Independentemente do que a empresa faça, a segurança deve ser parte integrante do seu plano de segurança. Os serviços de nomes, que resolvem nomes de host em endereços IP, são usados por praticamente todos os aplicativos e serviços na rede.
Se um invasor obtiver o controle do DNS de uma organização, ele poderá facilmente:
- dê a si mesmo controle sobre recursos compartilhados
- redirecionar e-mails recebidos, bem como solicitações da web e tentativas de autenticação
- criar e validar certificados SSL/TLS
Este guia analisa a segurança do DNS de dois ângulos:
- Realizando monitoramento e controle contínuos sobre DNS
- Como os novos protocolos DNS, como DNSSEC, DOH e DoT, podem ajudar a proteger a integridade e a confidencialidade das solicitações DNS transmitidas
O que é segurança DNS?
O conceito de segurança DNS inclui dois componentes importantes:
- Garantir a integridade geral e a disponibilidade dos serviços DNS que resolvem nomes de host em endereços IP
- Monitore a atividade do DNS para identificar possíveis problemas de segurança em qualquer lugar da sua rede
Por que o DNS é vulnerável a ataques?
A tecnologia DNS foi criada nos primórdios da Internet, muito antes de alguém começar a pensar em segurança de rede. O DNS opera sem autenticação ou criptografia, processando cegamente as solicitações de qualquer usuário.
Por causa disso, existem muitas maneiras de enganar o usuário e falsificar informações sobre onde realmente ocorre a resolução de nomes para endereços IP.
Segurança DNS: problemas e componentes
A segurança do DNS consiste em vários componentes, cada um dos quais deve ser levado em consideração para garantir proteção completa:
- Reforçando a segurança do servidor e os procedimentos de gerenciamento: aumente o nível de segurança do servidor e crie um modelo de comissionamento padrão
- Melhorias no protocolo: implementar DNSSEC, DoT ou DoH
- Análise e relatórios: adicione um log de eventos DNS ao seu sistema SIEM para obter contexto adicional ao investigar incidentes
- Inteligência cibernética e detecção de ameaças: assinar um feed ativo de inteligência contra ameaças
- Automação: crie tantos scripts quanto possível para automatizar processos
Os componentes de alto nível mencionados acima são apenas a ponta do iceberg da segurança do DNS. Na próxima seção, nos aprofundaremos em casos de uso mais específicos e práticas recomendadas que você precisa conhecer.
Ataques DNS
- : explorar uma vulnerabilidade do sistema para manipular o cache DNS para redirecionar usuários para outro local
- : usado principalmente para ignorar proteções de conexão remota
- Sequestro de DNS: redirecionando o tráfego DNS normal para um servidor DNS de destino diferente, alterando o registrador de domínio
- Ataque NXDOMAIN: conduzir um ataque DDoS a um servidor DNS autoritativo, enviando consultas de domínio ilegítimas para obter uma resposta forçada
- domínio fantasma: faz com que o resolvedor DNS espere por uma resposta de domínios inexistentes, resultando em baixo desempenho
- ataque a um subdomínio aleatório: hosts e botnets comprometidos lançam um ataque DDoS em um domínio válido, mas concentram seu fogo em subdomínios falsos para forçar o servidor DNS a procurar registros e assumir o controle do serviço
- bloqueio de domínio: está enviando várias respostas de spam para bloquear recursos do servidor DNS
- Ataque de botnet de equipamento de assinante: um conjunto de computadores, modems, roteadores e outros dispositivos que concentram o poder computacional em um site específico para sobrecarregá-lo com solicitações de tráfego
Ataques DNS
Ataques que de alguma forma usam o DNS para atacar outros sistemas (ou seja, alterar os registros DNS não é o objetivo final):
- Fluxo rápido
- Redes de Fluxo Único
- Redes de Fluxo Duplo
Ataques DNS
Ataques que resultam no retorno do endereço IP necessário ao invasor do servidor DNS:
- Falsificação de DNS ou envenenamento de cache
- Sequestro de DNS
O que é DNSSEC?
DNSSEC - Domain Name Service Security Engines - são usados para validar registros DNS sem a necessidade de saber informações gerais para cada solicitação DNS específica.
DNSSEC usa chaves de assinatura digital (PKIs) para verificar se os resultados de uma consulta de nome de domínio vieram de uma fonte válida.
A implementação do DNSSEC não é apenas uma prática recomendada do setor, mas também é eficaz para evitar a maioria dos ataques ao DNS.
Como funciona o DNSSEC
O DNSSEC funciona de forma semelhante ao TLS/HTTPS, usando pares de chaves públicas e privadas para assinar digitalmente registros DNS. Visão geral do processo:
- Os registros DNS são assinados com um par de chaves privada-privada
- As respostas às consultas DNSSEC contêm o registro solicitado, bem como a assinatura e a chave pública
- em seguida usado para comparar a autenticidade de um registro e uma assinatura
Segurança DNS e DNSSEC
DNSSEC é uma ferramenta para verificar a integridade das consultas DNS. Isso não afeta a privacidade do DNS. Em outras palavras, o DNSSEC pode lhe dar a certeza de que a resposta à sua consulta DNS não foi adulterada, mas qualquer invasor pode ver esses resultados conforme foram enviados a você.
DoT - DNS sobre TLS
Transport Layer Security (TLS) é um protocolo criptográfico para proteger informações transmitidas por uma conexão de rede. Depois que uma conexão TLS segura é estabelecida entre o cliente e o servidor, os dados transmitidos são criptografados e nenhum intermediário pode vê-los.
mais comumente usado como parte de HTTPS (SSL) em seu navegador porque as solicitações são enviadas para servidores HTTP seguros.
DNS sobre TLS (DNS sobre TLS, DoT) usa o protocolo TLS para criptografar o tráfego UDP de solicitações DNS regulares.
Criptografar essas solicitações em texto simples ajuda a proteger usuários ou aplicativos que fazem solicitações contra diversos ataques.
- MitM, ou "homem no meio": Sem criptografia, o sistema intermediário entre o cliente e o servidor DNS autoritativo poderia enviar informações falsas ou perigosas ao cliente em resposta a uma solicitação
- Espionagem e rastreamento: sem criptografia de solicitações, é fácil para os sistemas de middleware ver quais sites um determinado usuário ou aplicativo está acessando. Embora o DNS por si só não revele a página específica que está sendo visitada em um site, basta conhecer os domínios solicitados para criar o perfil de um sistema ou de um indivíduo.
Fonte:
DoH – DNS sobre HTTPS
DNS sobre HTTPS (DNS sobre HTTPS, DoH) é um protocolo experimental promovido em conjunto pela Mozilla e Google. Seus objetivos são semelhantes aos do protocolo DoT: aumentar a privacidade das pessoas on-line, criptografando solicitações e respostas de DNS.
As consultas DNS padrão são enviadas por UDP. Solicitações e respostas podem ser rastreadas usando ferramentas como . O DoT criptografa essas solicitações, mas elas ainda são identificadas como tráfego UDP bastante distinto na rede.
O DoH adota uma abordagem diferente e envia solicitações criptografadas de resolução de nome de host por meio de conexões HTTPS, que se parecem com qualquer outra solicitação da web na rede.
Esta diferença tem implicações muito importantes tanto para os administradores de sistemas como para o futuro da resolução de nomes.
- A filtragem DNS é uma forma comum de filtrar o tráfego da Web para proteger os usuários contra ataques de phishing, sites que distribuem malware ou outras atividades potencialmente prejudiciais da Internet em uma rede corporativa. O protocolo DoH ignora esses filtros, expondo potencialmente os usuários e a rede a maiores riscos.
- No modelo atual de resolução de nomes, cada dispositivo na rede recebe mais ou menos consultas DNS do mesmo local (um servidor DNS especificado). O DoH, e em particular a implementação dele pelo Firefox, mostra que isso pode mudar no futuro. Cada aplicativo em um computador pode receber dados de diferentes fontes de DNS, tornando a solução de problemas, a segurança e a modelagem de riscos muito mais complexas.
Fonte:
Qual é a diferença entre DNS sobre TLS e DNS sobre HTTPS?
Vamos começar com DNS sobre TLS (DoT). O ponto principal aqui é que o protocolo DNS original não é alterado, mas simplesmente transmitido com segurança por um canal seguro. O DoH, por outro lado, coloca o DNS no formato HTTP antes de fazer solicitações.
Alertas de monitoramento de DNS
A capacidade de monitorar efetivamente o tráfego DNS em sua rede em busca de anomalias suspeitas é fundamental para a detecção precoce de uma violação. Usar uma ferramenta como o Varonis Edge lhe dará a capacidade de ficar por dentro de todas as métricas importantes e criar perfis para cada conta em sua rede. Você pode configurar alertas para serem gerados como resultado de uma combinação de ações que ocorrem durante um período específico.
Monitorar alterações de DNS, localizações de contas, uso pela primeira vez e acesso a dados confidenciais e atividades fora do horário comercial são apenas algumas métricas que podem ser correlacionadas para construir um quadro de detecção mais amplo.
Fonte: habr.com