باقي ڪمپني ڪندو، سيڪيورٽي ان جي سيڪيورٽي پلان جو هڪ لازمي حصو هجڻ گهرجي. نالي جون خدمتون، جيڪي IP پتي تي ميزبانن جا نالا حل ڪن ٿيون، نيٽ ورڪ تي تقريبن هر ايپليڪيشن ۽ سروس پاران استعمال ٿينديون آهن.
جيڪڏهن هڪ حملو ڪندڙ هڪ تنظيم جي DNS جو ڪنٽرول حاصل ڪري، هو آساني سان ڪري سگهي ٿو:
- پاڻ کي حصيداري وسيلن تي ڪنٽرول ڏيو
- ايندڙ اي ميلون ريڊائريڪٽ ڪرڻ سان گڏوگڏ ويب درخواستون ۽ تصديق جي ڪوششون
- SSL/TLS سرٽيفڪيٽ ٺاهي ۽ تصديق ڪريو
هي گائيڊ DNS سيڪيورٽي کي ٻن زاوين کان ڏسي ٿو:
- DNS تي مسلسل نگراني ۽ ڪنٽرول انجام ڏيڻ
- ڪئين نوان DNS پروٽوڪول جهڙوڪ DNSSEC، DOH ۽ DoT منتقل ٿيل DNS درخواستن جي سالميت ۽ رازداري کي بچائڻ ۾ مدد ڪري سگھن ٿا
DNS سيڪيورٽي ڇا آهي؟
DNS سيڪيورٽي جي تصور ۾ ٻه اهم حصا شامل آهن:
- DNS خدمتن جي مجموعي سالميت ۽ دستيابي کي يقيني بڻائڻ جيڪي IP پتي تي ميزبان نام حل ڪن ٿا
- توهان جي نيٽ ورڪ تي ڪٿي به ممڪن سيڪيورٽي مسئلن جي نشاندهي ڪرڻ لاءِ DNS سرگرمي مانيٽر ڪريو
DNS حملن لاءِ خطرناڪ ڇو آهي؟
DNS ٽيڪنالاجي انٽرنيٽ جي شروعاتي ڏينهن ۾ ٺاهي وئي، ان کان اڳ جو ڪنهن به نيٽ ورڪ سيڪيورٽي بابت سوچڻ شروع ڪيو. DNS بغير تصديق يا انڪرپشن جي هلندي آهي، ڪنهن به صارف کان انڌي طريقي سان پروسيسنگ درخواستون.
انهي جي ڪري، صارف کي دوکو ڏيڻ ۽ معلومات کي غلط ڪرڻ جا ڪيترائي طريقا آهن جتي IP پتي تي نالن جي قرارداد اصل ۾ ٿيندي آهي.
DNS سيڪيورٽي: مسئلا ۽ اجزاء
DNS سيڪيورٽي ڪيترن ئي بنيادي تي مشتمل آهي اجزاء، جن مان هر هڪ کي مڪمل تحفظ کي يقيني بڻائڻ لاءِ حساب ۾ رکڻ گهرجي:
- سرور سيڪيورٽي ۽ انتظام جي طريقيڪار کي مضبوط ڪرڻ: سرور سيڪيورٽي جي سطح کي وڌايو ۽ هڪ معياري ڪميشن ٽيمپليٽ ٺاهيو
- پروٽوڪول ۾ واڌارو: DNSSEC، DoT يا DoH لاڳو ڪريو
- تجزياتي ۽ رپورٽنگ: واقعن جي جاچ ڪرڻ وقت اضافي حوالي سان پنهنجي SIEM سسٽم ۾ DNS ايونٽ لاگ شامل ڪريو
- سائبر انٽيليجنس ۽ خطري جي سڃاڻپ: رڪنيت حاصل ڪريو هڪ فعال خطرو انٽيليجنس فيڊ
- خودڪار: عمل کي خودڪار ڪرڻ لاء ممڪن طور تي ڪيتريون ئي اسڪرپٽ ٺاهيو
مٿي ڄاڻايل اعلي سطحي اجزاء صرف ڊي اين ايس سيڪيورٽي آئس برگ جي ٽپ آهن. ايندڙ حصي ۾، اسان وڌيڪ مخصوص استعمال جي ڪيسن ۽ بهترين عملن تي غور ڪنداسين جن بابت توهان کي ڄاڻڻ جي ضرورت آهي.
DNS حملا
- : DNS ڪيش کي استعمال ڪرڻ لاءِ سسٽم جي ڪمزوري جو استحصال ڪندي صارفين کي ٻئي هنڌ ڏانهن ريڊائريڪٽ ڪرڻ لاءِ
- : بنيادي طور تي ريموٽ ڪنيڪشن جي حفاظت کي نظرانداز ڪرڻ لاءِ استعمال ڪيو ويندو آهي
- DNS اغوا: ڊومين رجسٽرار کي تبديل ڪندي عام DNS ٽرئفڪ کي مختلف ٽارگيٽ DNS سرور ڏانهن منتقل ڪرڻ
- NXDOMAIN حملو: زبردستي جواب حاصل ڪرڻ لاءِ ناجائز ڊومين جا سوال موڪلڻ سان هڪ مستند DNS سرور تي DDoS حملو ڪرڻ
- پريتم ڊومين: DNS حل ڪندڙ کي غير موجود ڊومينز جي جواب جو انتظار ڪرڻ جو سبب بڻائي ٿو، نتيجي ۾ خراب ڪارڪردگي
- بي ترتيب ذيلي ڊومين تي حملو: سمجھوتا ميزبان ۽ botnets هڪ صحيح ڊومين تي DDoS حملو شروع ڪن ٿا، پر انهن جي باهه کي جعلي ذيلي ڊومينز تي ڌيان ڏيڻ لاء DNS سرور کي رڪارڊ ڏسڻ لاء مجبور ڪرڻ ۽ سروس جي ڪنٽرول تي قبضو ڪرڻ لاء.
- ڊومين بلاڪ ڪرڻ: DNS سرور وسيلن کي بلاڪ ڪرڻ لاءِ ڪيترائي اسپام جواب موڪلي رهيو آهي
- سبسڪرائبر سامان کان Botnet حملو: ڪمپيوٽرن، موڊيمس، روٽرز ۽ ٻين ڊوائيسز جو هڪ مجموعو جيڪو ڪمپيوٽنگ پاور کي مخصوص ويب سائيٽ تي مرڪوز ڪري ٿو ان کي ٽرئفڪ جي درخواستن سان اوور لوڊ ڪرڻ لاءِ
DNS حملا
حملا جيڪي ڪنهن به طرح DNS استعمال ڪن ٿا ٻين سسٽم تي حملو ڪرڻ لاءِ (يعني DNS رڪارڊ کي تبديل ڪرڻ آخري مقصد ناهي):
- فاسٽ فلڪس
- سنگل فلڪس نيٽ ورڪ
- ڊبل فلڪس نيٽ ورڪ
DNS حملا
حملا جن جي نتيجي ۾ IP پتي جي ضرورت آهي حملي ڪندڙ کي DNS سرور مان واپس ڪيو پيو وڃي:
- DNS اسپفنگ يا ڪيش زهر ڪرڻ
- DNS اغوا
DNSSEC ڇا آهي؟
DNSSEC - ڊومين جو نالو سروس سيڪيورٽي انجڻ - DNS رڪارڊ کي درست ڪرڻ لاءِ استعمال ڪيو ويندو آهي بغير هر مخصوص DNS درخواست لاءِ عام معلومات ڄاڻڻ جي.
DNSSEC استعمال ڪري ٿو ڊجيٽل دستخطي ڪيز (PKIs) تصديق ڪرڻ لاءِ ته ڇا ڊومين جي نالي جي سوال جا نتيجا صحيح ذريعن کان آيا آهن.
DNSSEC کي لاڳو ڪرڻ نه رڳو هڪ صنعت جو بهترين عمل آهي، پر اهو پڻ تمام مؤثر آهي DNS حملن کان بچڻ ۾.
ڪيئن DNSSEC ڪم ڪري ٿو
DNSSEC ساڳي طرح ڪم ڪري ٿو TLS/HTTPS سان، عوامي ۽ خانگي ڪي جوڙو استعمال ڪندي ڊي اين ايس رڪارڊ کي ڊجيٽل طور تي سائن ڪرڻ لاءِ. عمل جو عام جائزو:
- DNS رڪارڊز هڪ پرائيويٽ-پرائيويٽ ڪنجي جوئر سان دستخط ٿيل آهن
- DNSSEC سوالن جا جواب درخواست ڪيل رڪارڊ سان گڏ دستخط ۽ عوامي ڪيچ تي مشتمل آهن
- پوء رڪارڊ ۽ دستخط جي صداقت جي مقابلي لاءِ استعمال ڪيو ويو
DNS ۽ DNSSEC سيڪيورٽي
DNSSEC DNS سوالن جي سالميت کي جانچڻ لاءِ هڪ اوزار آهي. اهو DNS رازداري کي متاثر نٿو ڪري. ٻين لفظن ۾، DNSSEC توهان کي اهو اعتماد ڏئي سگهي ٿو ته توهان جي DNS سوال جي جواب سان ڇڪتاڻ نه ڪئي وئي آهي، پر ڪو به حملو ڪندڙ اهي نتيجا ڏسي سگهي ٿو جيئن اهي توهان ڏانهن موڪليا ويا آهن.
DoT - DNS مٿان TLS
ٽرانسپورٽ پرت سيڪيورٽي (TLS) هڪ نيٽ ورڪ ڪنيڪشن تي منتقل ڪيل معلومات جي حفاظت لاءِ هڪ cryptographic پروٽوڪول آهي. هڪ دفعو ڪلائنٽ ۽ سرور جي وچ ۾ هڪ محفوظ TLS ڪنيڪشن قائم ٿي وڃي ٿو، منتقل ٿيل ڊيٽا انڪريپٽ ٿيل آهي ۽ ڪو به وچولي ان کي ڏسي نٿو سگهي.
توهان جي ويب برائوزر ۾ اڪثر عام طور تي HTTPS (SSL) جي حصي طور استعمال ڪيو ويو آهي ڇو ته درخواستون موڪليا وڃن ٿيون محفوظ HTTP سرورز ڏانهن.
DNS-over-TLS (DNS over TLS، DoT) باقاعده DNS درخواستن جي UDP ٽرئفڪ کي انڪرپٽ ڪرڻ لاءِ TLS پروٽوڪول استعمال ڪري ٿو.
انهن درخواستن کي سادي متن ۾ انڪرپٽ ڪرڻ ڪيترن ئي حملن کان درخواستون ٺاهڻ وارن صارفين يا ايپليڪيشنن کي بچائڻ ۾ مدد ڪري ٿي.
- MitM، يا "ماڻهو وچ ۾": انڪرپشن جي بغير، ڪلائنٽ ۽ مستند DNS سرور جي وچ ۾ وچولي سسٽم ممڪن طور تي درخواست جي جواب ۾ ڪلائنٽ کي غلط يا خطرناڪ معلومات موڪلي سگهي ٿي.
- جاسوسي ۽ ٽريڪنگ: درخواستن کي انڪرپٽ ڪرڻ کان سواءِ، مڊل ويئر سسٽم لاءِ اهو ڏسڻ آسان آهي ته ڪهڙن سائيٽن تائين هڪ خاص صارف يا ايپليڪيشن رسائي ڪري رهي آهي. جيتوڻيڪ DNS اڪيلو اهو ظاهر نه ڪندو ته مخصوص صفحي جو دورو ڪيو پيو وڃي ويب سائيٽ تي، صرف ڄاڻايل ڊومينز کي ڄاڻڻ ڪافي آهي سسٽم يا هڪ فرد جو پروفائل ٺاهڻ لاءِ
جو ذريعو:
DoH - HTTPS مٿان DNS
DNS-over-HTTPS (DNS over HTTPS، DoH) ھڪڙو تجرباتي پروٽوڪول آھي جيڪو گڏيل طور تي Mozilla ۽ Google پاران ترقي يافته آھي. ان جا مقصد DoT پروٽوڪول سان ملندڙ جلندڙ آهن- DNS درخواستن ۽ جوابن کي انڪرپٽ ڪندي آن لائن ماڻهن جي رازداري کي وڌائڻ.
معياري DNS سوال UDP تي موڪليا ويا آهن. درخواستون ۽ جوابن کي ٽريڪ ڪري سگھجي ٿو اوزار استعمال ڪندي جيئن . DoT انهن درخواستن کي انڪرپٽ ڪري ٿو، پر اهي اڃا تائين نيٽ ورڪ تي بلڪل الڳ UDP ٽرئفڪ طور سڃاتل آهن.
DoH هڪ مختلف طريقو اختيار ڪري ٿو ۽ موڪلي ٿو اينڪرپٽ ٿيل هوسٽ جو نالو ريزوليوشن درخواستون HTTPS ڪنيڪشن تي، جيڪي نظر اچن ٿيون ڪنهن ٻئي ويب درخواست وانگر نيٽ ورڪ تي.
اهو فرق سسٽم جي منتظمين ۽ نالي جي حل جي مستقبل لاءِ ٻنهي لاءِ تمام اهم اثر آهي.
- DNS فلٽرنگ هڪ عام طريقو آهي ويب ٽريفڪ کي فلٽر ڪرڻ لاءِ صارفين کي فشنگ حملن کان بچائڻ لاءِ، سائيٽون جيڪي مالويئر ورهائينديون آهن، يا ڪارپوريٽ نيٽ ورڪ تي ٻي امڪاني طور تي نقصانڪار انٽرنيٽ سرگرمي. DoH پروٽوڪول انهن فلٽرن کي نظرانداز ڪري ٿو، امڪاني طور تي صارفين ۽ نيٽ ورڪ کي وڌيڪ خطري ۾ وجهي ٿو.
- موجوده نالي جي ريزوليوشن ماڊل ۾، نيٽ ورڪ تي هر ڊيوائس وڌيڪ يا گهٽ ساڳئي هنڌ (هڪ مخصوص DNS سرور) کان DNS سوالن کي وصول ڪري ٿي. DoH، ۽ خاص طور تي فائر فاکس جي ان تي عمل درآمد، ڏيکاري ٿو ته اهو مستقبل ۾ تبديل ٿي سگهي ٿو. ڪمپيوٽر تي هر ائپليڪيشن مختلف DNS ذريعن کان ڊيٽا حاصل ڪري سگھي ٿي، مشڪلاتن کي حل ڪرڻ، سيڪيورٽي، ۽ خطري جي ماڊلنگ کي وڌيڪ پيچيده ڪرڻ.
جو ذريعو:
TLS مٿان DNS ۽ HTTPS مٿان DNS جي وچ ۾ ڇا فرق آهي؟
اچو ته DNS تي TLS (DoT) سان شروع ڪريون. هتي مکيه نقطو اهو آهي ته اصل DNS پروٽوڪول تبديل نه ڪيو ويو آهي، پر صرف هڪ محفوظ چينل تي محفوظ طور تي منتقل ڪيو ويو آهي. ٻئي طرف، DoH، درخواستون ڪرڻ کان پهريان DNS کي HTTP فارميٽ ۾ رکي ٿو.
DNS مانيٽرنگ الرٽ
توهان جي نيٽ ورڪ تي ڊي اين ايس ٽرئفڪ کي موثر طريقي سان مانيٽر ڪرڻ جي صلاحيت مشڪوڪ انوماليز جي خلاف ورزي جي ابتدائي ڳولڻ لاء اهم آهي. Varonis Edge وانگر هڪ اوزار استعمال ڪندي توهان کي سڀني اهم ميٽرڪس جي چوٽي تي رهڻ ۽ توهان جي نيٽ ورڪ تي هر اڪائونٽ لاءِ پروفائل ٺاهڻ جي صلاحيت ڏيندو. توھان ترتيب ڏئي سگھوٿا خبردارين کي ٺاھيو وڃڻ جي نتيجي ۾ عملن جي ميلاپ جي نتيجي ۾ جيڪي وقت جي مخصوص عرصي دوران ٿين ٿا.
DNS تبديلين جي نگراني، اڪائونٽ جڳهيون، پهريون ڀيرو استعمال ۽ حساس ڊيٽا تائين رسائي، ۽ ڪلاڪ کان پوء سرگرميون صرف چند ميٽرڪ آهن جيڪي هڪ وسيع سڃاڻپ تصوير ٺاهڻ لاء لاڳاپا ٿي سگهن ٿيون.
جو ذريعو: www.habr.com