ProHoster > blog > Amministrazzjoni > Gwida tas-Sigurtà tad-DNS

Gwida tas-Sigurtà tad-DNS

Gwida tas-Sigurtà tad-DNS

Tkun xi tkun il-kumpanija tagħmel, is-sigurtà DNS għandha tkun parti integrali mill-pjan tas-sigurtà tagħha. Is-servizzi tal-ismijiet, li jsolvu l-ismijiet tal-hosts għal indirizzi IP, jintużaw prattikament minn kull applikazzjoni u servizz fuq in-netwerk.

Jekk attakkant jikseb il-kontroll tad-DNS ta' organizzazzjoni, jista' faċilment:

  • agħti lilek innifsek kontroll fuq ir-riżorsi kondiviżi
  • indirizza mill-ġdid l-emails deħlin kif ukoll it-talbiet tal-web u t-tentattivi ta’ awtentikazzjoni
  • toħloq u tivvalida ċertifikati SSL/TLS

Din il-gwida tħares lejn is-sigurtà tad-DNS minn żewġ angoli:

  1. Twettaq monitoraġġ u kontroll kontinwu fuq DNS
  2. Kif protokolli DNS ġodda bħal DNSSEC, DOH u DoT jistgħu jgħinu biex jipproteġu l-integrità u l-kunfidenzjalità tat-talbiet DNS trażmessi

X'inhi s-sigurtà tad-DNS?

Gwida tas-Sigurtà tad-DNS

Il-kunċett tas-sigurtà DNS jinkludi żewġ komponenti importanti:

  1. L-iżgurar tal-integrità ġenerali u d-disponibbiltà tas-servizzi DNS li jsolvu l-ismijiet tal-host għal indirizzi IP
  2. Monitora l-attività tad-DNS biex tidentifika kwistjonijiet ta’ sigurtà possibbli kullimkien fuq in-netwerk tiegħek

Għaliex id-DNS huwa vulnerabbli għall-attakki?

It-teknoloġija DNS inħolqot fl-ewwel jiem tal-Internet, ħafna qabel ma xi ħadd saħansitra beda jaħseb dwar is-sigurtà tan-netwerk. Id-DNS jopera mingħajr awtentikazzjoni jew kriptaġġ, jipproċessa bl-addoċċ it-talbiet minn kwalunkwe utent.

Minħabba dan, hemm ħafna modi kif tqarraq bl-utent u tiffalsifika l-informazzjoni dwar fejn fil-fatt isseħħ ir-riżoluzzjoni tal-ismijiet għall-indirizzi IP.

Sigurtà DNS: Kwistjonijiet u Komponenti

Gwida tas-Sigurtà tad-DNS

Is-sigurtà tad-DNS tikkonsisti f'diversi bażiċi komponenti, li kull waħda minnhom għandha titqies biex tiġi żgurata protezzjoni sħiħa:

  • It-tisħiħ tas-sigurtà tas-server u l-proċeduri ta’ ġestjoni: iżżid il-livell ta 'sigurtà tas-server u toħloq mudell standard ta' kummissjonar
  • Titjib fil-Protokoll: timplimenta DNSSEC, DoT jew DoH
  • Analiżi u rappurtar: żid log tal-avvenimenti DNS mas-sistema SIEM tiegħek għal kuntest addizzjonali meta tinvestiga inċidenti
  • Cyber ​​​​Intelligence u Sejbien ta’ Theddid: tabbona għal għalf attiv ta' intelligence dwar it-theddid
  • Awtomazzjoni: toħloq kemm jista' jkun skripts biex tawtomatizza l-proċessi

Il-komponenti ta 'livell għoli imsemmija hawn fuq huma biss il-ponta tal-iceberg tas-sigurtà tad-DNS. Fit-taqsima li jmiss, aħna ser ngħaddu f'każijiet ta' użu aktar speċifiċi u l-aħjar prattiki li għandek bżonn tkun taf dwarhom.

attakki DNS

Gwida tas-Sigurtà tad-DNS

  • DNS spoofing jew avvelenament tal-cache: tisfrutta vulnerabbiltà tas-sistema biex timmanipula l-cache tad-DNS biex terġa 'tidderieġi lill-utenti lejn post ieħor
  • DNS tunneling: primarjament użat biex jevita protezzjonijiet ta 'konnessjoni remota
  • Ħtif tad-DNS: direzzjoni mill-ġdid tat-traffiku DNS normali għal server DNS fil-mira differenti billi tbiddel ir-reġistratur tad-dominju
  • Attakk NXDOMAIN: twettaq attakk DDoS fuq server DNS awtorevoli billi tibgħat mistoqsijiet dwar dominju illeġittimu biex tikseb rispons sfurzat
  • dominju fantażma: jikkawża lis-solvent tad-DNS jistenna rispons minn oqsma ineżistenti, li jirriżulta f'prestazzjoni fqira
  • attakk fuq sottodominju każwali: hosts u botnets kompromessi jniedu attakk DDoS fuq dominju validu, iżda jiffokaw in-nar tagħhom fuq sottodominji foloz biex iġġiegħel lis-server DNS ifittex ir-rekords u jieħu f'idejh il-kontroll tas-servizz
  • imblukkar tad-dominju: qed tibgħat tweġibiet multipli spam biex jimblokka r-riżorsi tas-server DNS
  • Attakk tal-botnet minn tagħmir tal-abbonat: ġabra ta’ kompjuters, modems, routers u tagħmir ieħor li jikkonċentra s-saħħa tal-kompjuter fuq websajt speċifika biex jgħabbiha żżejjed b’talbiet tat-traffiku

attakki DNS

Attakki li b'xi mod jużaw id-DNS biex jattakkaw sistemi oħra (jiġifieri li tbiddel ir-rekords tad-DNS mhuwiex l-għan aħħari):

  • Fast-Flux
  • Netwerks ta' Fluss Uniku
  • Netwerks ta' Fluss Doppju
  • DNS tunneling

attakki DNS

Attakki li jirriżultaw fl-indirizz IP meħtieġ mill-attakkant jiġi rritornat mis-server DNS:

  • DNS spoofing jew avvelenament tal-cache
  • Ħtif tad-DNS

X'inhu DNSSEC?

Gwida tas-Sigurtà tad-DNS

DNSSEC - Magni tas-Sigurtà tas-Servizz tal-Ismijiet tad-Dominju - jintużaw biex jivvalidaw ir-rekords tad-DNS mingħajr il-ħtieġa li tkun taf informazzjoni ġenerali għal kull talba speċifika tad-DNS.

DNSSEC juża Digital Signature Keys (PKIs) biex jivverifika jekk ir-riżultati ta’ mistoqsija dwar isem ta’ dominju ġewx minn sors validu.
L-implimentazzjoni tad-DNSSEC mhix biss l-aħjar prattika tal-industrija, iżda hija wkoll effettiva biex tevita l-biċċa l-kbira tal-attakki tad-DNS.

Kif jaħdem DNSSEC

DNSSEC jaħdem b'mod simili għal TLS/HTTPS, billi juża pari ta' ċwievet pubbliċi u privati ​​biex jiffirmaw diġitalment ir-rekords tad-DNS. Ħarsa ġenerali ġenerali tal-proċess:

  1. Ir-rekords tad-DNS huma ffirmati b'par ċavetta privata-privata
  2. It-tweġibiet għal mistoqsijiet DNSSEC fihom ir-rekord mitlub kif ukoll il-firma u ċ-ċavetta pubblika
  3. Imbagħad ċavetta pubblika użati biex iqabblu l-awtentiċità ta 'rekord u firma

Sigurtà DNS u DNSSEC

Gwida tas-Sigurtà tad-DNS

DNSSEC hija għodda biex tiċċekkja l-integrità tal-mistoqsijiet DNS. Ma taffettwax il-privatezza tad-DNS. Fi kliem ieħor, DNSSEC jista 'jtik kunfidenza li t-tweġiba għall-mistoqsija DNS tiegħek ma ġietx imbagħbsa, iżda kull attakkant jista' jara dawk ir-riżultati kif intbagħtulek.

DoT - DNS fuq TLS

Sigurtà tas-Saff tat-Trasport (TLS) huwa protokoll kriptografiku għall-protezzjoni tal-informazzjoni trażmessa fuq konnessjoni tan-netwerk. Ladarba tiġi stabbilita konnessjoni TLS sigura bejn il-klijent u s-server, id-dejta trażmessa tiġi encrypted u l-ebda intermedjarju ma jista’ jaraha.

TLS l-aktar użat komunement bħala parti minn HTTPS (SSL) fil-web browser tiegħek minħabba li t-talbiet jintbagħtu lil servers HTTP siguri.

DNS-over-TLS (DNS fuq TLS, DoT) juża l-protokoll TLS biex jikkripta t-traffiku UDP ta 'talbiet DNS regolari.
Il-kriptaġġ ta' dawn it-talbiet f'test sempliċi jgħin jipproteġi lill-utenti jew applikazzjonijiet li jagħmlu talbiet minn diversi attakki.

  • MitM, jew "bniedem fin-nofs": Mingħajr kriptaġġ, is-sistema intermedja bejn il-klijent u s-server DNS awtorevoli tista’ potenzjalment tibgħat informazzjoni falza jew perikoluża lill-klijent bi tweġiba għal talba
  • Spjunaġġ u traċċar: Mingħajr kriptaġġ tat-talbiet, huwa faċli għas-sistemi middleware biex jaraw liema siti qed jaċċessa utent jew applikazzjoni partikolari. Għalkemm id-DNS waħdu mhux se jiżvela l-paġna speċifika li tkun qed iżżur fuq websajt, sempliċiment li tkun taf id-dominji mitluba hija biżżejjed biex toħloq profil ta 'sistema jew individwu

Gwida tas-Sigurtà tad-DNS
Sors: Università ta ’Irvine ta’ Kalifornja

DoH - DNS fuq HTTPS

DNS-over-HTTPS (DNS over HTTPS, DoH) huwa protokoll sperimentali promoss b'mod konġunt minn Mozilla u Google. L-għanijiet tiegħu huma simili għall-protokoll DoT—ittejjeb il-privatezza tan-nies onlajn billi tikkodifika t-talbiet u r-risposti tad-DNS.

Mistoqsijiet DNS standard jintbagħtu fuq UDP. It-talbiet u r-risposti jistgħu jiġu ssorveljati bl-użu ta’ għodod bħal Wireshark. DoT jikkripta dawn it-talbiet, iżda xorta huma identifikati bħala traffiku UDP pjuttost distint fuq in-netwerk.

DoH jieħu approċċ differenti u jibgħat talbiet ta 'riżoluzzjoni tal-hostname kriptat fuq konnessjonijiet HTTPS, li jidhru bħal kwalunkwe talba oħra tal-web fuq in-netwerk.

Din id-differenza għandha implikazzjonijiet importanti ħafna kemm għall-amministraturi tas-sistema kif ukoll għall-futur tar-riżoluzzjoni tal-ismijiet.

  1. L-iffiltrar tad-DNS huwa mod komuni biex jiġi ffiltrat it-traffiku tal-web biex jipproteġi lill-utenti minn attakki ta' phishing, siti li jqassmu malware, jew attività oħra tal-Internet potenzjalment ta' ħsara fuq netwerk korporattiv. Il-protokoll DoH jevita dawn il-filtri, u potenzjalment jesponi lill-utenti u n-netwerk għal riskju akbar.
  2. Fil-mudell attwali tar-riżoluzzjoni tal-isem, kull apparat fuq in-netwerk xi ftit jew wisq jirċievi mistoqsijiet DNS mill-istess post (server DNS speċifikat). DoH, u b'mod partikolari l-implimentazzjoni tagħha minn Firefox, turi li dan jista' jinbidel fil-futur. Kull applikazzjoni fuq kompjuter tista' tirċievi dejta minn sorsi DNS differenti, u b'hekk is-soluzzjoni tal-problemi, is-sigurtà u l-immudellar tar-riskju ħafna aktar kumplessi.

Gwida tas-Sigurtà tad-DNS
Sors: www.varonis.com/blog/what-is-powershell

X'inhi d-differenza bejn DNS fuq TLS u DNS fuq HTTPS?

Nibdew bid-DNS fuq TLS (DoT). Il-punt ewlieni hawnhekk huwa li l-protokoll DNS oriġinali ma jinbidelx, iżda huwa sempliċement trażmess b'mod sigur fuq kanal sigur. DoH, min-naħa l-oħra, ipoġġi DNS f'format HTTP qabel ma jagħmel it-talbiet.

Twissijiet ta' Monitoraġġ tad-DNS

Gwida tas-Sigurtà tad-DNS

Il-ħila li timmonitorja b'mod effettiv it-traffiku tad-DNS fuq in-netwerk tiegħek għal anomaliji suspettużi hija kritika għall-iskoperta bikrija ta 'ksur. L-użu ta 'għodda bħal Varonis Edge jagħtik il-ħila li tibqa' fuq il-quċċata tal-metriċi importanti kollha u toħloq profili għal kull kont fuq in-netwerk tiegħek. Tista' tikkonfigura twissijiet biex jiġu ġġenerati bħala riżultat ta' taħlita ta' azzjonijiet li jseħħu fuq perjodu speċifiku ta' żmien.

Il-monitoraġġ tal-bidliet fid-DNS, il-postijiet tal-kontijiet, l-użu għall-ewwel darba u l-aċċess għal dejta sensittiva, u l-attività ta’ wara s-sigħat huma biss ftit metriċi li jistgħu jiġu korrelatati biex tinbena stampa usa’ ta’ skoperta.

Sors: www.habr.com

Żid kumment