Karkoli podjetje počne, varnost DNS mora biti sestavni del njegovega varnostnega načrta. Imenske storitve, ki imena gostiteljev razrešijo v naslove IP, uporabljajo skoraj vse aplikacije in storitve v omrežju.
Če napadalec pridobi nadzor nad DNS organizacije, lahko preprosto:
prepustite si nadzor nad skupnimi viri
preusmeri dohodno e-pošto ter spletne zahteve in poskuse avtentikacije
ustvarjanje in preverjanje potrdil SSL/TLS
Ta priročnik obravnava varnost DNS z dveh zornih kotov:
Izvajanje stalnega spremljanja in nadzora nad DNS
Kako lahko novi protokoli DNS, kot so DNSSEC, DOH in DoT, pomagajo zaščititi celovitost in zaupnost poslanih zahtev DNS
Kaj je varnost DNS?
Koncept varnosti DNS vključuje dve pomembni komponenti:
Zagotavljanje splošne celovitosti in razpoložljivosti storitev DNS, ki razrešijo imena gostiteljev v naslove IP
Spremljajte dejavnost DNS za odkrivanje morebitnih varnostnih težav kjer koli v vašem omrežju
Zakaj je DNS ranljiv za napade?
Tehnologija DNS je bila ustvarjena v zgodnjih dneh interneta, veliko preden je kdo sploh začel razmišljati o varnosti omrežja. DNS deluje brez avtentikacije ali šifriranja in slepo obdeluje zahteve katerega koli uporabnika.
Zaradi tega obstaja veliko načinov za zavajanje uporabnika in ponarejanje podatkov o tem, kje dejansko poteka razrešitev imen v IP naslove.
Varnost DNS: Težave in komponente
Varnost DNS je sestavljena iz več osnovnih sestavnih delov, ki jih je treba upoštevati za zagotovitev popolne zaščite:
Okrepitev varnosti strežnika in postopkov upravljanja: povečati raven varnosti strežnika in ustvariti standardno predlogo za zagon
Izboljšave protokola: implementirajte DNSSEC, DoT ali DoH
Analitika in poročanje: dodajte dnevnik dogodkov DNS v sistem SIEM za dodaten kontekst pri preiskovanju incidentov
Kibernetska inteligenca in odkrivanje groženj: naročite se na aktivni vir obveščanja o grožnjah
Avtomatizacija: ustvarite čim več skriptov za avtomatizacijo procesov
Zgoraj omenjene visokonivojske komponente so le vrh ledene gore varnosti DNS. V naslednjem razdelku se bomo poglobili v bolj specifične primere uporabe in najboljše prakse, ki jih morate poznati.
DNS tuneliranje: uporablja se predvsem za obhod zaščite oddaljenih povezav
Ugrabitev DNS: preusmeritev običajnega prometa DNS na drug ciljni strežnik DNS s spremembo registrarja domene
Napad NXDOMAIN: izvajanje DDoS napada na avtoritativni strežnik DNS s pošiljanjem nelegitimnih domenskih poizvedb za pridobitev vsiljenega odgovora
fantomska domena: povzroči, da razreševalec DNS čaka na odgovor neobstoječih domen, kar ima za posledico slabo delovanje
napad na naključno poddomeno: ogroženi gostitelji in botneti sprožijo napad DDoS na veljavno domeno, vendar se osredotočijo na lažne poddomene, da prisilijo strežnik DNS, da poišče zapise in prevzame nadzor nad storitvijo
blokiranje domene: pošilja več neželenih odgovorov, da blokira vire strežnika DNS
Botnetni napad iz naročniške opreme: zbirka računalnikov, modemov, usmerjevalnikov in drugih naprav, ki koncentrirajo računalniško moč na določeni spletni strani, da jo preobremenijo s prometnimi zahtevami
DNS napadi
Napadi, ki nekako uporabljajo DNS za napad na druge sisteme (tj. spreminjanje zapisov DNS ni končni cilj):
Napadi, pri katerih se iz strežnika DNS vrne naslov IP, ki ga potrebuje napadalec:
Prevara DNS ali zastrupitev predpomnilnika
Ugrabitev DNS
Kaj je DNSSEC?
DNSSEC – Varnostni mehanizmi storitev domenskih imen – se uporabljajo za preverjanje zapisov DNS, ne da bi morali poznati splošne informacije za vsako posebno zahtevo DNS.
DNSSEC uporablja ključe digitalnega podpisa (PKI), da preveri, ali so rezultati poizvedbe po imenu domene prišli iz veljavnega vira.
Implementacija DNSSEC ni le najboljša praksa v panogi, ampak je tudi učinkovita pri izogibanju večini napadov DNS.
Kako deluje DNSSEC
DNSSEC deluje podobno kot TLS/HTTPS, z uporabo parov javnih in zasebnih ključev za digitalno podpisovanje zapisov DNS. Splošni pregled postopka:
Zapisi DNS so podpisani s parom ključev zasebno-zasebno
Odgovori na poizvedbe DNSSEC vsebujejo zahtevani zapis ter podpis in javni ključ
Potem javni ključ uporablja se za primerjavo pristnosti zapisa in podpisa
Varnost DNS in DNSSEC
DNSSEC je orodje za preverjanje integritete poizvedb DNS. Ne vpliva na zasebnost DNS. Z drugimi besedami, DNSSEC vam lahko zagotovi, da odgovor na vašo poizvedbo DNS ni bil spremenjen, vendar lahko vsak napadalec vidi te rezultate, kot so vam bili poslani.
DoT – DNS preko TLS
Transport Layer Security (TLS) je kriptografski protokol za zaščito informacij, ki se prenašajo prek omrežne povezave. Ko je med odjemalcem in strežnikom vzpostavljena varna povezava TLS, so preneseni podatki šifrirani in jih noben posrednik ne vidi.
TLS se najpogosteje uporablja kot del HTTPS (SSL) v vašem spletnem brskalniku, ker so zahteve poslane varnim strežnikom HTTP.
DNS prek TLS (DNS prek TLS, DoT) uporablja protokol TLS za šifriranje prometa UDP običajnih zahtev DNS.
Šifriranje teh zahtev v navadnem besedilu pomaga zaščititi uporabnike ali aplikacije, ki postavljajo zahteve, pred številnimi napadi.
MitM ali "človek v sredini": Brez šifriranja bi lahko vmesni sistem med odjemalcem in avtoritativnim strežnikom DNS odjemalcu kot odgovor na zahtevo poslal napačne ali nevarne informacije
Vohunjenje in sledenje: Brez šifriranja zahtev sistemi vmesne programske opreme zlahka vidijo, do katerih spletnih mest dostopa določen uporabnik ali aplikacija. Čeprav sam DNS ne bo razkril določene strani, ki jo obiščete na spletnem mestu, je preprosto poznavanje zahtevanih domen dovolj za ustvarjanje profila sistema ali posameznika
DNS prek HTTPS (DNS prek HTTPS, DoH) je poskusni protokol, ki ga skupaj promovirata Mozilla in Google. Njegovi cilji so podobni protokolu DoT – izboljšati zasebnost ljudi na spletu s šifriranjem zahtev in odgovorov DNS.
Standardne poizvedbe DNS se pošiljajo prek UDP. Zahtevam in odgovorom je mogoče slediti z orodji, kot je npr Wireshark. DoT šifrira te zahteve, vendar so še vedno prepoznane kot precej razločen promet UDP v omrežju.
DoH uporablja drugačen pristop in pošilja šifrirane zahteve za razrešitev imena gostitelja prek povezav HTTPS, ki so videti kot katera koli druga spletna zahteva po omrežju.
Ta razlika ima zelo pomembne posledice za sistemske skrbnike in za prihodnost razreševanja imen.
Filtriranje DNS je običajen način filtriranja spletnega prometa za zaščito uporabnikov pred napadi z lažnim predstavljanjem, spletnimi mesti, ki distribuirajo zlonamerno programsko opremo, ali drugo potencialno škodljivo internetno dejavnostjo v omrežju podjetja. Protokol DoH zaobide te filtre, s čimer lahko uporabnike in omrežje izpostavi večjemu tveganju.
V trenutnem modelu razreševanja imen vsaka naprava v omrežju bolj ali manj prejme poizvedbe DNS z iste lokacije (določen strežnik DNS). DoH in zlasti Firefoxova implementacija kaže, da se bo to v prihodnosti lahko spremenilo. Vsaka aplikacija v računalniku lahko prejme podatke iz različnih virov DNS, zaradi česar so odpravljanje težav, varnost in modeliranje tveganj veliko bolj zapleteni.
Kakšna je razlika med DNS prek TLS in DNS prek HTTPS?
Začnimo z DNS prek TLS (DoT). Glavna točka pri tem je, da se prvotni protokol DNS ne spremeni, ampak se preprosto varno prenaša po varnem kanalu. Po drugi strani DoH postavi DNS v format HTTP, preden pošlje zahteve.
Opozorila za spremljanje DNS
Zmožnost učinkovitega spremljanja prometa DNS v vašem omrežju glede sumljivih anomalij je ključnega pomena za zgodnje odkrivanje kršitve. Z uporabo orodja, kot je Varonis Edge, boste lahko spremljali vse pomembne meritve in ustvarili profile za vsak račun v vašem omrežju. Opozorila lahko konfigurirate tako, da se ustvarijo kot rezultat kombinacije dejanj, ki se zgodijo v določenem časovnem obdobju.
Spremljanje sprememb DNS, lokacij računov, prve uporabe in dostopa do občutljivih podatkov ter dejavnosti izven delovnega časa je le nekaj meritev, ki jih je mogoče povezati, da ustvarite širšo sliko zaznavanja.