Čokoľvek spoločnosť robí, bezpečnosť DNS by mala byť neoddeliteľnou súčasťou jej bezpečnostného plánu. Názvové služby, ktoré prekladajú názvy hostiteľov na adresy IP, používajú prakticky všetky aplikácie a služby v sieti.
Ak útočník získa kontrolu nad DNS organizácie, môže jednoducho:
dajte si kontrolu nad zdieľanými zdrojmi
presmerovať prichádzajúce e-maily, ako aj webové požiadavky a pokusy o overenie
vytvárať a overovať certifikáty SSL/TLS
Táto príručka sa zaoberá zabezpečením DNS z dvoch uhlov:
Vykonávanie nepretržitého monitorovania a kontroly nad DNS
Ako môžu nové protokoly DNS, ako sú DNSSEC, DOH a DoT, pomôcť chrániť integritu a dôvernosť prenášaných požiadaviek DNS
Čo je zabezpečenie DNS?
Koncept zabezpečenia DNS zahŕňa dve dôležité zložky:
Zabezpečenie celkovej integrity a dostupnosti služieb DNS, ktoré prekladajú názvy hostiteľov na adresy IP
Monitorujte aktivitu DNS a identifikujte možné problémy so zabezpečením kdekoľvek vo vašej sieti
Prečo je DNS zraniteľný voči útokom?
Technológia DNS bola vytvorená v počiatkoch internetu, dávno predtým, ako niekto vôbec začal uvažovať o bezpečnosti siete. DNS funguje bez overovania alebo šifrovania a slepo spracováva požiadavky od akéhokoľvek používateľa.
Z tohto dôvodu existuje mnoho spôsobov, ako oklamať používateľa a sfalšovať informácie o tom, kde vlastne dochádza k prekladaniu mien na IP adresy.
Zabezpečenie DNS: Problémy a komponenty
Zabezpečenie DNS pozostáva z niekoľkých základných komponenty, pričom každý z nich sa musí vziať do úvahy, aby sa zabezpečila úplná ochrana:
Posilnenie zabezpečenia servera a postupov správy: zvýšiť úroveň zabezpečenia servera a vytvoriť štandardnú šablónu uvedenia do prevádzky
Vylepšenia protokolu: implementovať DNSSEC, DoT alebo DoH
Analýzy a prehľady: pridajte denník udalostí DNS do svojho systému SIEM pre ďalší kontext pri vyšetrovaní incidentov
Kybernetická inteligencia a detekcia hrozieb: prihlásiť sa na odber aktívneho informačného kanála o hrozbách
automatizácia: vytvorte čo najviac skriptov na automatizáciu procesov
Vyššie uvedené komponenty na vysokej úrovni sú len špičkou ľadovca zabezpečenia DNS. V ďalšej časti sa ponoríme do špecifickejších prípadov použitia a osvedčených postupov, o ktorých potrebujete vedieť.
tunelovanie DNS: používa sa predovšetkým na obídenie ochrany vzdialeného pripojenia
Únos DNS: presmerovanie bežnej prevádzky DNS na iný cieľový server DNS zmenou registrátora domény
Útok NXDOMAIN: vykonávanie DDoS útoku na autoritatívny server DNS odoslaním nelegitímnych doménových dopytov na získanie vynútenej odpovede
fantómová doména: spôsobí, že DNS resolver čaká na odpoveď z neexistujúcich domén, čo má za následok slabý výkon
útok na náhodnú subdoménu: kompromitovaní hostitelia a botnety spustia DDoS útok na platnú doménu, ale zamerajú svoju paľbu na falošné subdomény, aby prinútili server DNS vyhľadať záznamy a prevziať kontrolu nad službou
blokovanie domény: odosiela viacero spamových odpovedí na blokovanie zdrojov servera DNS
Botnetový útok zo zariadenia predplatiteľa: súbor počítačov, modemov, smerovačov a iných zariadení, ktoré sústreďujú výpočtový výkon na konkrétnu webovú stránku, aby ju preťažili požiadavkami na prevádzku
DNS útoky
Útoky, ktoré nejakým spôsobom využívajú DNS na útok na iné systémy (t. j. zmena DNS záznamov nie je konečným cieľom):
Útoky, ktorých výsledkom je vrátenie adresy IP, ktorú útočník potrebuje, zo servera DNS:
DNS spoofing alebo otrávenie vyrovnávacej pamäte
Únos DNS
Čo je DNSSEC?
DNSSEC – Domain Name Service Security Engines – sa používajú na overenie DNS záznamov bez potreby poznať všeobecné informácie pre každú konkrétnu DNS požiadavku.
DNSSEC používa digitálne podpisové kľúče (PKI) na overenie, či výsledky dotazu na názov domény pochádzajú z platného zdroja.
Implementácia DNSSEC nie je len osvedčeným postupom v odvetví, ale je tiež účinná pri predchádzaní väčšine útokov DNS.
Ako DNSSEC funguje
DNSSEC funguje podobne ako TLS/HTTPS, pričom na digitálne podpisovanie DNS záznamov využíva páry verejných a súkromných kľúčov. Všeobecný prehľad procesu:
DNS záznamy sú podpísané párom súkromných a súkromných kľúčov
Odpovede na DNSSEC dotazy obsahujú požadovaný záznam, ako aj podpis a verejný kľúč
Potom verejný kľúč slúži na porovnanie pravosti záznamu a podpisu
Zabezpečenie DNS a DNSSEC
DNSSEC je nástroj na kontrolu integrity DNS dotazov. Nemá to vplyv na súkromie DNS. Inými slovami, DNSSEC vám môže poskytnúť istotu, že odpoveď na váš DNS dotaz nebola sfalšovaná, ale každý útočník môže vidieť tieto výsledky tak, ako vám boli odoslané.
DoT – DNS over TLS
Transport Layer Security (TLS) je kryptografický protokol na ochranu informácií prenášaných cez sieťové pripojenie. Po vytvorení bezpečného TLS spojenia medzi klientom a serverom sú prenášané dáta zašifrované a žiadny sprostredkovateľ ich nevidí.
TLS najčastejšie sa používa ako súčasť HTTPS (SSL) vo vašom webovom prehliadači, pretože požiadavky sa odosielajú na zabezpečené servery HTTP.
DNS-over-TLS (DNS over TLS, DoT) používa protokol TLS na šifrovanie prenosu UDP bežných požiadaviek DNS.
Šifrovanie týchto požiadaviek vo formáte obyčajného textu pomáha chrániť používateľov alebo aplikácie, ktoré odosielajú požiadavky, pred niekoľkými útokmi.
MitM alebo „muž uprostred“: Bez šifrovania by prostredný systém medzi klientom a autoritatívnym serverom DNS mohol potenciálne poslať klientovi falošné alebo nebezpečné informácie ako odpoveď na požiadavku
Špionáž a sledovanie: Bez šifrovania požiadaviek je pre midlvérové systémy ľahké zistiť, na ktoré stránky konkrétny používateľ alebo aplikácia pristupuje. Hoci samotný DNS neodhalí konkrétnu navštívenú stránku na webe, na vytvorenie profilu systému alebo jednotlivca stačí poznať požadované domény.
DNS-over-HTTPS (DNS over HTTPS, DoH) je experimentálny protokol propagovaný spoločne spoločnosťami Mozilla a Google. Jeho ciele sú podobné protokolu DoT – zlepšenie súkromia ľudí online pomocou šifrovania požiadaviek a odpovedí DNS.
Štandardné DNS dotazy sa odosielajú cez UDP. Požiadavky a odpovede je možné sledovať pomocou nástrojov ako napr Wireshark. DoT tieto požiadavky zašifruje, no stále sú identifikované ako pomerne odlišná prevádzka UDP v sieti.
DoH používa iný prístup a odosiela šifrované požiadavky na rozlíšenie názvu hostiteľa cez pripojenia HTTPS, ktoré vyzerajú ako akékoľvek iné webové požiadavky cez sieť.
Tento rozdiel má veľmi dôležité dôsledky pre správcov systému aj pre budúcnosť rozlíšenia mien.
Filtrovanie DNS je bežný spôsob filtrovania webovej prevádzky na ochranu používateľov pred phishingovými útokmi, stránkami distribuujúcimi malvér alebo inými potenciálne škodlivými internetovými aktivitami v podnikovej sieti. Protokol DoH obchádza tieto filtre, čím potenciálne vystavuje používateľov a sieť väčšiemu riziku.
V aktuálnom modeli rozlíšenia názvov každé zariadenie v sieti viac-menej prijíma dotazy DNS z rovnakého miesta (špecifikovaný server DNS). DoH a najmä jeho implementácia Firefoxom ukazuje, že sa to môže v budúcnosti zmeniť. Každá aplikácia v počítači môže prijímať údaje z rôznych zdrojov DNS, vďaka čomu je riešenie problémov, zabezpečenie a modelovanie rizík oveľa zložitejšie.
Začnime s DNS cez TLS (DoT). Hlavným bodom je, že pôvodný protokol DNS sa nemení, ale jednoducho sa prenáša bezpečne cez zabezpečený kanál. Na druhej strane DoH vloží DNS do formátu HTTP pred odoslaním požiadaviek.
Upozornenia na monitorovanie DNS
Schopnosť efektívne monitorovať prenos DNS vo vašej sieti z hľadiska podozrivých anomálií je rozhodujúca pre včasné zistenie narušenia. Používanie nástroja, akým je Varonis Edge, vám umožní mať prehľad o všetkých dôležitých metrikách a vytvárať profily pre každý účet vo vašej sieti. Môžete nakonfigurovať upozornenia, ktoré sa majú generovať ako výsledok kombinácie akcií, ktoré sa vyskytnú počas určitého časového obdobia.
Monitorovanie zmien DNS, umiestnenia účtov, prvé použitie a prístup k citlivým údajom a aktivita po pracovnej dobe sú len niektoré metriky, ktoré možno korelovať s cieľom vytvoriť širší obraz detekcie.