ProHoster > blog > administratie > DNS-beveiligingshandleiding

DNS-beveiligingshandleiding

DNS-beveiligingshandleiding

Wat het bedrijf ook doet: beveiliging DNS moet een integraal onderdeel zijn van zijn veiligheidsplan. Naamservices, die hostnamen omzetten in IP-adressen, worden door vrijwel elke toepassing en service op het netwerk gebruikt.

Als een aanvaller controle krijgt over de DNS van een organisatie, kan hij eenvoudig:

  • geef uzelf controle over gedeelde bronnen
  • inkomende e-mails, webverzoeken en authenticatiepogingen omleiden
  • SSL/TLS-certificaten maken en valideren

In deze handleiding wordt DNS-beveiliging vanuit twee invalshoeken bekeken:

  1. Het uitvoeren van continue monitoring en controle over DNS
  2. Hoe nieuwe DNS-protocollen zoals DNSSEC, DOH en DoT kunnen helpen de integriteit en vertrouwelijkheid van verzonden DNS-verzoeken te beschermen

Wat is DNS-beveiliging?

DNS-beveiligingshandleiding

Het concept van DNS-beveiliging omvat twee belangrijke componenten:

  1. Garanderen van de algehele integriteit en beschikbaarheid van DNS-services die hostnamen omzetten in IP-adressen
  2. Controleer de DNS-activiteit om mogelijke beveiligingsproblemen overal in uw netwerk te identificeren

Waarom is DNS kwetsbaar voor aanvallen?

DNS-technologie ontstond in de begindagen van het internet, lang voordat iemand zelfs maar aan netwerkbeveiliging begon te denken. DNS werkt zonder authenticatie of encryptie en verwerkt blindelings verzoeken van elke gebruiker.

Hierdoor zijn er veel manieren om de gebruiker te misleiden en informatie te vervalsen over waar de omzetting van namen naar IP-adressen feitelijk plaatsvindt.

DNS-beveiliging: problemen en componenten

DNS-beveiligingshandleiding

DNS-beveiliging bestaat uit verschillende basiselementen onderdelen, waarmee met elk van deze factoren rekening moet worden gehouden om volledige bescherming te garanderen:

  • Versterking van serverbeveiliging en beheerprocedures: verhoog het niveau van serverbeveiliging en creëer een standaard inbedrijfstellingssjabloon
  • Protocolverbeteringen: DNSSEC, DoT of DoH implementeren
  • Analyse en rapportage: voeg een DNS-gebeurtenislogboek toe aan uw SIEM-systeem voor extra context bij het onderzoeken van incidenten
  • Cyberintelligentie en dreigingsdetectie: abonneer u op een actieve feed met informatie over bedreigingen
  • Automatisering: maak zoveel mogelijk scripts om processen te automatiseren

De bovengenoemde componenten op hoog niveau vormen slechts het topje van de DNS-beveiligingsijsberg. In het volgende gedeelte gaan we dieper in op specifiekere gebruiksscenario's en best practices waarover u moet weten.

DNS-aanvallen

DNS-beveiligingshandleiding

  • DNS-spoofing of cache-vergiftiging: misbruik maken van een systeemkwetsbaarheid om de DNS-cache te manipuleren om gebruikers naar een andere locatie om te leiden
  • DNS-tunneling: voornamelijk gebruikt om externe verbindingsbeveiligingen te omzeilen
  • DNS-kaping: normaal DNS-verkeer omleiden naar een andere doel-DNS-server door de domeinregistrar te wijzigen
  • NXDOMAIN-aanval: het uitvoeren van een DDoS-aanval op een gezaghebbende DNS-server door onwettige domeinquery's te verzenden om een ​​geforceerd antwoord te verkrijgen
  • fantoomdomein: zorgt ervoor dat de DNS-resolver wacht op een reactie van niet-bestaande domeinen, wat resulteert in slechte prestaties
  • aanval op een willekeurig subdomein: gecompromitteerde hosts en botnets lanceren een DDoS-aanval op een geldig domein, maar richten hun vuur op nep-subdomeinen om de DNS-server te dwingen records op te zoeken en de controle over de service over te nemen
  • domeinblokkering: verzendt meerdere spamreacties om DNS-serverbronnen te blokkeren
  • Botnetaanval vanaf apparatuur van abonnees: een verzameling computers, modems, routers en andere apparaten die de rekenkracht concentreren op een specifieke website om deze te overladen met verkeersverzoeken

DNS-aanvallen

Aanvallen die op de een of andere manier de DNS gebruiken om andere systemen aan te vallen (d.w.z. het wijzigen van DNS-records is niet het einddoel):

  • Snel-Flux
  • Single Flux-netwerken
  • Dubbele Flux-netwerken
  • DNS-tunneling

DNS-aanvallen

Aanvallen die ertoe leiden dat het IP-adres dat de aanvaller nodig heeft, wordt geretourneerd door de DNS-server:

  • DNS-spoofing of cache-vergiftiging
  • DNS-kaping

Wat is DNSSEC?

DNS-beveiligingshandleiding

DNSSEC - Domain Name Service Security Engines - worden gebruikt om DNS-records te valideren zonder dat u algemene informatie voor elk specifiek DNS-verzoek hoeft te weten.

DNSSEC gebruikt Digital Signature Keys (PKI's) om te verifiëren of de resultaten van een domeinnaamquery afkomstig zijn van een geldige bron.
Het implementeren van DNSSEC is niet alleen een best practice in de sector, maar is ook effectief bij het vermijden van de meeste DNS-aanvallen.

Hoe DNSSEC werkt

DNSSEC werkt op dezelfde manier als TLS/HTTPS, waarbij gebruik wordt gemaakt van publieke en private sleutelparen om DNS-records digitaal te ondertekenen. Algemeen overzicht van het proces:

  1. DNS-records worden ondertekend met een privé-privé sleutelpaar
  2. Antwoorden op DNSSEC-query's bevatten het opgevraagde record, de handtekening en de publieke sleutel
  3. dan publieke sleutel gebruikt om de authenticiteit van een document en een handtekening te vergelijken

DNS- en DNSSEC-beveiliging

DNS-beveiligingshandleiding

DNSSEC is een hulpmiddel om de integriteit van DNS-query's te controleren. Het heeft geen invloed op de DNS-privacy. Met andere woorden: DNSSEC kan u het vertrouwen geven dat er niet met het antwoord op uw DNS-query is geknoeid, maar dat elke aanvaller de resultaten kan zien zoals deze naar u zijn verzonden.

DoT - DNS via TLS

Transport Layer Security (TLS) is een cryptografisch protocol voor het beschermen van informatie die via een netwerkverbinding wordt verzonden. Zodra er een veilige TLS-verbinding tot stand is gebracht tussen de client en de server, worden de verzonden gegevens gecodeerd en kan geen enkele tussenpersoon deze zien.

TLS meestal gebruikt als onderdeel van HTTPS (SSL) in uw webbrowser, omdat verzoeken naar beveiligde HTTP-servers worden verzonden.

DNS-over-TLS (DNS over TLS, DoT) gebruikt het TLS-protocol om het UDP-verkeer van reguliere DNS-verzoeken te coderen.
Door deze verzoeken in platte tekst te versleutelen, kunnen gebruikers of applicaties die verzoeken indienen, worden beschermd tegen verschillende aanvallen.

  • MitM, of "man in het midden": Zonder codering kan het tussenliggende systeem tussen de client en de gezaghebbende DNS-server mogelijk valse of gevaarlijke informatie naar de client sturen als reactie op een verzoek
  • Spionage en tracking: Zonder verzoeken te versleutelen kunnen middlewaresystemen eenvoudig zien tot welke sites een bepaalde gebruiker of toepassing toegang heeft. Hoewel DNS alleen niet zal onthullen welke specifieke pagina op een website wordt bezocht, is het eenvoudigweg kennen van de gevraagde domeinen voldoende om een ​​profiel van een systeem of een individu te creëren.

DNS-beveiligingshandleiding
Bron: University of California Irvine

DoH - DNS via HTTPS

DNS-over-HTTPS (DNS over HTTPS, DoH) is een experimenteel protocol dat gezamenlijk wordt gepromoot door Mozilla en Google. De doelstellingen zijn vergelijkbaar met het DoT-protocol: het verbeteren van de online privacy van mensen door DNS-verzoeken en -antwoorden te coderen.

Standaard DNS-query's worden via UDP verzonden. Verzoeken en antwoorden kunnen worden gevolgd met behulp van tools zoals Wireshark. DoT codeert deze verzoeken, maar ze worden nog steeds geïdentificeerd als redelijk verschillend UDP-verkeer op het netwerk.

DoH hanteert een andere aanpak en verzendt gecodeerde verzoeken om de hostnaam om te zetten via HTTPS-verbindingen, die er uitzien als elk ander webverzoek via het netwerk.

Dit verschil heeft zeer belangrijke implicaties voor zowel systeembeheerders als voor de toekomst van naamomzetting.

  1. DNS-filtering is een gebruikelijke manier om webverkeer te filteren om gebruikers te beschermen tegen phishing-aanvallen, sites die malware verspreiden of andere potentieel schadelijke internetactiviteiten op een bedrijfsnetwerk. Het DoH-protocol omzeilt deze filters, waardoor gebruikers en het netwerk mogelijk aan een groter risico worden blootgesteld.
  2. In het huidige naamresolutiemodel ontvangt elk apparaat op het netwerk min of meer DNS-query's van dezelfde locatie (een gespecificeerde DNS-server). DoH, en in het bijzonder de implementatie ervan door Firefox, laat zien dat dit in de toekomst kan veranderen. Elke toepassing op een computer kan gegevens ontvangen van verschillende DNS-bronnen, waardoor probleemoplossing, beveiliging en risicomodellering veel complexer worden.

DNS-beveiligingshandleiding
Bron: www.varonis.com/blog/what-is-powershell

Wat is het verschil tussen DNS via TLS en DNS via HTTPS?

Laten we beginnen met DNS via TLS (DoT). Het belangrijkste punt hier is dat het oorspronkelijke DNS-protocol niet wordt gewijzigd, maar eenvoudigweg veilig via een beveiligd kanaal wordt verzonden. DoH daarentegen zet DNS in HTTP-formaat voordat er verzoeken worden gedaan.

DNS-bewakingswaarschuwingen

DNS-beveiligingshandleiding

De mogelijkheid om het DNS-verkeer op uw netwerk effectief te controleren op verdachte afwijkingen is van cruciaal belang voor de vroege detectie van een inbreuk. Als u een tool als Varonis Edge gebruikt, kunt u op de hoogte blijven van alle belangrijke statistieken en profielen maken voor elk account in uw netwerk. U kunt configureren dat waarschuwingen worden gegenereerd als resultaat van een combinatie van acties die plaatsvinden gedurende een specifieke periode.

Het monitoren van DNS-wijzigingen, accountlocaties, het eerste gebruik van en de toegang tot gevoelige gegevens en activiteiten buiten kantooruren zijn slechts enkele statistieken die kunnen worden gecorreleerd om een ​​breder detectiebeeld op te bouwen.

Bron: www.habr.com

Voeg een reactie