Przewodnik bezpieczeństwa DNS

Cokolwiek firma robi, bezpieczeństwo DNS powinna stanowić integralną część jego planu bezpieczeństwa. Usługi nazw, które przekształcają nazwy hostów na adresy IP, są używane przez praktycznie każdą aplikację i usługę w sieci.

Jeśli atakujący przejmie kontrolę nad DNS organizacji, może z łatwością:

• daj sobie kontrolę nad udostępnionymi zasobami
• przekierowywać przychodzące wiadomości e-mail, a także żądania internetowe i próby uwierzytelnienia
• tworzyć i weryfikować certyfikaty SSL/TLS

W tym przewodniku omówiono bezpieczeństwo DNS z dwóch perspektyw:

1. Wykonywanie ciągłego monitorowania i kontroli nad DNS
2. Jak nowe protokoły DNS, takie jak DNSSEC, DOH i DoT, mogą pomóc chronić integralność i poufność przesyłanych żądań DNS

Co to jest bezpieczeństwo DNS?

Koncepcja bezpieczeństwa DNS obejmuje dwa ważne elementy:

1. Zapewnienie ogólnej integralności i dostępności usług DNS, które tłumaczą nazwy hostów na adresy IP
2. Monitoruj aktywność DNS, aby zidentyfikować możliwe problemy z bezpieczeństwem w dowolnym miejscu w sieci

Dlaczego DNS jest podatny na ataki?

Technologia DNS została stworzona w początkach Internetu, na długo zanim ktokolwiek zaczął myśleć o bezpieczeństwie sieci. DNS działa bez uwierzytelniania i szyfrowania, na ślepo przetwarzając żądania dowolnego użytkownika.

Z tego powodu istnieje wiele sposobów na oszukanie użytkownika i fałszowanie informacji o tym, gdzie faktycznie odbywa się rozpoznawanie nazw na adresy IP.

Bezpieczeństwo DNS: problemy i składniki

Bezpieczeństwo DNS składa się z kilku podstawowych Składniki, z których każdy musi zostać wzięty pod uwagę, aby zapewnić pełną ochronę:

• Wzmocnienie procedur bezpieczeństwa i zarządzania serwerami: zwiększ poziom bezpieczeństwa serwera i stwórz standardowy szablon uruchomienia
• Ulepszenia protokołu: zaimplementuj DNSSEC, DoT lub DoH
• Analityka i raportowanie: dodaj dziennik zdarzeń DNS do swojego systemu SIEM, aby uzyskać dodatkowy kontekst podczas badania incydentów
• Cyber ​​​​inteligencja i wykrywanie zagrożeń: subskrybuj aktywny kanał informacyjny o zagrożeniach
• Automatyzacja: utwórz jak najwięcej skryptów automatyzujących procesy

Wyżej wymienione komponenty wysokiego poziomu to tylko wierzchołek góry lodowej bezpieczeństwa DNS. W następnej sekcji omówimy bardziej szczegółowe przypadki użycia i najlepsze praktyki, o których musisz wiedzieć.

Ataki DNS

• Podszywanie się pod DNS lub zatruwanie pamięci podręcznej: wykorzystywanie luki w zabezpieczeniach systemu do manipulowania pamięcią podręczną DNS w celu przekierowania użytkowników do innej lokalizacji
• Tunelowanie DNS: używane głównie do ominięcia zabezpieczeń połączeń zdalnych
• Przejmowanie DNS: przekierowanie normalnego ruchu DNS na inny docelowy serwer DNS poprzez zmianę rejestratora domeny
• Atak NXDOMAIN: przeprowadzenie ataku DDoS na autorytatywny serwer DNS poprzez wysyłanie nielegalnych zapytań o domeny w celu uzyskania wymuszonej odpowiedzi
• domena fantomowa: powoduje, że moduł rozpoznawania nazw DNS czeka na odpowiedź z nieistniejących domen, co skutkuje słabą wydajnością
• atak na losową subdomenę: zainfekowane hosty i botnety przeprowadzają atak DDoS na prawidłową domenę, ale skupiają swój ogień na fałszywych subdomenach, aby zmusić serwer DNS do sprawdzenia rekordów i przejęcia kontroli nad usługą
• blokowanie domeny: wysyła wiele odpowiedzi spamowych, aby zablokować zasoby serwera DNS
• Atak botnetu ze sprzętu abonenckiego: zbiór komputerów, modemów, routerów i innych urządzeń, które koncentrują moc obliczeniową na określonej stronie internetowej, aby przeciążać ją żądaniami ruchu

Ataki DNS

Ataki, które w jakiś sposób wykorzystują DNS do atakowania innych systemów (tzn. zmiana rekordów DNS nie jest celem końcowym):

• Szybki przepływ
• Sieci jednostrumieniowe
• Sieci podwójnego strumienia
• Tunelowanie DNS

Ataki DNS

Ataki, w wyniku których z serwera DNS zostaje zwrócony adres IP potrzebny atakującemu:

• Podszywanie się pod DNS lub zatruwanie pamięci podręcznej
• Przejęcie DNS

Co to jest DNSSEC?

DNSSEC – silniki bezpieczeństwa usług nazw domen – służą do sprawdzania poprawności rekordów DNS bez konieczności znajomości ogólnych informacji na temat każdego konkretnego żądania DNS.

DNSSEC wykorzystuje klucze podpisu cyfrowego (PKI) do sprawdzania, czy wyniki zapytania o nazwę domeny pochodzą z prawidłowego źródła.
Wdrożenie DNSSEC jest nie tylko najlepszą praktyką branżową, ale także skutecznie pozwala uniknąć większości ataków DNS.

Jak działa DNSSEC

DNSSEC działa podobnie do TLS/HTTPS i wykorzystuje pary kluczy publicznych i prywatnych do cyfrowego podpisywania rekordów DNS. Ogólny przegląd procesu:

1. Rekordy DNS są podpisane parą kluczy prywatny-prywatny
2. Odpowiedzi na zapytania DNSSEC zawierają żądany rekord, a także podpis i klucz publiczny
3. następnie klucz publiczny służy do porównywania autentyczności akt i podpisu

Bezpieczeństwo DNS i DNSSEC

DNSSEC to narzędzie służące do sprawdzania integralności zapytań DNS. Nie ma to wpływu na prywatność DNS. Innymi słowy, DNSSEC może dać Ci pewność, że odpowiedź na Twoje zapytanie DNS nie została naruszona, ale każdy atakujący może zobaczyć te wyniki w takiej postaci, w jakiej zostały do ​​Ciebie wysłane.

DoT – DNS przez TLS

Transport Layer Security (TLS) to protokół kryptograficzny służący do ochrony informacji przesyłanych przez połączenie sieciowe. Po nawiązaniu bezpiecznego połączenia TLS pomiędzy klientem a serwerem przesyłane dane są szyfrowane i żaden pośrednik nie może ich zobaczyć.

TLS najczęściej używany jako część protokołu HTTPS (SSL) w przeglądarce internetowej, ponieważ żądania są wysyłane do bezpiecznych serwerów HTTP.

DNS-over-TLS (DNS over TLS, DoT) wykorzystuje protokół TLS do szyfrowania ruchu UDP zwykłych żądań DNS.
Szyfrowanie tych żądań zwykłym tekstem pomaga chronić użytkowników lub aplikacje wysyłające żądania przed kilkoma atakami.

• MitM, czyli „człowiek pośrodku”: Bez szyfrowania system pośredni między klientem a autorytatywnym serwerem DNS mógłby potencjalnie wysyłać do klienta fałszywe lub niebezpieczne informacje w odpowiedzi na żądanie
• Szpiegostwo i śledzenie: Bez szyfrowania żądań systemy oprogramowania pośredniczącego mogą łatwo sprawdzić, do których witryn uzyskuje dostęp dany użytkownik lub aplikacja. Chociaż sam DNS nie ujawni, która strona jest odwiedzana w witrynie, wystarczy znajomość żądanych domen, aby utworzyć profil systemu lub osoby

Źródło: University of California Irvine

DoH – DNS przez HTTPS

DNS-over-HTTPS (DNS over HTTPS, DoH) to eksperymentalny protokół promowany wspólnie przez Mozillę i Google. Jego cele są podobne do protokołu DoT — zwiększanie prywatności ludzi w Internecie poprzez szyfrowanie żądań i odpowiedzi DNS.

Standardowe zapytania DNS są wysyłane przez UDP. Żądania i odpowiedzi można śledzić za pomocą narzędzi takich jak Wireshark. DoT szyfruje te żądania, ale nadal są one identyfikowane jako dość odrębny ruch UDP w sieci.

DoH przyjmuje inne podejście i wysyła zaszyfrowane żądania rozpoznawania nazw hostów za pośrednictwem połączeń HTTPS, które wyglądają jak każde inne żądanie internetowe w sieci.

Ta różnica ma bardzo ważne implikacje zarówno dla administratorów systemów, jak i dla przyszłości rozpoznawania nazw.

1. Filtrowanie DNS to powszechny sposób filtrowania ruchu internetowego w celu ochrony użytkowników przed atakami typu phishing, witrynami rozpowszechniającymi złośliwe oprogramowanie lub inną potencjalnie szkodliwą aktywnością internetową w sieci firmowej. Protokół DoH omija te filtry, potencjalnie narażając użytkowników i sieć na większe ryzyko.
2. W obecnym modelu rozpoznawania nazw każde urządzenie w sieci otrzymuje mniej więcej zapytania DNS z tej samej lokalizacji (określonego serwera DNS). DoH, a w szczególności jego implementacja w Firefoksie, pokazuje, że może się to zmienić w przyszłości. Każda aplikacja na komputerze może odbierać dane z różnych źródeł DNS, co znacznie komplikuje rozwiązywanie problemów, bezpieczeństwo i modelowanie ryzyka.

Źródło: www.varonis.com/blog/what-is-powershell

Jaka jest różnica między DNS przez TLS i DNS przez HTTPS?

Zacznijmy od DNS przez TLS (DoT). Najważniejsze jest to, że oryginalny protokół DNS nie ulega zmianie, ale jest po prostu bezpiecznie przesyłany bezpiecznym kanałem. Z drugiej strony DoH przed wysłaniem żądania ustawia DNS w formacie HTTP.

Alerty monitorowania DNS

Możliwość skutecznego monitorowania ruchu DNS w sieci pod kątem podejrzanych anomalii ma kluczowe znaczenie dla wczesnego wykrycia naruszenia. Korzystanie z narzędzia takiego jak Varonis Edge umożliwi Ci śledzenie wszystkich ważnych wskaźników i tworzenie profili dla każdego konta w Twojej sieci. Możesz skonfigurować alerty, które mają być generowane w wyniku kombinacji działań, które mają miejsce w określonym przedziale czasu.

Monitorowanie zmian DNS, lokalizacji kont, pierwszego użycia i dostępu do wrażliwych danych oraz aktywności po godzinach pracy to tylko kilka wskaźników, które można skorelować, aby zbudować szerszy obraz wykrywania.

Źródło: www.habr.com