DNS-sikkerhetsveiledning

Uansett hva selskapet gjør, sikkerhet DNS bør være en integrert del av sikkerhetsplanen. Navnetjenester, som løser opp vertsnavn til IP-adresser, brukes av praktisk talt alle applikasjoner og tjenester på nettverket.

Hvis en angriper får kontroll over en organisasjons DNS, kan han enkelt:

• gi deg selv kontroll over delte ressurser
• omdirigere innkommende e-poster samt nettforespørsler og autentiseringsforsøk
• opprette og validere SSL/TLS-sertifikater

Denne veiledningen ser på DNS-sikkerhet fra to vinkler:

1. Utføre kontinuerlig overvåking og kontroll over DNS
2. Hvordan nye DNS-protokoller som DNSSEC, DOH og DoT kan bidra til å beskytte integriteten og konfidensialiteten til overførte DNS-forespørsler

Hva er DNS-sikkerhet?

Konseptet med DNS-sikkerhet inkluderer to viktige komponenter:

1. Sikre den generelle integriteten og tilgjengeligheten til DNS-tjenester som løser vertsnavn til IP-adresser
2. Overvåk DNS-aktivitet for å identifisere mulige sikkerhetsproblemer hvor som helst på nettverket ditt

Hvorfor er DNS sårbar for angrep?

DNS-teknologi ble skapt i de tidlige dagene av Internett, lenge før noen i det hele tatt begynte å tenke på nettverkssikkerhet. DNS fungerer uten autentisering eller kryptering, og behandler forespørsler blindt fra enhver bruker.

På grunn av dette er det mange måter å lure brukeren på og forfalske informasjon om hvor oppløsningen av navn til IP-adresser faktisk finner sted.

DNS-sikkerhet: problemer og komponenter

DNS-sikkerhet består av flere grunnleggende komponenter, som hver må tas i betraktning for å sikre fullstendig beskyttelse:

• Styrke serversikkerhet og administrasjonsprosedyrer: øke nivået på serversikkerhet og lage en standard idriftsettelsesmal
• Protokollforbedringer: implementere DNSSEC, DoT eller DoH
• Analyse og rapportering: legg til en DNS-hendelseslogg til SIEM-systemet for ytterligere kontekst når du undersøker hendelser
• Cyber ​​​​intelligens og trusseldeteksjon: abonnere på en aktiv trusselinformasjonsfeed
• Automasjon: lage så mange skript som mulig for å automatisere prosesser

De ovennevnte høynivåkomponentene er bare toppen av DNS-sikkerhets-isfjellet. I den neste delen skal vi dykke ned i mer spesifikke brukstilfeller og beste fremgangsmåter du trenger å vite om.

DNS-angrep

• DNS-spoofing eller cache-forgiftning: utnytter et systemsårbarhet for å manipulere DNS-bufferen for å omdirigere brukere til et annet sted
• DNS-tunnelering: primært brukt til å omgå fjerntilkoblingsbeskyttelse
• DNS-kapring: omdirigere normal DNS-trafikk til en annen mål-DNS-server ved å endre domeneregistratoren
• NXDOMAIN angrep: utføre et DDoS-angrep på en autoritativ DNS-server ved å sende illegitime domeneforespørsler for å få et tvungent svar
• fantomdomene: får DNS-løseren til å vente på svar fra ikke-eksisterende domener, noe som resulterer i dårlig ytelse
• angrep på et tilfeldig underdomene: kompromitterte verter og botnett starter et DDoS-angrep på et gyldig domene, men fokuserer ilden på falske underdomener for å tvinge DNS-serveren til å slå opp poster og ta over kontrollen over tjenesten
• domeneblokkering: sender flere spam-svar for å blokkere DNS-serverressurser
• Botnettangrep fra abonnentutstyr: en samling datamaskiner, modemer, rutere og andre enheter som konsentrerer datakraft på et bestemt nettsted for å overbelaste det med trafikkforespørsler

DNS-angrep

Angrep som på en eller annen måte bruker DNS til å angripe andre systemer (dvs. å endre DNS-poster er ikke sluttmålet):

• Rask fluks
• Single Flux Networks
• Double Flux Networks
• DNS-tunnelering

DNS-angrep

Angrep som resulterer i at IP-adressen som angriperen trenger, returneres fra DNS-serveren:

• DNS-spoofing eller cache-forgiftning
• DNS-kapring

Hva er DNSSEC?

DNSSEC – Domain Name Service Security Engines – brukes til å validere DNS-poster uten å måtte vite generell informasjon for hver spesifikke DNS-forespørsel.

DNSSEC bruker Digital Signature Keys (PKI) for å bekrefte om resultatene av en domenenavnspørring kom fra en gyldig kilde.
Implementering av DNSSEC er ikke bare en bransjebestemt praksis, men det er også effektivt for å unngå de fleste DNS-angrep.

Hvordan DNSSEC fungerer

DNSSEC fungerer på samme måte som TLS/HTTPS, og bruker offentlige og private nøkkelpar for å signere DNS-poster digitalt. Generell oversikt over prosessen:

1. DNS-poster er signert med et privat-privat nøkkelpar
2. Svar på DNSSEC-spørringer inneholder den forespurte posten samt signaturen og den offentlige nøkkelen
3. Deretter offentlig nøkkel brukes til å sammenligne autentisiteten til en post og en signatur

DNS- og DNSSEC-sikkerhet

DNSSEC er et verktøy for å sjekke integriteten til DNS-spørringer. Det påvirker ikke DNS-personvernet. Med andre ord kan DNSSEC gi deg tillit til at svaret på DNS-spørsmålet ditt ikke er blitt tuklet med, men enhver angriper kan se disse resultatene slik de ble sendt til deg.

DoT - DNS over TLS

Transport Layer Security (TLS) er en kryptografisk protokoll for å beskytte informasjon som sendes over en nettverkstilkobling. Når en sikker TLS-forbindelse er etablert mellom klienten og serveren, krypteres de overførte dataene og ingen mellommann kan se dem.

TLS mest brukt som en del av HTTPS (SSL) i nettleseren din fordi forespørsler sendes til sikre HTTP-servere.

DNS-over-TLS (DNS over TLS, DoT) bruker TLS-protokollen for å kryptere UDP-trafikken til vanlige DNS-forespørsler.
Kryptering av disse forespørslene i ren tekst bidrar til å beskytte brukere eller applikasjoner som sender forespørsler mot flere angrep.

• MitM, eller "mann i midten": Uten kryptering kan mellomsystemet mellom klienten og den autoritative DNS-serveren potensielt sende falsk eller farlig informasjon til klienten som svar på en forespørsel
• Spionasje og sporing: Uten å kryptere forespørsler er det enkelt for mellomvaresystemer å se hvilke nettsteder en bestemt bruker eller applikasjon har tilgang til. Selv om DNS alene ikke vil avsløre den spesifikke siden som besøkes på et nettsted, er det nok å kjenne til de forespurte domenene til å opprette en profil til et system eller en person

Kilde: University of California Irvine

DoH - DNS over HTTPS

DNS-over-HTTPS (DNS over HTTPS, DoH) er en eksperimentell protokoll som markedsføres i fellesskap av Mozilla og Google. Målene ligner på DoT-protokollen – forbedre folks personvern på nettet ved å kryptere DNS-forespørsler og svar.

Standard DNS-spørringer sendes over UDP. Forespørsler og svar kan spores ved hjelp av verktøy som f.eks Wireshark. DoT krypterer disse forespørslene, men de er fortsatt identifisert som ganske distinkt UDP-trafikk på nettverket.

DoH tar en annen tilnærming og sender krypterte vertsnavnoppløsningsforespørsler over HTTPS-tilkoblinger, som ser ut som alle andre nettforespørseler over nettverket.

Denne forskjellen har svært viktige implikasjoner både for systemadministratorer og for fremtiden for navneløsning.

1. DNS-filtrering er en vanlig måte å filtrere nettrafikk på for å beskytte brukere mot phishing-angrep, nettsteder som distribuerer skadelig programvare eller annen potensielt skadelig Internett-aktivitet på et bedriftsnettverk. DoH-protokollen omgår disse filtrene, og utsetter potensielt brukere og nettverket for større risiko.
2. I den gjeldende navneløsningsmodellen mottar hver enhet på nettverket mer eller mindre DNS-spørringer fra samme sted (en spesifisert DNS-server). DoH, og spesielt Firefox sin implementering av det, viser at dette kan endre seg i fremtiden. Hver applikasjon på en datamaskin kan motta data fra forskjellige DNS-kilder, noe som gjør feilsøking, sikkerhet og risikomodellering mye mer kompleks.

Kilde: www.varonis.com/blog/what-is-powershell

Hva er forskjellen mellom DNS over TLS og DNS over HTTPS?

La oss starte med DNS over TLS (DoT). Hovedpoenget her er at den opprinnelige DNS-protokollen ikke endres, men ganske enkelt overføres sikkert over en sikker kanal. DoH, derimot, setter DNS inn i HTTP-format før forespørsler.

DNS-overvåkingsvarsler

Evnen til å effektivt overvåke DNS-trafikk på nettverket ditt for mistenkelige uregelmessigheter er avgjørende for tidlig oppdagelse av et brudd. Å bruke et verktøy som Varonis Edge vil gi deg muligheten til å holde deg oppdatert på alle viktige beregninger og opprette profiler for hver konto på nettverket ditt. Du kan konfigurere varsler som skal genereres som et resultat av en kombinasjon av handlinger som skjer over en bestemt tidsperiode.

Overvåking av DNS-endringer, kontoplasseringer, førstegangsbruk og tilgang til sensitive data og aktivitet etter arbeidstid er bare noen få beregninger som kan korreleres for å bygge et bredere gjenkjenningsbilde.

Kilde: www.habr.com