Cokolwiek firma robi, bezpieczeństwo DNS powinna stanowić integralną część jego planu bezpieczeństwa. Usługi nazw, które przekształcają nazwy hostów na adresy IP, są używane przez praktycznie każdą aplikację i usługę w sieci.
Jeśli atakujący przejmie kontrolę nad DNS organizacji, może z łatwością:
daj sobie kontrolę nad udostępnionymi zasobami
przekierowywać przychodzące wiadomości e-mail, a także żądania internetowe i próby uwierzytelnienia
tworzyć i weryfikować certyfikaty SSL/TLS
W tym przewodniku omówiono bezpieczeństwo DNS z dwóch perspektyw:
Wykonywanie ciągłego monitorowania i kontroli nad DNS
Jak nowe protokoły DNS, takie jak DNSSEC, DOH i DoT, mogą pomóc chronić integralność i poufność przesyłanych żądań DNS
Co to jest bezpieczeństwo DNS?
Koncepcja bezpieczeństwa DNS obejmuje dwa ważne elementy:
Zapewnienie ogólnej integralności i dostępności usług DNS, które tłumaczą nazwy hostów na adresy IP
Monitoruj aktywność DNS, aby zidentyfikować możliwe problemy z bezpieczeństwem w dowolnym miejscu w sieci
Dlaczego DNS jest podatny na ataki?
Technologia DNS została stworzona w początkach Internetu, na długo zanim ktokolwiek zaczął myśleć o bezpieczeństwie sieci. DNS działa bez uwierzytelniania i szyfrowania, na ślepo przetwarzając żądania dowolnego użytkownika.
Z tego powodu istnieje wiele sposobów na oszukanie użytkownika i fałszowanie informacji o tym, gdzie faktycznie odbywa się rozpoznawanie nazw na adresy IP.
Bezpieczeństwo DNS: problemy i składniki
Bezpieczeństwo DNS składa się z kilku podstawowych Składniki, z których każdy musi zostać wzięty pod uwagę, aby zapewnić pełną ochronę:
Wzmocnienie procedur bezpieczeństwa i zarządzania serwerami: zwiększ poziom bezpieczeństwa serwera i stwórz standardowy szablon uruchomienia
Ulepszenia protokołu: zaimplementuj DNSSEC, DoT lub DoH
Analityka i raportowanie: dodaj dziennik zdarzeń DNS do swojego systemu SIEM, aby uzyskać dodatkowy kontekst podczas badania incydentów
Cyber inteligencja i wykrywanie zagrożeń: subskrybuj aktywny kanał informacyjny o zagrożeniach
Automatyzacja: utwórz jak najwięcej skryptów automatyzujących procesy
Wyżej wymienione komponenty wysokiego poziomu to tylko wierzchołek góry lodowej bezpieczeństwa DNS. W następnej sekcji omówimy bardziej szczegółowe przypadki użycia i najlepsze praktyki, o których musisz wiedzieć.
Tunelowanie DNS: używane głównie do ominięcia zabezpieczeń połączeń zdalnych
Przejmowanie DNS: przekierowanie normalnego ruchu DNS na inny docelowy serwer DNS poprzez zmianę rejestratora domeny
Atak NXDOMAIN: przeprowadzenie ataku DDoS na autorytatywny serwer DNS poprzez wysyłanie nielegalnych zapytań o domeny w celu uzyskania wymuszonej odpowiedzi
domena fantomowa: powoduje, że moduł rozpoznawania nazw DNS czeka na odpowiedź z nieistniejących domen, co skutkuje słabą wydajnością
atak na losową subdomenę: zainfekowane hosty i botnety przeprowadzają atak DDoS na prawidłową domenę, ale skupiają swój ogień na fałszywych subdomenach, aby zmusić serwer DNS do sprawdzenia rekordów i przejęcia kontroli nad usługą
blokowanie domeny: wysyła wiele odpowiedzi spamowych, aby zablokować zasoby serwera DNS
Atak botnetu ze sprzętu abonenckiego: zbiór komputerów, modemów, routerów i innych urządzeń, które koncentrują moc obliczeniową na określonej stronie internetowej, aby przeciążać ją żądaniami ruchu
Ataki DNS
Ataki, które w jakiś sposób wykorzystują DNS do atakowania innych systemów (tzn. zmiana rekordów DNS nie jest celem końcowym):
Ataki, w wyniku których z serwera DNS zostaje zwrócony adres IP potrzebny atakującemu:
Podszywanie się pod DNS lub zatruwanie pamięci podręcznej
Przejęcie DNS
Co to jest DNSSEC?
DNSSEC – silniki bezpieczeństwa usług nazw domen – służą do sprawdzania poprawności rekordów DNS bez konieczności znajomości ogólnych informacji na temat każdego konkretnego żądania DNS.
DNSSEC wykorzystuje klucze podpisu cyfrowego (PKI) do sprawdzania, czy wyniki zapytania o nazwę domeny pochodzą z prawidłowego źródła.
Wdrożenie DNSSEC jest nie tylko najlepszą praktyką branżową, ale także skutecznie pozwala uniknąć większości ataków DNS.
Jak działa DNSSEC
DNSSEC działa podobnie do TLS/HTTPS i wykorzystuje pary kluczy publicznych i prywatnych do cyfrowego podpisywania rekordów DNS. Ogólny przegląd procesu:
Rekordy DNS są podpisane parą kluczy prywatny-prywatny
Odpowiedzi na zapytania DNSSEC zawierają żądany rekord, a także podpis i klucz publiczny
następnie klucz publiczny służy do porównywania autentyczności akt i podpisu
Bezpieczeństwo DNS i DNSSEC
DNSSEC to narzędzie służące do sprawdzania integralności zapytań DNS. Nie ma to wpływu na prywatność DNS. Innymi słowy, DNSSEC może dać Ci pewność, że odpowiedź na Twoje zapytanie DNS nie została naruszona, ale każdy atakujący może zobaczyć te wyniki w takiej postaci, w jakiej zostały do Ciebie wysłane.
DoT – DNS przez TLS
Transport Layer Security (TLS) to protokół kryptograficzny służący do ochrony informacji przesyłanych przez połączenie sieciowe. Po nawiązaniu bezpiecznego połączenia TLS pomiędzy klientem a serwerem przesyłane dane są szyfrowane i żaden pośrednik nie może ich zobaczyć.
TLS najczęściej używany jako część protokołu HTTPS (SSL) w przeglądarce internetowej, ponieważ żądania są wysyłane do bezpiecznych serwerów HTTP.
DNS-over-TLS (DNS over TLS, DoT) wykorzystuje protokół TLS do szyfrowania ruchu UDP zwykłych żądań DNS.
Szyfrowanie tych żądań zwykłym tekstem pomaga chronić użytkowników lub aplikacje wysyłające żądania przed kilkoma atakami.
MitM, czyli „człowiek pośrodku”: Bez szyfrowania system pośredni między klientem a autorytatywnym serwerem DNS mógłby potencjalnie wysyłać do klienta fałszywe lub niebezpieczne informacje w odpowiedzi na żądanie
Szpiegostwo i śledzenie: Bez szyfrowania żądań systemy oprogramowania pośredniczącego mogą łatwo sprawdzić, do których witryn uzyskuje dostęp dany użytkownik lub aplikacja. Chociaż sam DNS nie ujawni, która strona jest odwiedzana w witrynie, wystarczy znajomość żądanych domen, aby utworzyć profil systemu lub osoby
DNS-over-HTTPS (DNS over HTTPS, DoH) to eksperymentalny protokół promowany wspólnie przez Mozillę i Google. Jego cele są podobne do protokołu DoT — zwiększanie prywatności ludzi w Internecie poprzez szyfrowanie żądań i odpowiedzi DNS.
Standardowe zapytania DNS są wysyłane przez UDP. Żądania i odpowiedzi można śledzić za pomocą narzędzi takich jak Wireshark. DoT szyfruje te żądania, ale nadal są one identyfikowane jako dość odrębny ruch UDP w sieci.
DoH przyjmuje inne podejście i wysyła zaszyfrowane żądania rozpoznawania nazw hostów za pośrednictwem połączeń HTTPS, które wyglądają jak każde inne żądanie internetowe w sieci.
Ta różnica ma bardzo ważne implikacje zarówno dla administratorów systemów, jak i dla przyszłości rozpoznawania nazw.
Filtrowanie DNS to powszechny sposób filtrowania ruchu internetowego w celu ochrony użytkowników przed atakami typu phishing, witrynami rozpowszechniającymi złośliwe oprogramowanie lub inną potencjalnie szkodliwą aktywnością internetową w sieci firmowej. Protokół DoH omija te filtry, potencjalnie narażając użytkowników i sieć na większe ryzyko.
W obecnym modelu rozpoznawania nazw każde urządzenie w sieci otrzymuje mniej więcej zapytania DNS z tej samej lokalizacji (określonego serwera DNS). DoH, a w szczególności jego implementacja w Firefoksie, pokazuje, że może się to zmienić w przyszłości. Każda aplikacja na komputerze może odbierać dane z różnych źródeł DNS, co znacznie komplikuje rozwiązywanie problemów, bezpieczeństwo i modelowanie ryzyka.
Jaka jest różnica między DNS przez TLS i DNS przez HTTPS?
Zacznijmy od DNS przez TLS (DoT). Najważniejsze jest to, że oryginalny protokół DNS nie ulega zmianie, ale jest po prostu bezpiecznie przesyłany bezpiecznym kanałem. Z drugiej strony DoH przed wysłaniem żądania ustawia DNS w formacie HTTP.
Alerty monitorowania DNS
Możliwość skutecznego monitorowania ruchu DNS w sieci pod kątem podejrzanych anomalii ma kluczowe znaczenie dla wczesnego wykrycia naruszenia. Korzystanie z narzędzia takiego jak Varonis Edge umożliwi Ci śledzenie wszystkich ważnych wskaźników i tworzenie profili dla każdego konta w Twojej sieci. Możesz skonfigurować alerty, które mają być generowane w wyniku kombinacji działań, które mają miejsce w określonym przedziale czasu.
Monitorowanie zmian DNS, lokalizacji kont, pierwszego użycia i dostępu do wrażliwych danych oraz aktywności po godzinach pracy to tylko kilka wskaźników, które można skorelować, aby zbudować szerszy obraz wykrywania.