Apa sahaja yang syarikat lakukan, keselamatan harus menjadi sebahagian daripada pelan keselamatannya. Perkhidmatan nama, yang menyelesaikan nama hos kepada alamat IP, digunakan oleh hampir setiap aplikasi dan perkhidmatan pada rangkaian.
Jika penyerang mendapat kawalan ke atas DNS organisasi, dia boleh dengan mudah:
- berikan diri anda kawalan ke atas sumber yang dikongsi
- ubah hala e-mel masuk serta permintaan web dan percubaan pengesahan
- mencipta dan mengesahkan sijil SSL/TLS
Panduan ini melihat keselamatan DNS dari dua sudut:
- Melakukan pemantauan dan kawalan berterusan ke atas DNS
- Bagaimana protokol DNS baharu seperti DNSSEC, DOH dan DoT boleh membantu melindungi integriti dan kerahsiaan permintaan DNS yang dihantar
Apakah keselamatan DNS?
Konsep keselamatan DNS merangkumi dua komponen penting:
- Memastikan integriti keseluruhan dan ketersediaan perkhidmatan DNS yang menyelesaikan nama hos kepada alamat IP
- Pantau aktiviti DNS untuk mengenal pasti kemungkinan isu keselamatan di mana-mana sahaja pada rangkaian anda
Mengapa DNS terdedah kepada serangan?
Teknologi DNS telah dicipta pada zaman awal Internet, jauh sebelum sesiapa pun mula memikirkan tentang keselamatan rangkaian. DNS beroperasi tanpa pengesahan atau penyulitan, memproses permintaan daripada mana-mana pengguna secara membuta tuli.
Oleh sebab itu, terdapat banyak cara untuk menipu pengguna dan memalsukan maklumat tentang di mana penyelesaian nama kepada alamat IP sebenarnya berlaku.
Keselamatan DNS: Isu dan Komponen
Keselamatan DNS terdiri daripada beberapa asas komponen, setiap satunya mesti diambil kira untuk memastikan perlindungan lengkap:
- Memperkukuh keselamatan pelayan dan prosedur pengurusan: meningkatkan tahap keselamatan pelayan dan mencipta templat pentauliahan standard
- Penambahbaikan protokol: melaksanakan DNSSEC, DoT atau DoH
- Analitis dan pelaporan: tambahkan log peristiwa DNS pada sistem SIEM anda untuk konteks tambahan semasa menyiasat insiden
- Perisikan Siber dan Pengesanan Ancaman: melanggan suapan risikan ancaman aktif
- Automasi: buat sebanyak mungkin skrip untuk mengautomasikan proses
Komponen peringkat tinggi yang disebutkan di atas hanyalah puncak gunung ais keselamatan DNS. Dalam bahagian seterusnya, kami akan menyelami kes penggunaan yang lebih khusus dan amalan terbaik yang perlu anda ketahui.
Serangan DNS
- : mengeksploitasi kelemahan sistem untuk memanipulasi cache DNS untuk mengubah hala pengguna ke lokasi lain
- : digunakan terutamanya untuk memintas perlindungan sambungan jauh
- Rampasan DNS: mengubah hala trafik DNS biasa ke pelayan DNS sasaran yang berbeza dengan menukar pendaftar domain
- Serangan NXDOMAIN: menjalankan serangan DDoS pada pelayan DNS yang berwibawa dengan menghantar pertanyaan domain yang tidak sah untuk mendapatkan respons paksa
- domain hantu: menyebabkan penyelesai DNS menunggu respons daripada domain yang tidak wujud, mengakibatkan prestasi yang lemah
- menyerang subdomain rawak: hos dan botnet yang terjejas melancarkan serangan DDoS pada domain yang sah, tetapi menumpukan perhatian mereka pada subdomain palsu untuk memaksa pelayan DNS mencari rekod dan mengambil alih kawalan perkhidmatan
- penyekatan domain: sedang menghantar berbilang respons spam untuk menyekat sumber pelayan DNS
- Serangan botnet daripada peralatan pelanggan: koleksi komputer, modem, penghala dan peranti lain yang menumpukan kuasa pengkomputeran pada tapak web tertentu untuk membebankannya dengan permintaan trafik
Serangan DNS
Serangan yang entah bagaimana menggunakan DNS untuk menyerang sistem lain (iaitu menukar rekod DNS bukanlah matlamat akhir):
- Fluks Cepat
- Rangkaian Fluks Tunggal
- Rangkaian Fluks Berganda
Serangan DNS
Serangan yang mengakibatkan alamat IP yang diperlukan oleh penyerang dikembalikan daripada pelayan DNS:
- Penipuan DNS atau keracunan cache
- rampasan DNS
Apakah DNSSEC?
DNSSEC - Enjin Keselamatan Perkhidmatan Nama Domain - digunakan untuk mengesahkan rekod DNS tanpa perlu mengetahui maklumat umum untuk setiap permintaan DNS tertentu.
DNSSEC menggunakan Kunci Tandatangan Digital (PKI) untuk mengesahkan sama ada hasil pertanyaan nama domain datang daripada sumber yang sah.
Melaksanakan DNSSEC bukan sahaja amalan terbaik industri, tetapi ia juga berkesan dalam mengelakkan kebanyakan serangan DNS.
Cara DNSSEC berfungsi
DNSSEC berfungsi sama seperti TLS/HTTPS, menggunakan pasangan kunci awam dan peribadi untuk menandatangani rekod DNS secara digital. Gambaran umum proses:
- Rekod DNS ditandatangani dengan pasangan kunci persendirian
- Respons kepada pertanyaan DNSSEC mengandungi rekod yang diminta serta tandatangan dan kunci awam
- kemudian digunakan untuk membandingkan ketulenan rekod dan tandatangan
DNS dan DNSSEC Security
DNSSEC ialah alat untuk menyemak integriti pertanyaan DNS. Ia tidak menjejaskan privasi DNS. Dalam erti kata lain, DNSSEC boleh memberi anda keyakinan bahawa jawapan kepada pertanyaan DNS anda tidak diganggu, tetapi mana-mana penyerang boleh melihat hasil tersebut semasa ia dihantar kepada anda.
DoT - DNS melalui TLS
Keselamatan Lapisan Pengangkutan (TLS) ialah protokol kriptografi untuk melindungi maklumat yang dihantar melalui sambungan rangkaian. Setelah sambungan TLS selamat diwujudkan antara klien dan pelayan, data yang dihantar disulitkan dan tiada perantara dapat melihatnya.
paling biasa digunakan sebagai sebahagian daripada HTTPS (SSL) dalam penyemak imbas web anda kerana permintaan dihantar ke pelayan HTTP selamat.
DNS-over-TLS (DNS over TLS, DoT) menggunakan protokol TLS untuk menyulitkan trafik UDP bagi permintaan DNS biasa.
Menyulitkan permintaan ini dalam teks biasa membantu melindungi pengguna atau aplikasi yang membuat permintaan daripada beberapa serangan.
- MitM, atau "lelaki di tengah": Tanpa penyulitan, sistem perantaraan antara klien dan pelayan DNS yang berwibawa berkemungkinan menghantar maklumat palsu atau berbahaya kepada klien sebagai tindak balas kepada permintaan
- Pengintipan dan pengesanan: Tanpa menyulitkan permintaan, sistem middleware adalah mudah untuk melihat tapak mana yang diakses oleh pengguna atau aplikasi tertentu. Walaupun DNS sahaja tidak akan mendedahkan halaman khusus yang dilawati di tapak web, hanya mengetahui domain yang diminta sudah cukup untuk membuat profil sistem atau individu
Sumber:
DoH - DNS melalui HTTPS
DNS-over-HTTPS (DNS over HTTPS, DoH) ialah protokol percubaan yang dipromosikan bersama oleh Mozilla dan Google. Matlamatnya adalah serupa dengan protokol DoTβmeningkatkan privasi orang ramai dalam talian dengan menyulitkan permintaan dan respons DNS.
Pertanyaan DNS standard dihantar melalui UDP. Permintaan dan respons boleh dikesan menggunakan alat seperti . DoT menyulitkan permintaan ini, tetapi ia masih dikenal pasti sebagai trafik UDP yang agak berbeza pada rangkaian.
DoH mengambil pendekatan berbeza dan menghantar permintaan resolusi nama hos yang disulitkan melalui sambungan HTTPS, yang kelihatan seperti permintaan web lain melalui rangkaian.
Perbezaan ini mempunyai implikasi yang sangat penting untuk pentadbir sistem dan untuk masa depan resolusi nama.
- Penapisan DNS ialah cara biasa untuk menapis trafik web untuk melindungi pengguna daripada serangan pancingan data, tapak yang mengedarkan perisian hasad atau aktiviti Internet lain yang berpotensi berbahaya pada rangkaian korporat. Protokol DoH memintas penapis ini, yang berpotensi mendedahkan pengguna dan rangkaian kepada risiko yang lebih besar.
- Dalam model peleraian nama semasa, setiap peranti pada rangkaian lebih kurang menerima pertanyaan DNS dari lokasi yang sama (pelayan DNS tertentu). DoH, dan khususnya pelaksanaan Firefox, menunjukkan bahawa ini mungkin berubah pada masa hadapan. Setiap aplikasi pada komputer mungkin menerima data daripada sumber DNS yang berbeza, menjadikan penyelesaian masalah, keselamatan dan pemodelan risiko menjadi lebih kompleks.
Sumber:
Apakah perbezaan antara DNS berbanding TLS dan DNS melalui HTTPS?
Mari kita mulakan dengan DNS melalui TLS (DoT). Perkara utama di sini ialah protokol DNS asal tidak diubah, tetapi hanya dihantar dengan selamat melalui saluran selamat. DoH, sebaliknya, meletakkan DNS ke dalam format HTTP sebelum membuat permintaan.
Makluman Pemantauan DNS
Keupayaan untuk memantau trafik DNS pada rangkaian anda dengan berkesan untuk anomali yang mencurigakan adalah penting untuk pengesanan awal pelanggaran. Menggunakan alat seperti Varonis Edge akan memberi anda keupayaan untuk kekal di atas semua metrik penting dan membuat profil untuk setiap akaun pada rangkaian anda. Anda boleh mengkonfigurasi makluman untuk dijana hasil daripada gabungan tindakan yang berlaku dalam tempoh masa tertentu.
Memantau perubahan DNS, lokasi akaun, penggunaan kali pertama dan akses kepada data sensitif serta aktiviti selepas waktu kerja hanyalah beberapa metrik yang boleh dikaitkan untuk membina gambaran pengesanan yang lebih luas.
Sumber: www.habr.com