ProHoster > BLOG > administrare > Ghid de securitate DNS

Ghid de securitate DNS

Ghid de securitate DNS

Orice face compania, securitate DNS ar trebui să facă parte integrantă din planul său de securitate. Serviciile de nume, care rezolvă numele de gazdă în adrese IP, sunt utilizate de aproape fiecare aplicație și serviciu din rețea.

Dacă un atacator câștigă controlul asupra DNS-ului unei organizații, poate cu ușurință:

  • oferiți-vă control asupra resurselor partajate
  • redirecționează e-mailurile primite, precum și solicitările web și încercările de autentificare
  • creați și validați certificate SSL/TLS

Acest ghid analizează securitatea DNS din două unghiuri:

  1. Efectuarea monitorizării și controlului continuu asupra DNS
  2. Cum noile protocoale DNS, cum ar fi DNSSEC, DOH și DoT, pot ajuta la protejarea integrității și confidențialității cererilor DNS transmise

Ce este securitatea DNS?

Ghid de securitate DNS

Conceptul de securitate DNS include două componente importante:

  1. Asigurarea integrității generale și a disponibilității serviciilor DNS care rezolvă numele de gazdă în adrese IP
  2. Monitorizați activitatea DNS pentru a identifica posibile probleme de securitate oriunde în rețeaua dvs

De ce este DNS vulnerabil la atacuri?

Tehnologia DNS a fost creată în primele zile ale internetului, cu mult înainte ca cineva să înceapă măcar să se gândească la securitatea rețelei. DNS funcționează fără autentificare sau criptare, procesând orbește cererile de la orice utilizator.

Din acest motiv, există multe modalități de a înșela utilizatorul și de a falsifica informații despre locul în care are loc de fapt rezoluția numelor în adrese IP.

Securitate DNS: probleme și componente

Ghid de securitate DNS

Securitatea DNS constă în câteva elemente de bază componente, fiecare dintre acestea trebuie luate în considerare pentru a asigura o protecție completă:

  • Consolidarea securității serverului și a procedurilor de management: crește nivelul de securitate a serverului și creează un șablon standard de punere în funcțiune
  • Îmbunătățiri ale protocolului: implementați DNSSEC, DoT sau DoH
  • Analiză și raportare: adăugați un jurnal de evenimente DNS la sistemul dumneavoastră SIEM pentru context suplimentar atunci când investigați incidente
  • Inteligența cibernetică și detectarea amenințărilor: abonați-vă la un flux activ de informații despre amenințări
  • Automatizare: creați cât mai multe scripturi pentru a automatiza procesele

Componentele de nivel înalt menționate mai sus sunt doar vârful aisbergului de securitate DNS. În secțiunea următoare, vom aborda mai multe cazuri de utilizare specifice și cele mai bune practici despre care trebuie să știți.

Atacurile DNS

Ghid de securitate DNS

  • Falsificarea DNS sau otrăvirea cache-ului: exploatând o vulnerabilitate a sistemului pentru a manipula memoria cache DNS pentru a redirecționa utilizatorii către o altă locație
  • Tunnel DNS: folosit în principal pentru a ocoli protecțiile conexiunii de la distanță
  • Deturnarea DNS: redirecționarea traficului DNS normal către un alt server DNS țintă prin schimbarea registratorului de domeniu
  • Atacul NXDOMAIN: efectuarea unui atac DDoS pe un server DNS autorizat prin trimiterea de interogări de domeniu nelegitime pentru a obține un răspuns forțat
  • domeniu fantomă: determină soluția DNS să aștepte un răspuns de la domenii inexistente, rezultând performanțe slabe
  • atac asupra unui subdomeniu aleatoriu: gazdele și botnet-urile compromise lansează un atac DDoS asupra unui domeniu valid, dar își concentrează focul asupra subdomeniilor false pentru a forța serverul DNS să caute înregistrări și să preia controlul asupra serviciului
  • blocarea domeniului: trimite mai multe răspunsuri spam pentru a bloca resursele serverului DNS
  • Atacul botnet de la echipamentul abonaților: o colecție de computere, modemuri, routere și alte dispozitive care concentrează puterea de calcul pe un anumit site web pentru a-l supraîncărca cu solicitări de trafic

Atacurile DNS

Atacuri care folosesc cumva DNS-ul pentru a ataca alte sisteme (adică schimbarea înregistrărilor DNS nu este scopul final):

  • Flux rapid
  • Rețele cu flux unic
  • Rețele cu flux dublu
  • Tunnel DNS

Atacurile DNS

Atacurile care au ca rezultat returnarea adresei IP necesare atacatorului de la serverul DNS:

  • Falsificarea DNS sau otrăvirea cache-ului
  • Deturnarea DNS

Ce este DNSSEC?

Ghid de securitate DNS

DNSSEC - Domain Name Service Security Engines - sunt folosite pentru a valida înregistrările DNS fără a fi nevoie să cunoașteți informații generale pentru fiecare cerere DNS specifică.

DNSSEC utilizează chei de semnătură digitală (PKI) pentru a verifica dacă rezultatele unei interogări de nume de domeniu provin dintr-o sursă validă.
Implementarea DNSSEC nu este doar o bună practică din industrie, dar este și eficientă în evitarea majorității atacurilor DNS.

Cum funcționează DNSSEC

DNSSEC funcționează similar cu TLS/HTTPS, folosind perechi de chei publice și private pentru a semna digital înregistrările DNS. Prezentare generală a procesului:

  1. Înregistrările DNS sunt semnate cu o pereche de chei private-private
  2. Răspunsurile la interogările DNSSEC conțin înregistrarea solicitată, precum și semnătura și cheia publică
  3. atunci cheie publică folosit pentru a compara autenticitatea unei înregistrări și a unei semnături

Securitate DNS și DNSSEC

Ghid de securitate DNS

DNSSEC este un instrument pentru verificarea integrității interogărilor DNS. Nu afectează confidențialitatea DNS. Cu alte cuvinte, DNSSEC vă poate oferi încredere că răspunsul la interogarea dvs. DNS nu a fost alterat, dar orice atacator poate vedea acele rezultate așa cum ți-au fost trimise.

DoT - DNS prin TLS

Transport Layer Security (TLS) este un protocol criptografic pentru protejarea informațiilor transmise printr-o conexiune de rețea. Odată ce o conexiune TLS securizată este stabilită între client și server, datele transmise sunt criptate și niciun intermediar nu le poate vedea.

TLS cel mai frecvent utilizat ca parte a HTTPS (SSL) în browserul dvs. web, deoarece solicitările sunt trimise către servere HTTP securizate.

DNS-over-TLS (DNS peste TLS, DoT) utilizează protocolul TLS pentru a cripta traficul UDP al solicitărilor DNS obișnuite.
Criptarea acestor solicitări în text simplu ajută la protejarea utilizatorilor sau aplicațiilor care fac solicitări de mai multe atacuri.

  • MitM, sau „om la mijloc”: Fără criptare, sistemul intermediar dintre client și serverul DNS autorizat ar putea trimite informații false sau periculoase către client ca răspuns la o solicitare
  • Spionaj și urmărire: Fără criptarea solicitărilor, este ușor pentru sistemele middleware să vadă ce site-uri accesează un anumit utilizator sau aplicație. Deși numai DNS nu va dezvălui pagina specifică care este vizitată pe un site web, simpla cunoaștere a domeniilor solicitate este suficientă pentru a crea un profil al unui sistem sau al unei persoane.

Ghid de securitate DNS
Sursa: Universitatea din California, Irvine

DoH - DNS prin HTTPS

DNS-over-HTTPS (DNS over HTTPS, DoH) este un protocol experimental promovat în comun de Mozilla și Google. Obiectivele sale sunt similare cu protocolul DoT - îmbunătățirea confidențialității online a oamenilor prin criptarea solicitărilor și răspunsurilor DNS.

Interogările DNS standard sunt trimise prin UDP. Solicitările și răspunsurile pot fi urmărite folosind instrumente precum Wireshark. DoT criptează aceste solicitări, dar ele sunt încă identificate ca trafic UDP destul de distinct în rețea.

DoH adoptă o abordare diferită și trimite cereri criptate de rezoluție a numelor de gazdă prin conexiuni HTTPS, care arată ca orice altă solicitare web prin rețea.

Această diferență are implicații foarte importante atât pentru administratorii de sistem, cât și pentru viitorul rezolvării numelor.

  1. Filtrarea DNS este o modalitate obișnuită de a filtra traficul web pentru a proteja utilizatorii de atacuri de phishing, site-uri care distribuie malware sau alte activități de Internet potențial dăunătoare într-o rețea corporativă. Protocolul DoH ocolește aceste filtre, expunând potențial utilizatorii și rețeaua la un risc mai mare.
  2. În modelul actual de rezoluție a numelui, fiecare dispozitiv din rețea primește mai mult sau mai puțin interogări DNS din aceeași locație (un server DNS specificat). DoH, și în special implementarea acestuia de către Firefox, arată că acest lucru se poate schimba în viitor. Fiecare aplicație de pe un computer poate primi date din surse DNS diferite, ceea ce face mult mai complexă depanarea, securitatea și modelarea riscurilor.

Ghid de securitate DNS
Sursa: www.varonis.com/blog/what-is-powershell

Care este diferența dintre DNS prin TLS și DNS prin HTTPS?

Să începem cu DNS peste TLS (DoT). Principalul punct aici este că protocolul DNS original nu este schimbat, ci este pur și simplu transmis în siguranță pe un canal securizat. DoH, pe de altă parte, pune DNS în format HTTP înainte de a face cereri.

Alerte de monitorizare DNS

Ghid de securitate DNS

Capacitatea de a monitoriza eficient traficul DNS din rețeaua dvs. pentru anomalii suspecte este esențială pentru detectarea timpurie a unei breșe. Utilizarea unui instrument precum Varonis Edge vă va oferi posibilitatea de a rămâne la curent cu toate valorile importante și de a crea profiluri pentru fiecare cont din rețeaua dvs. Puteți configura alerte pentru a fi generate ca urmare a unei combinații de acțiuni care au loc într-o anumită perioadă de timp.

Monitorizarea modificărilor DNS, locațiile conturilor, prima utilizare și accesul la date sensibile și activitatea în afara orelor de program sunt doar câteva valori care pot fi corelate pentru a construi o imagine mai largă de detectare.

Sursa: www.habr.com

Adauga un comentariu