Wat het bedrijf ook doet: beveiliging DNS moet een integraal onderdeel zijn van zijn veiligheidsplan. Naamservices, die hostnamen omzetten in IP-adressen, worden door vrijwel elke toepassing en service op het netwerk gebruikt.
Als een aanvaller controle krijgt over de DNS van een organisatie, kan hij eenvoudig:
geef uzelf controle over gedeelde bronnen
inkomende e-mails, webverzoeken en authenticatiepogingen omleiden
SSL/TLS-certificaten maken en valideren
In deze handleiding wordt DNS-beveiliging vanuit twee invalshoeken bekeken:
Het uitvoeren van continue monitoring en controle over DNS
Hoe nieuwe DNS-protocollen zoals DNSSEC, DOH en DoT kunnen helpen de integriteit en vertrouwelijkheid van verzonden DNS-verzoeken te beschermen
Wat is DNS-beveiliging?
Het concept van DNS-beveiliging omvat twee belangrijke componenten:
Garanderen van de algehele integriteit en beschikbaarheid van DNS-services die hostnamen omzetten in IP-adressen
Controleer de DNS-activiteit om mogelijke beveiligingsproblemen overal in uw netwerk te identificeren
Waarom is DNS kwetsbaar voor aanvallen?
DNS-technologie ontstond in de begindagen van het internet, lang voordat iemand zelfs maar aan netwerkbeveiliging begon te denken. DNS werkt zonder authenticatie of encryptie en verwerkt blindelings verzoeken van elke gebruiker.
Hierdoor zijn er veel manieren om de gebruiker te misleiden en informatie te vervalsen over waar de omzetting van namen naar IP-adressen feitelijk plaatsvindt.
DNS-beveiliging: problemen en componenten
DNS-beveiliging bestaat uit verschillende basiselementen onderdelen, waarmee met elk van deze factoren rekening moet worden gehouden om volledige bescherming te garanderen:
Versterking van serverbeveiliging en beheerprocedures: verhoog het niveau van serverbeveiliging en creëer een standaard inbedrijfstellingssjabloon
Protocolverbeteringen: DNSSEC, DoT of DoH implementeren
Analyse en rapportage: voeg een DNS-gebeurtenislogboek toe aan uw SIEM-systeem voor extra context bij het onderzoeken van incidenten
Cyberintelligentie en dreigingsdetectie: abonneer u op een actieve feed met informatie over bedreigingen
Automatisering: maak zoveel mogelijk scripts om processen te automatiseren
De bovengenoemde componenten op hoog niveau vormen slechts het topje van de DNS-beveiligingsijsberg. In het volgende gedeelte gaan we dieper in op specifiekere gebruiksscenario's en best practices waarover u moet weten.
DNS-aanvallen
DNS-spoofing of cache-vergiftiging: misbruik maken van een systeemkwetsbaarheid om de DNS-cache te manipuleren om gebruikers naar een andere locatie om te leiden
DNS-tunneling: voornamelijk gebruikt om externe verbindingsbeveiligingen te omzeilen
DNS-kaping: normaal DNS-verkeer omleiden naar een andere doel-DNS-server door de domeinregistrar te wijzigen
NXDOMAIN-aanval: het uitvoeren van een DDoS-aanval op een gezaghebbende DNS-server door onwettige domeinquery's te verzenden om een geforceerd antwoord te verkrijgen
fantoomdomein: zorgt ervoor dat de DNS-resolver wacht op een reactie van niet-bestaande domeinen, wat resulteert in slechte prestaties
aanval op een willekeurig subdomein: gecompromitteerde hosts en botnets lanceren een DDoS-aanval op een geldig domein, maar richten hun vuur op nep-subdomeinen om de DNS-server te dwingen records op te zoeken en de controle over de service over te nemen
domeinblokkering: verzendt meerdere spamreacties om DNS-serverbronnen te blokkeren
Botnetaanval vanaf apparatuur van abonnees: een verzameling computers, modems, routers en andere apparaten die de rekenkracht concentreren op een specifieke website om deze te overladen met verkeersverzoeken
DNS-aanvallen
Aanvallen die op de een of andere manier de DNS gebruiken om andere systemen aan te vallen (d.w.z. het wijzigen van DNS-records is niet het einddoel):
Aanvallen die ertoe leiden dat het IP-adres dat de aanvaller nodig heeft, wordt geretourneerd door de DNS-server:
DNS-spoofing of cache-vergiftiging
DNS-kaping
Wat is DNSSEC?
DNSSEC - Domain Name Service Security Engines - worden gebruikt om DNS-records te valideren zonder dat u algemene informatie voor elk specifiek DNS-verzoek hoeft te weten.
DNSSEC gebruikt Digital Signature Keys (PKI's) om te verifiëren of de resultaten van een domeinnaamquery afkomstig zijn van een geldige bron.
Het implementeren van DNSSEC is niet alleen een best practice in de sector, maar is ook effectief bij het vermijden van de meeste DNS-aanvallen.
Hoe DNSSEC werkt
DNSSEC werkt op dezelfde manier als TLS/HTTPS, waarbij gebruik wordt gemaakt van publieke en private sleutelparen om DNS-records digitaal te ondertekenen. Algemeen overzicht van het proces:
DNS-records worden ondertekend met een privé-privé sleutelpaar
Antwoorden op DNSSEC-query's bevatten het opgevraagde record, de handtekening en de publieke sleutel
dan publieke sleutel gebruikt om de authenticiteit van een document en een handtekening te vergelijken
DNS- en DNSSEC-beveiliging
DNSSEC is een hulpmiddel om de integriteit van DNS-query's te controleren. Het heeft geen invloed op de DNS-privacy. Met andere woorden: DNSSEC kan u het vertrouwen geven dat er niet met het antwoord op uw DNS-query is geknoeid, maar dat elke aanvaller de resultaten kan zien zoals deze naar u zijn verzonden.
DoT - DNS via TLS
Transport Layer Security (TLS) is een cryptografisch protocol voor het beschermen van informatie die via een netwerkverbinding wordt verzonden. Zodra er een veilige TLS-verbinding tot stand is gebracht tussen de client en de server, worden de verzonden gegevens gecodeerd en kan geen enkele tussenpersoon deze zien.
TLS meestal gebruikt als onderdeel van HTTPS (SSL) in uw webbrowser, omdat verzoeken naar beveiligde HTTP-servers worden verzonden.
DNS-over-TLS (DNS over TLS, DoT) gebruikt het TLS-protocol om het UDP-verkeer van reguliere DNS-verzoeken te coderen.
Door deze verzoeken in platte tekst te versleutelen, kunnen gebruikers of applicaties die verzoeken indienen, worden beschermd tegen verschillende aanvallen.
MitM, of "man in het midden": Zonder codering kan het tussenliggende systeem tussen de client en de gezaghebbende DNS-server mogelijk valse of gevaarlijke informatie naar de client sturen als reactie op een verzoek
Spionage en tracking: Zonder verzoeken te versleutelen kunnen middlewaresystemen eenvoudig zien tot welke sites een bepaalde gebruiker of toepassing toegang heeft. Hoewel DNS alleen niet zal onthullen welke specifieke pagina op een website wordt bezocht, is het eenvoudigweg kennen van de gevraagde domeinen voldoende om een profiel van een systeem of een individu te creëren.
DNS-over-HTTPS (DNS over HTTPS, DoH) is een experimenteel protocol dat gezamenlijk wordt gepromoot door Mozilla en Google. De doelstellingen zijn vergelijkbaar met het DoT-protocol: het verbeteren van de online privacy van mensen door DNS-verzoeken en -antwoorden te coderen.
Standaard DNS-query's worden via UDP verzonden. Verzoeken en antwoorden kunnen worden gevolgd met behulp van tools zoals Wireshark. DoT codeert deze verzoeken, maar ze worden nog steeds geïdentificeerd als redelijk verschillend UDP-verkeer op het netwerk.
DoH hanteert een andere aanpak en verzendt gecodeerde verzoeken om de hostnaam om te zetten via HTTPS-verbindingen, die er uitzien als elk ander webverzoek via het netwerk.
Dit verschil heeft zeer belangrijke implicaties voor zowel systeembeheerders als voor de toekomst van naamomzetting.
DNS-filtering is een gebruikelijke manier om webverkeer te filteren om gebruikers te beschermen tegen phishing-aanvallen, sites die malware verspreiden of andere potentieel schadelijke internetactiviteiten op een bedrijfsnetwerk. Het DoH-protocol omzeilt deze filters, waardoor gebruikers en het netwerk mogelijk aan een groter risico worden blootgesteld.
In het huidige naamresolutiemodel ontvangt elk apparaat op het netwerk min of meer DNS-query's van dezelfde locatie (een gespecificeerde DNS-server). DoH, en in het bijzonder de implementatie ervan door Firefox, laat zien dat dit in de toekomst kan veranderen. Elke toepassing op een computer kan gegevens ontvangen van verschillende DNS-bronnen, waardoor probleemoplossing, beveiliging en risicomodellering veel complexer worden.
Wat is het verschil tussen DNS via TLS en DNS via HTTPS?
Laten we beginnen met DNS via TLS (DoT). Het belangrijkste punt hier is dat het oorspronkelijke DNS-protocol niet wordt gewijzigd, maar eenvoudigweg veilig via een beveiligd kanaal wordt verzonden. DoH daarentegen zet DNS in HTTP-formaat voordat er verzoeken worden gedaan.
DNS-bewakingswaarschuwingen
De mogelijkheid om het DNS-verkeer op uw netwerk effectief te controleren op verdachte afwijkingen is van cruciaal belang voor de vroege detectie van een inbreuk. Als u een tool als Varonis Edge gebruikt, kunt u op de hoogte blijven van alle belangrijke statistieken en profielen maken voor elk account in uw netwerk. U kunt configureren dat waarschuwingen worden gegenereerd als resultaat van een combinatie van acties die plaatsvinden gedurende een specifieke periode.
Het monitoren van DNS-wijzigingen, accountlocaties, het eerste gebruik van en de toegang tot gevoelige gegevens en activiteiten buiten kantooruren zijn slechts enkele statistieken die kunnen worden gecorreleerd om een breder detectiebeeld op te bouwen.