Sprievodca zabezpečením DNS

Čokoľvek spoločnosť robí, bezpečnosť DNS by mala byť neoddeliteľnou súčasťou jej bezpečnostného plánu. Názvové služby, ktoré prekladajú názvy hostiteľov na adresy IP, používajú prakticky všetky aplikácie a služby v sieti.

Ak útočník získa kontrolu nad DNS organizácie, môže jednoducho:

• dajte si kontrolu nad zdieľanými zdrojmi
• presmerovať prichádzajúce e-maily, ako aj webové požiadavky a pokusy o overenie
• vytvárať a overovať certifikáty SSL/TLS

Táto príručka sa zaoberá zabezpečením DNS z dvoch uhlov:

1. Vykonávanie nepretržitého monitorovania a kontroly nad DNS
2. Ako môžu nové protokoly DNS, ako sú DNSSEC, DOH a DoT, pomôcť chrániť integritu a dôvernosť prenášaných požiadaviek DNS

Čo je zabezpečenie DNS?

Koncept zabezpečenia DNS zahŕňa dve dôležité zložky:

1. Zabezpečenie celkovej integrity a dostupnosti služieb DNS, ktoré prekladajú názvy hostiteľov na adresy IP
2. Monitorujte aktivitu DNS a identifikujte možné problémy so zabezpečením kdekoľvek vo vašej sieti

Prečo je DNS zraniteľný voči útokom?

Technológia DNS bola vytvorená v počiatkoch internetu, dávno predtým, ako niekto vôbec začal uvažovať o bezpečnosti siete. DNS funguje bez overovania alebo šifrovania a slepo spracováva požiadavky od akéhokoľvek používateľa.

Z tohto dôvodu existuje mnoho spôsobov, ako oklamať používateľa a sfalšovať informácie o tom, kde vlastne dochádza k prekladaniu mien na IP adresy.

Zabezpečenie DNS: Problémy a komponenty

Zabezpečenie DNS pozostáva z niekoľkých základných komponenty, pričom každý z nich sa musí vziať do úvahy, aby sa zabezpečila úplná ochrana:

• Posilnenie zabezpečenia servera a postupov správy: zvýšiť úroveň zabezpečenia servera a vytvoriť štandardnú šablónu uvedenia do prevádzky
• Vylepšenia protokolu: implementovať DNSSEC, DoT alebo DoH
• Analýzy a prehľady: pridajte denník udalostí DNS do svojho systému SIEM pre ďalší kontext pri vyšetrovaní incidentov
• Kybernetická inteligencia a detekcia hrozieb: prihlásiť sa na odber aktívneho informačného kanála o hrozbách
• automatizácia: vytvorte čo najviac skriptov na automatizáciu procesov

Vyššie uvedené komponenty na vysokej úrovni sú len špičkou ľadovca zabezpečenia DNS. V ďalšej časti sa ponoríme do špecifickejších prípadov použitia a osvedčených postupov, o ktorých potrebujete vedieť.

DNS útoky

• DNS spoofing alebo otrávenie vyrovnávacej pamäte: zneužívanie systémovej zraniteľnosti na manipuláciu s vyrovnávacou pamäťou DNS na presmerovanie používateľov na iné miesto
• tunelovanie DNS: používa sa predovšetkým na obídenie ochrany vzdialeného pripojenia
• Únos DNS: presmerovanie bežnej prevádzky DNS na iný cieľový server DNS zmenou registrátora domény
• Útok NXDOMAIN: vykonávanie DDoS útoku na autoritatívny server DNS odoslaním nelegitímnych doménových dopytov na získanie vynútenej odpovede
• fantómová doména: spôsobí, že DNS resolver čaká na odpoveď z neexistujúcich domén, čo má za následok slabý výkon
• útok na náhodnú subdoménu: kompromitovaní hostitelia a botnety spustia DDoS útok na platnú doménu, ale zamerajú svoju paľbu na falošné subdomény, aby prinútili server DNS vyhľadať záznamy a prevziať kontrolu nad službou
• blokovanie domény: odosiela viacero spamových odpovedí na blokovanie zdrojov servera DNS
• Botnetový útok zo zariadenia predplatiteľa: súbor počítačov, modemov, smerovačov a iných zariadení, ktoré sústreďujú výpočtový výkon na konkrétnu webovú stránku, aby ju preťažili požiadavkami na prevádzku

DNS útoky

Útoky, ktoré nejakým spôsobom využívajú DNS na útok na iné systémy (t. j. zmena DNS záznamov nie je konečným cieľom):

• Fast-Flux
• Siete s jedným tokom
• Siete s dvojitým tokom
• tunelovanie DNS

DNS útoky

Útoky, ktorých výsledkom je vrátenie adresy IP, ktorú útočník potrebuje, zo servera DNS:

• DNS spoofing alebo otrávenie vyrovnávacej pamäte
• Únos DNS

Čo je DNSSEC?

DNSSEC – Domain Name Service Security Engines – sa používajú na overenie DNS záznamov bez potreby poznať všeobecné informácie pre každú konkrétnu DNS požiadavku.

DNSSEC používa digitálne podpisové kľúče (PKI) na overenie, či výsledky dotazu na názov domény pochádzajú z platného zdroja.
Implementácia DNSSEC nie je len osvedčeným postupom v odvetví, ale je tiež účinná pri predchádzaní väčšine útokov DNS.

Ako DNSSEC funguje

DNSSEC funguje podobne ako TLS/HTTPS, pričom na digitálne podpisovanie DNS záznamov využíva páry verejných a súkromných kľúčov. Všeobecný prehľad procesu:

1. DNS záznamy sú podpísané párom súkromných a súkromných kľúčov
2. Odpovede na DNSSEC dotazy obsahujú požadovaný záznam, ako aj podpis a verejný kľúč
3. Potom verejný kľúč slúži na porovnanie pravosti záznamu a podpisu

Zabezpečenie DNS a DNSSEC

DNSSEC je nástroj na kontrolu integrity DNS dotazov. Nemá to vplyv na súkromie DNS. Inými slovami, DNSSEC vám môže poskytnúť istotu, že odpoveď na váš DNS dotaz nebola sfalšovaná, ale každý útočník môže vidieť tieto výsledky tak, ako vám boli odoslané.

DoT – DNS over TLS

Transport Layer Security (TLS) je kryptografický protokol na ochranu informácií prenášaných cez sieťové pripojenie. Po vytvorení bezpečného TLS spojenia medzi klientom a serverom sú prenášané dáta zašifrované a žiadny sprostredkovateľ ich nevidí.

TLS najčastejšie sa používa ako súčasť HTTPS (SSL) vo vašom webovom prehliadači, pretože požiadavky sa odosielajú na zabezpečené servery HTTP.

DNS-over-TLS (DNS over TLS, DoT) používa protokol TLS na šifrovanie prenosu UDP bežných požiadaviek DNS.
Šifrovanie týchto požiadaviek vo formáte obyčajného textu pomáha chrániť používateľov alebo aplikácie, ktoré odosielajú požiadavky, pred niekoľkými útokmi.

• MitM alebo „muž uprostred“: Bez šifrovania by prostredný systém medzi klientom a autoritatívnym serverom DNS mohol potenciálne poslať klientovi falošné alebo nebezpečné informácie ako odpoveď na požiadavku
• Špionáž a sledovanie: Bez šifrovania požiadaviek je pre midlvérové ​​systémy ľahké zistiť, na ktoré stránky konkrétny používateľ alebo aplikácia pristupuje. Hoci samotný DNS neodhalí konkrétnu navštívenú stránku na webe, na vytvorenie profilu systému alebo jednotlivca stačí poznať požadované domény.

Zdroj: Kalifornská univerzita v Irvine

DoH – DNS cez HTTPS

DNS-over-HTTPS (DNS over HTTPS, DoH) je experimentálny protokol propagovaný spoločne spoločnosťami Mozilla a Google. Jeho ciele sú podobné protokolu DoT – zlepšenie súkromia ľudí online pomocou šifrovania požiadaviek a odpovedí DNS.

Štandardné DNS dotazy sa odosielajú cez UDP. Požiadavky a odpovede je možné sledovať pomocou nástrojov ako napr Wireshark. DoT tieto požiadavky zašifruje, no stále sú identifikované ako pomerne odlišná prevádzka UDP v sieti.

DoH používa iný prístup a odosiela šifrované požiadavky na rozlíšenie názvu hostiteľa cez pripojenia HTTPS, ktoré vyzerajú ako akékoľvek iné webové požiadavky cez sieť.

Tento rozdiel má veľmi dôležité dôsledky pre správcov systému aj pre budúcnosť rozlíšenia mien.

1. Filtrovanie DNS je bežný spôsob filtrovania webovej prevádzky na ochranu používateľov pred phishingovými útokmi, stránkami distribuujúcimi malvér alebo inými potenciálne škodlivými internetovými aktivitami v podnikovej sieti. Protokol DoH obchádza tieto filtre, čím potenciálne vystavuje používateľov a sieť väčšiemu riziku.
2. V aktuálnom modeli rozlíšenia názvov každé zariadenie v sieti viac-menej prijíma dotazy DNS z rovnakého miesta (špecifikovaný server DNS). DoH a najmä jeho implementácia Firefoxom ukazuje, že sa to môže v budúcnosti zmeniť. Každá aplikácia v počítači môže prijímať údaje z rôznych zdrojov DNS, vďaka čomu je riešenie problémov, zabezpečenie a modelovanie rizík oveľa zložitejšie.

Zdroj: www.varonis.com/blog/what-is-powershell

Aký je rozdiel medzi DNS cez TLS a DNS cez HTTPS?

Začnime s DNS cez TLS (DoT). Hlavným bodom je, že pôvodný protokol DNS sa nemení, ale jednoducho sa prenáša bezpečne cez zabezpečený kanál. Na druhej strane DoH vloží DNS do formátu HTTP pred odoslaním požiadaviek.

Upozornenia na monitorovanie DNS

Schopnosť efektívne monitorovať prenos DNS vo vašej sieti z hľadiska podozrivých anomálií je rozhodujúca pre včasné zistenie narušenia. Používanie nástroja, akým je Varonis Edge, vám umožní mať prehľad o všetkých dôležitých metrikách a vytvárať profily pre každý účet vo vašej sieti. Môžete nakonfigurovať upozornenia, ktoré sa majú generovať ako výsledok kombinácie akcií, ktoré sa vyskytnú počas určitého časového obdobia.

Monitorovanie zmien DNS, umiestnenia účtov, prvé použitie a prístup k citlivým údajom a aktivita po pracovnej dobe sú len niektoré metriky, ktoré možno korelovať s cieľom vytvoriť širší obraz detekcie.

Zdroj: hab.com