Orice face compania, securitate DNS ar trebui să facă parte integrantă din planul său de securitate. Serviciile de nume, care rezolvă numele de gazdă în adrese IP, sunt utilizate de aproape fiecare aplicație și serviciu din rețea.
Dacă un atacator câștigă controlul asupra DNS-ului unei organizații, poate cu ușurință:
oferiți-vă control asupra resurselor partajate
redirecționează e-mailurile primite, precum și solicitările web și încercările de autentificare
creați și validați certificate SSL/TLS
Acest ghid analizează securitatea DNS din două unghiuri:
Efectuarea monitorizării și controlului continuu asupra DNS
Cum noile protocoale DNS, cum ar fi DNSSEC, DOH și DoT, pot ajuta la protejarea integrității și confidențialității cererilor DNS transmise
Ce este securitatea DNS?
Conceptul de securitate DNS include două componente importante:
Asigurarea integrității generale și a disponibilității serviciilor DNS care rezolvă numele de gazdă în adrese IP
Monitorizați activitatea DNS pentru a identifica posibile probleme de securitate oriunde în rețeaua dvs
De ce este DNS vulnerabil la atacuri?
Tehnologia DNS a fost creată în primele zile ale internetului, cu mult înainte ca cineva să înceapă măcar să se gândească la securitatea rețelei. DNS funcționează fără autentificare sau criptare, procesând orbește cererile de la orice utilizator.
Din acest motiv, există multe modalități de a înșela utilizatorul și de a falsifica informații despre locul în care are loc de fapt rezoluția numelor în adrese IP.
Securitate DNS: probleme și componente
Securitatea DNS constă în câteva elemente de bază componente, fiecare dintre acestea trebuie luate în considerare pentru a asigura o protecție completă:
Consolidarea securității serverului și a procedurilor de management: crește nivelul de securitate a serverului și creează un șablon standard de punere în funcțiune
Îmbunătățiri ale protocolului: implementați DNSSEC, DoT sau DoH
Analiză și raportare: adăugați un jurnal de evenimente DNS la sistemul dumneavoastră SIEM pentru context suplimentar atunci când investigați incidente
Inteligența cibernetică și detectarea amenințărilor: abonați-vă la un flux activ de informații despre amenințări
Automatizare: creați cât mai multe scripturi pentru a automatiza procesele
Componentele de nivel înalt menționate mai sus sunt doar vârful aisbergului de securitate DNS. În secțiunea următoare, vom aborda mai multe cazuri de utilizare specifice și cele mai bune practici despre care trebuie să știți.
Atacurile DNS
Falsificarea DNS sau otrăvirea cache-ului: exploatând o vulnerabilitate a sistemului pentru a manipula memoria cache DNS pentru a redirecționa utilizatorii către o altă locație
Tunnel DNS: folosit în principal pentru a ocoli protecțiile conexiunii de la distanță
Deturnarea DNS: redirecționarea traficului DNS normal către un alt server DNS țintă prin schimbarea registratorului de domeniu
Atacul NXDOMAIN: efectuarea unui atac DDoS pe un server DNS autorizat prin trimiterea de interogări de domeniu nelegitime pentru a obține un răspuns forțat
domeniu fantomă: determină soluția DNS să aștepte un răspuns de la domenii inexistente, rezultând performanțe slabe
atac asupra unui subdomeniu aleatoriu: gazdele și botnet-urile compromise lansează un atac DDoS asupra unui domeniu valid, dar își concentrează focul asupra subdomeniilor false pentru a forța serverul DNS să caute înregistrări și să preia controlul asupra serviciului
blocarea domeniului: trimite mai multe răspunsuri spam pentru a bloca resursele serverului DNS
Atacul botnet de la echipamentul abonaților: o colecție de computere, modemuri, routere și alte dispozitive care concentrează puterea de calcul pe un anumit site web pentru a-l supraîncărca cu solicitări de trafic
Atacurile DNS
Atacuri care folosesc cumva DNS-ul pentru a ataca alte sisteme (adică schimbarea înregistrărilor DNS nu este scopul final):
Atacurile care au ca rezultat returnarea adresei IP necesare atacatorului de la serverul DNS:
Falsificarea DNS sau otrăvirea cache-ului
Deturnarea DNS
Ce este DNSSEC?
DNSSEC - Domain Name Service Security Engines - sunt folosite pentru a valida înregistrările DNS fără a fi nevoie să cunoașteți informații generale pentru fiecare cerere DNS specifică.
DNSSEC utilizează chei de semnătură digitală (PKI) pentru a verifica dacă rezultatele unei interogări de nume de domeniu provin dintr-o sursă validă.
Implementarea DNSSEC nu este doar o bună practică din industrie, dar este și eficientă în evitarea majorității atacurilor DNS.
Cum funcționează DNSSEC
DNSSEC funcționează similar cu TLS/HTTPS, folosind perechi de chei publice și private pentru a semna digital înregistrările DNS. Prezentare generală a procesului:
Înregistrările DNS sunt semnate cu o pereche de chei private-private
Răspunsurile la interogările DNSSEC conțin înregistrarea solicitată, precum și semnătura și cheia publică
atunci cheie publică folosit pentru a compara autenticitatea unei înregistrări și a unei semnături
Securitate DNS și DNSSEC
DNSSEC este un instrument pentru verificarea integrității interogărilor DNS. Nu afectează confidențialitatea DNS. Cu alte cuvinte, DNSSEC vă poate oferi încredere că răspunsul la interogarea dvs. DNS nu a fost alterat, dar orice atacator poate vedea acele rezultate așa cum ți-au fost trimise.
DoT - DNS prin TLS
Transport Layer Security (TLS) este un protocol criptografic pentru protejarea informațiilor transmise printr-o conexiune de rețea. Odată ce o conexiune TLS securizată este stabilită între client și server, datele transmise sunt criptate și niciun intermediar nu le poate vedea.
TLS cel mai frecvent utilizat ca parte a HTTPS (SSL) în browserul dvs. web, deoarece solicitările sunt trimise către servere HTTP securizate.
DNS-over-TLS (DNS peste TLS, DoT) utilizează protocolul TLS pentru a cripta traficul UDP al solicitărilor DNS obișnuite.
Criptarea acestor solicitări în text simplu ajută la protejarea utilizatorilor sau aplicațiilor care fac solicitări de mai multe atacuri.
MitM, sau „om la mijloc”: Fără criptare, sistemul intermediar dintre client și serverul DNS autorizat ar putea trimite informații false sau periculoase către client ca răspuns la o solicitare
Spionaj și urmărire: Fără criptarea solicitărilor, este ușor pentru sistemele middleware să vadă ce site-uri accesează un anumit utilizator sau aplicație. Deși numai DNS nu va dezvălui pagina specifică care este vizitată pe un site web, simpla cunoaștere a domeniilor solicitate este suficientă pentru a crea un profil al unui sistem sau al unei persoane.
DNS-over-HTTPS (DNS over HTTPS, DoH) este un protocol experimental promovat în comun de Mozilla și Google. Obiectivele sale sunt similare cu protocolul DoT - îmbunătățirea confidențialității online a oamenilor prin criptarea solicitărilor și răspunsurilor DNS.
Interogările DNS standard sunt trimise prin UDP. Solicitările și răspunsurile pot fi urmărite folosind instrumente precum Wireshark. DoT criptează aceste solicitări, dar ele sunt încă identificate ca trafic UDP destul de distinct în rețea.
DoH adoptă o abordare diferită și trimite cereri criptate de rezoluție a numelor de gazdă prin conexiuni HTTPS, care arată ca orice altă solicitare web prin rețea.
Această diferență are implicații foarte importante atât pentru administratorii de sistem, cât și pentru viitorul rezolvării numelor.
Filtrarea DNS este o modalitate obișnuită de a filtra traficul web pentru a proteja utilizatorii de atacuri de phishing, site-uri care distribuie malware sau alte activități de Internet potențial dăunătoare într-o rețea corporativă. Protocolul DoH ocolește aceste filtre, expunând potențial utilizatorii și rețeaua la un risc mai mare.
În modelul actual de rezoluție a numelui, fiecare dispozitiv din rețea primește mai mult sau mai puțin interogări DNS din aceeași locație (un server DNS specificat). DoH, și în special implementarea acestuia de către Firefox, arată că acest lucru se poate schimba în viitor. Fiecare aplicație de pe un computer poate primi date din surse DNS diferite, ceea ce face mult mai complexă depanarea, securitatea și modelarea riscurilor.
Care este diferența dintre DNS prin TLS și DNS prin HTTPS?
Să începem cu DNS peste TLS (DoT). Principalul punct aici este că protocolul DNS original nu este schimbat, ci este pur și simplu transmis în siguranță pe un canal securizat. DoH, pe de altă parte, pune DNS în format HTTP înainte de a face cereri.
Alerte de monitorizare DNS
Capacitatea de a monitoriza eficient traficul DNS din rețeaua dvs. pentru anomalii suspecte este esențială pentru detectarea timpurie a unei breșe. Utilizarea unui instrument precum Varonis Edge vă va oferi posibilitatea de a rămâne la curent cu toate valorile importante și de a crea profiluri pentru fiecare cont din rețeaua dvs. Puteți configura alerte pentru a fi generate ca urmare a unei combinații de acțiuni care au loc într-o anumită perioadă de timp.
Monitorizarea modificărilor DNS, locațiile conturilor, prima utilizare și accesul la date sensibile și activitatea în afara orelor de program sunt doar câteva valori care pot fi corelate pentru a construi o imagine mai largă de detectare.