ProHoster > Blog > Pulega > DNS Security Guide

DNS Security Guide

DNS Security Guide

Po o le a lava le mea e fai e le kamupani, saogalemu DNS e tatau ona avea ma vaega taua o lana fuafuaga tau puipuiga. Igoa auaunaga, lea e foia ai igoa ole upegatafa'ilagi ile tuatusi IP, e fa'aoga moni lava i talosaga uma ma au'aunaga ile feso'otaiga.

Afai e maua e se tagata osofa'i le puleaina ole DNS a se faalapotopotoga, e faigofie ona latou:

  • tu'u atu ia te oe le pule i punaoa o lo'o i totonu o le lautele lautele
  • toe fa'afo'i imeli e o'o mai fa'apea fo'i talosaga i luga ole laiga ma taumafaiga fa'amaonia
  • fatu ma fa'amaonia tusi faamaonia SSL/TLS

O lenei taʻiala e vaʻavaʻai i le saogalemu DNS mai ni vaaiga se lua:

  1. Fa'aauau le mata'ituina ma le pulea ole DNS
  2. E fa'afefea ona fesoasoani fa'amaumauga DNS fou e pei ole DNSSEC, DOH, ma le DoT e puipuia ai le fa'amaoni ma le le faalauaiteleina o talosaga DNS na lafoina.

O le a le DNS security?

DNS Security Guide

E lua vaega taua i le manatu o le saogalemu DNS:

  1. Faʻamautinoaina le faʻamaoni atoa ma le avanoa o auaunaga DNS e faʻamalieina ai igoa talimalo ile tuatusi IP
  2. Mata'ituina le gaoioiga DNS e iloa ai fa'afitauli saogalemu i so'o se mea i lau feso'otaiga

Aisea e faigofie ai ona osofaia le DNS?

O tekinolosi DNS na faia i le amataga o le Initaneti, ae leʻi leva ona mafaufau se tasi i le saogalemu o fesoʻotaiga. DNS e galue e aunoa ma se faʻamaoniga ma faʻamatalaga, faʻaogaina tauaso talosaga mai soʻo se tagata faʻaoga.

I lenei tulaga, e tele auala e faʻasese ai le tagata faʻaoga ma faʻamatalaga pepelo e uiga i le mea o loʻo faia moni ai le faʻaiʻuga o igoa i tuatusi IP.

DNS Saogalemu Mataupu ma Vaega

DNS Security Guide

DNS saogalemu e aofia ai le tele o faʻavae vaega, o ia mea taitasi e tatau ona amanaia ina ia mautinoa le puipuiga atoatoa:

  • Faʻamalosia le saogalemu o 'auʻaunaga ma faiga faʻafoe: fa'ateleina le saogalemu o le 'au'aunaga ma fai se fa'ata'ita'iga fa'atonu masani
  • Fa'aleleia atili o le protocol: fa'atino DNSSEC, DoT po'o le DoH
  • Iloiloga ma lipoti: fa'aopoopo se fa'amaumauga DNS i lau faiga SIEM mo fa'amatalaga fa'aopoopo pe a su'esu'eina fa'alavelave
  • Cyber ​​​​intelligence ma fa'amata'u su'esu'ega: lesitala i se fafaga atamai taufaamata'u malosi
  • Otometi: faia ni tusitusiga se tele e mafai ai e fa'autometi faiga

O vaega maualuga o loʻo i luga e naʻo le pito o le DNS security aisa. I le isi vaega, o le a tatou vaʻavaʻai totoʻa i faʻaoga faʻapitoa ma faiga sili e tatau ona e nofouta i ai.

Osofaiga ile DNS

DNS Security Guide

  • DNS spoofing po'o le fa'a'ona o le cache: fa'aogaina o se faiga fa'aletonu e fa'aogaina ai le DNS cache e toe fa'afeiloa'i ai tagata fa'aoga i se isi nofoaga
  • DNS tunneling: e masani ona fa'aaoga e fa'aalo ai puipuiga feso'ota'iga mamao
  • DNS fa'alavelave: toe fa'afeiloa'i masani DNS fe'avea'i i se isi fa'aumau DNS fa'amoemoe e ala i le suia o le resitara fa'apitonu'u
  • osofa'iga NXDOMAIN: faia se osofaʻiga DDoS i luga o se DNS server faʻatagaina e ala i le tuʻuina atu o fesili faʻapitonuʻu e maua ai se tali faʻamalosi.
  • phantom domain: mafua ai ona faatali le DNS resolver mo se tali mai vaega e le o iai, ma mafua ai le le lelei o le faatinoga
  • osofa'i i se subdomain fa'afuase'i: hacked hosts and botnets DDoS a live domain ae taulaʻi afi i subdomains sese e faʻamalosia le DNS server e suʻe faʻamaumauga ma pulea le auaunaga
  • poloka poloka: o loʻo tuʻuina atu le tele o tali spam e poloka ai punaoa DNS server
  • Botnet osofaʻiga mai meafaigaluega faʻaoga: aoina o komepiuta, modems, routers ma isi masini e faʻatumauina le mana faʻagaioiga i luga o se upega tafaʻilagi faʻapitoa e faʻapipiʻi ai i talosaga tau feoaiga.

DNS Attacks

O osofaʻiga e faʻaaoga ai le DNS e osofaʻia ai isi faiga (e pei o le suia o faʻamaumauga DNS e le o le sini mulimuli):

  • Vave vave
  • Feso'ota'iga Flux Ta'itasi
  • Lua Flux Networks
  • DNS tunneling

Osofaiga ile DNS

O osofaʻiga e toe faʻafoʻi mai ai se tuatusi IP e manaʻomia e se tagata osofaʻi mai se DNS server:

  • DNS spoofing po'o le fa'a'ona o le cache
  • DNS fa'alavelave

O le a le DNSSEC?

DNS Security Guide

DNSSEC - Domain Name Service Security Modules - e faʻaaogaina e faʻamaonia ai faʻamaumauga DNS e aunoa ma le iloa o faʻamatalaga lautele mo talosaga DNS taʻitasi.

DNSSEC fa'aoga Digital Signature Keys (PKI) e fa'amaonia ai o fa'ai'uga ole su'esu'ega ole igoa ole igoa e sau mai se puna aoga.
O le faʻatinoina o le DNSSEC e le gata o se faʻataʻitaʻiga sili ona lelei, ae faʻapea foi ona aloese mai le tele o osofaʻiga DNS.

Auala e galue ai DNSSEC

E galue tutusa le DNSSEC ma le TLS/HTTPS, e fa'aoga ai pa'aga fa'alaua'itele/ tuma'oti e saini fa'atekinolosi fa'amaumauga DNS. Vaaiga lautele o le faagasologa:

  1. O fa'amaumauga DNS e sainia ma se pa'aga fa'apitoa ma fa'apitoa
  2. O tali i fesili DNSSEC o lo'o i ai le fa'ailoga talosaga, fa'apea fo'i ma le saini ma le ki fa'alaua'itele
  3. lea ki lautele fa'aaoga e fa'atusatusa ai le moni o se fa'amaumauga ma se saini

DNS Security ma DNSSEC

DNS Security Guide

DNSSEC o se meafaigaluega mo le siakiina o le faʻamaoni o fesili DNS. E le afaina ai le faalilolilo DNS. I se isi faaupuga, DNSSEC e mafai ona tuʻuina atu ia te oe le mautinoa o le tali i lau fesili DNS e le o faʻaseseina, ae o soʻo se tagata osofaʻi e mafai ona vaʻaia iʻuga aʻo latou lafoina atu ia te oe.

DoT - DNS i luga ole TLS

Transport Layer Security (TLS) ose fa'ata'ita'iga fa'akomepiuta mo le puipuia o fa'amatalaga tu'uina atu i luga ole feso'ota'iga feso'ota'iga. O le taimi lava e faʻamautu ai se fesoʻotaʻiga TLS malupuipuia i le va o le kalani ma le 'auʻaunaga, o faʻamatalaga faʻasalalau e faʻailogaina ma e leai se tagata faufautua e mafai ona vaʻaia.

TLS e masani ona fa'aogaina o se vaega o le HTTPS (SSL) i lau 'upega tafa'ilagi a'o tu'uina atu talosaga e fa'amautu ai sau HTTP.

DNS-over-TLS (DNS over TLS, DoT) fa'aogaina le TLS protocol e fa'ailoga UDP feoaiga mo fesili masani DNS.
O le fa'ailogaina o nei talosaga i tusitusiga manino e fesoasoani e puipuia ai tagata fa'aoga po'o talosaga e faia ai talosaga mai le tele o osofaiga.

  • MitM, poʻo le "tagata i le ogatotonu": e aunoa ma se fa'amalamalamaga, o se faiga fa'ava-o-malo i le va o le kalani ma se fa'aumau DNS fa'atonu e mafai ona lafo atu fa'amatalaga sese pe mata'utia i le kalani e tali atu ai i se talosaga.
  • Matamata ma le tulituliloaina: A aunoa ma se faʻamatalaga faʻamatalaga, e faigofie mo faiga faʻapitoa e vaʻai poʻo fea nofoaga o loʻo faʻaogaina e se tagata faʻapitoa poʻo se talosaga. E ui lava o le a le mafai ona iloa le itulau patino na asia i luga o le upega tafaʻilagi mai DNS naʻo ia, o le naʻo le iloa o vaega o loʻo manaʻomia e lava e fausia ai se talaaga o se faiga poʻo se tagata.

DNS Security Guide
puna: Iunivesite o Kalefonia Irvine

DoH - DNS ile HTTPS

DNS-over-HTTPS (DNS over HTTPS, DoH) o se faʻataʻitaʻiga faʻataʻitaʻiga faʻalauiloaina faʻatasi e Mozilla ma Google. O ana sini e tutusa ma le DoT protocol - faʻaleleia le le faalauaiteleina o tagata i luga o le Initaneti e ala i le faʻailoga DNS talosaga ma tali.

O fesili masani DNS e lafo i luga ole UDP. Talosaga ma tali e mafai ona siaki e ala i meafaigaluega e pei o Wireshark. O lo'o fa'ailogaina e le DoT nei talosaga, ae o lo'o fa'ailoaina lava o fe'avea'i UDP ma'oti i luga ole feso'otaiga.

E ese le auala e fai ai e le DoH ma auina atu fa'ailoga fa'aigoa fa'aigoa fa'ai'uga i luga o feso'ota'iga HTTPS e pei o so'o se isi talosaga i luga o le upega tafa'ilagi.

O lenei fa'aeseesega e iai sona a'afiaga taua tele mo fa'atonu fa'atonu ma fa'ai'uga o igoa i le lumana'i.

  1. O le filiga DNS o se auala masani e fa'amama ai fefa'ataua'iga i luga ole laiga e puipuia ai tagata fa'aoga mai osofa'iga phishing, nofoaga fa'akomepiuta, po'o isi gaioiga fa'ainitaneti e ono fa'aleagaina i luga ole feso'otaiga fa'apisinisi. O le tulafono a le DoH e fa'amalo nei filiga, e ono fa'aalia ai tagata fa'aoga ma le feso'ota'iga i se tulaga maualuga atu.
  2. I le faʻataʻitaʻiga faʻataʻitaʻiga o le igoa o loʻo i ai nei, o masini uma i luga o le upega tafaʻilagi, i se tulaga, e maua ai talosaga DNS mai le nofoaga lava e tasi (mai se faʻamaumauga DNS faʻapitoa). O le DoH, aemaise o le faʻatinoina o Firefox, o loʻo faʻaalia ai e ono suia lenei mea i le lumanaʻi. O talosaga ta'itasi i luga ole komepiuta e mafai ona maua mai fa'amatalaga mai fa'apogai DNS eseese, e fa'afaigata ai fo'i fa'afitauli, saogalemu, ma fa'ata'ita'iga tulaga lamatia.

DNS Security Guide
puna: www.varonis.com/blog/what-is-powershell

O le a le eseesega i le va o DNS i luga ole TLS ma DNS ile HTTPS?

Tatou amata ile DNS ile TLS (DoT). O le taulaiga iinei o le uluai DNS protocol e le o suia, ae naʻo le tuʻuina atu ma le saogalemu i luga o se auala malupuipuia. E tu'u e le DoH DNS ile fa'asologa HTTP a'o le'i faia ni talosaga.

DNS mata'ituina mataala

DNS Security Guide

O le mafai ona mata'ituina lelei le fa'aogaina o le DNS i luga o lau feso'otaiga mo fa'alavelave masalomia e taua tele i le vave iloa o se soliga. O le faʻaaogaina o se meafaigaluega e pei o Varonis Edge o le a tuʻuina atu ia te oe le malosi e tumau ai i luga o mea taua uma ma fatuina faʻamatalaga mo tala uma i luga o lau fesoʻotaiga. E mafai ona e fa'atutuina fa'aaliga e fa'atupuina ona o se tu'ufa'atasiga o gaioiga e tupu i se vaitaimi.

Mataʻituina suiga DNS, nofoaga faʻamatalaga, ma le faʻaaogaina muamua ma le avanoa i faʻamatalaga maʻaleʻale, ma gaioiga i fafo atu o itula e na o ni nai fua faʻatatau e mafai ona faʻatusatusa e fausia ai se ata lautele o le suʻesuʻeina.

puna: www.habr.com

Faaopoopo i ai se faamatalaga