

• Брз флукс
• Единечни флукс мрежи
• Мрежи со двоен тек
• DNS тунелирање

DNS напади

Напади што резултираат со враќање на IP адресата што му е потребна на напаѓачот од DNS серверот:

• DNS измама или труење со кеш
• Киднапирање на DNS

Што е DNSSEC?

DNSSEC - Безбедносни мотори на услуга за име на домен - се користат за валидација на записите на DNS без потреба да се знаат општи информации за секое специфично барање за DNS.

DNSSEC користи клучеви за дигитален потпис (PKI) за да потврди дали резултатите од барањето за име на домен потекнуваат од валиден извор.
Спроведувањето на DNSSEC не е само најдобра практика во индустријата, туку е и ефикасно во избегнувањето на повеќето DNS напади.

Како функционира DNSSEC

DNSSEC работи слично како TLS/HTTPS, користејќи парови на јавни и приватни клучеви за дигитално потпишување на записите на DNS. Општ преглед на процесот:

1. Записите на DNS се потпишани со пар приватен-приватен клуч
2. Одговорите на барањата за DNSSEC го содржат бараниот запис, како и потписот и јавниот клуч
3. Тогаш јавен клуч се користи за споредба на автентичноста на записот и потписот

DNS и DNSSEC безбедност

DNSSEC е алатка за проверка на интегритетот на барањата за DNS. Тоа не влијае на приватноста на DNS. Со други зборови, DNSSEC може да ви даде доверба дека одговорот на вашето барање за DNS не е манипулиран, но секој напаѓач може да ги види тие резултати како што ви биле испратени.

DoT - DNS преку TLS

Безбедност на транспортниот слој (TLS) е криптографски протокол за заштита на информациите пренесени преку мрежна врска. Откако ќе се воспостави безбедна TLS врска помеѓу клиентот и серверот, пренесените податоци се шифрираат и ниеден посредник не може да ги види.

TLS најчесто се користи како дел од HTTPS (SSL) во вашиот веб-прелистувач бидејќи барањата се испраќаат до безбедни HTTP сервери.

DNS-over-TLS (DNS преку TLS, DoT) го користи протоколот TLS за шифрирање на UDP сообраќајот на редовните барања за DNS.
Шифрирањето на овие барања во обичен текст помага да се заштитат корисниците или апликациите што поднесуваат барања од неколку напади.

• MitM, или „човек во средината“: без шифрирање, средниот систем помеѓу клиентот и авторитетниот DNS-сервер потенцијално може да испрати лажни или опасни информации до клиентот како одговор на барање
• Шпионажа и следење: Без шифрирање барања, системите за среден софтвер лесно можат да видат на кои страници пристапува одреден корисник или апликација. Иако DNS сам нема да ја открие конкретната страница што се посетува на веб-локација, едноставното познавање на бараните домени е доволно за да се создаде профил на систем или поединец

Извор: Универзитет во Калифорнија Ирвин

DoH - DNS преку HTTPS

DNS-over-HTTPS (DNS преку HTTPS, DoH) е експериментален протокол промовиран заеднички од Mozilla и Google. Неговите цели се слични на протоколот DoT - подобрување на приватноста на луѓето на интернет преку шифрирање на барањата и одговорите на DNS.

Стандардните барања за DNS се испраќаат преку UDP. Барањата и одговорите може да се следат со помош на алатки како што се Wireshark. DoT ги шифрира овие барања, но тие сè уште се идентификувани како прилично различен UDP сообраќај на мрежата.

DoH зазема поинаков пристап и испраќа шифрирани барања за резолуција на името на домаќинот преку HTTPS конекциите, кои изгледаат како секое друго веб-барање преку мрежата.

Оваа разлика има многу важни импликации и за системските администратори и за иднината на решавањето на името.

1. Филтрирањето DNS е вообичаен начин за филтрирање на веб-сообраќајот за да се заштитат корисниците од напади на фишинг, страници што дистрибуираат малициозен софтвер или друга потенцијално штетна Интернет активност на корпоративна мрежа. Протоколот DoH ги заобиколува овие филтри, потенцијално изложувајќи ги корисниците и мрежата на поголем ризик.
2. Во тековниот модел за резолуција на името, секој уред на мрежата повеќе или помалку прима DNS барања од истата локација (одреден DNS сервер). DoH, а особено имплементацијата на Firefox на тоа, покажува дека ова може да се промени во иднина. Секоја апликација на компјутер може да прима податоци од различни извори на DNS, што ги прави решавањето на проблеми, безбедноста и моделирањето на ризик многу посложени.

Извор: www.varonis.com/blog/what-is-powershell

Која е разликата помеѓу DNS преку TLS и DNS преку HTTPS?

Да почнеме со DNS преку TLS (DoT). Главната поента овде е дека оригиналниот DNS протокол не се менува, туку едноставно се пренесува безбедно преку безбеден канал. DoH, од друга страна, го става DNS во HTTP формат пред да поднесе барања.

Известувања за следење на DNS

Способноста за ефикасно следење на сообраќајот на DNS на вашата мрежа за сомнителни аномалии е од клучно значење за рано откривање на прекршување. Користењето алатка како Varonis Edge ќе ви даде можност да останете на врвот на сите важни метрики и да креирате профили за секоја сметка на вашата мрежа. Можете да конфигурирате предупредувања да се генерираат како резултат на комбинација на дејства што се случуваат во одреден временски период.

Следењето на промените на DNS, локациите на сметките, употребата за прв пат и пристапот до чувствителни податоци и активноста по работното време се само неколку метрики што може да се поврзат за да се изгради поширока слика за откривање.

Извор: www.habr.com