ProHoster > Blog > administratë > Udhëzues sigurie DNS

Udhëzues sigurie DNS

Udhëzues sigurie DNS

Çfarëdo që të bëjë kompania, siguria DNS duhet të jetë pjesë integrale e planit të saj të sigurisë. Shërbimet e emrave, të cilat zgjidhin emrat e hosteve në adresat IP, përdoren pothuajse nga çdo aplikacion dhe shërbim në rrjet.

Nëse një sulmues fiton kontrollin e DNS-së së një organizate, ai lehtë mund të:

  • jepini vetes kontroll mbi burimet e përbashkëta
  • ridrejtoni emailet hyrëse, si dhe kërkesat në ueb dhe përpjekjet për vërtetim
  • krijoni dhe vërtetoni certifikatat SSL/TLS

Ky udhëzues shikon sigurinë DNS nga dy këndvështrime:

  1. Kryerja e monitorimit dhe kontrollit të vazhdueshëm mbi DNS
  2. Si mund të ndihmojnë protokollet e reja DNS si DNSSEC, DOH dhe DoT në mbrojtjen e integritetit dhe konfidencialitetit të kërkesave të transmetuara DNS

Çfarë është siguria DNS?

Udhëzues sigurie DNS

Koncepti i sigurisë DNS përfshin dy komponentë të rëndësishëm:

  1. Sigurimi i integritetit të përgjithshëm dhe disponueshmërisë së shërbimeve DNS që zgjidhin emrat e hosteve në adresat IP
  2. Monitoroni aktivitetin DNS për të identifikuar çështjet e mundshme të sigurisë kudo në rrjetin tuaj

Pse DNS është i prekshëm ndaj sulmeve?

Teknologjia DNS u krijua në ditët e para të internetit, shumë kohë përpara se dikush të fillonte të mendonte për sigurinë e rrjetit. DNS funksionon pa vërtetim ose kriptim, duke përpunuar verbërisht kërkesat nga çdo përdorues.

Për shkak të kësaj, ka shumë mënyra për të mashtruar përdoruesin dhe për të falsifikuar informacionin se ku ndodh në të vërtetë zgjidhja e emrave në adresat IP.

Siguria DNS: Çështjet dhe komponentët

Udhëzues sigurie DNS

Siguria DNS përbëhet nga disa bazë komponentët, secila prej të cilave duhet të merret parasysh për të siguruar mbrojtje të plotë:

  • Forcimi i procedurave të sigurisë dhe menaxhimit të serverit: rrisni nivelin e sigurisë së serverit dhe krijoni një shabllon standard të komisionimit
  • Përmirësimet e protokollit: zbatoni DNSSEC, DoT ose DoH
  • Analitika dhe raportimi: shtoni një regjistër të ngjarjeve DNS në sistemin tuaj SIEM për kontekst shtesë gjatë hetimit të incidenteve
  • Inteligjenca Kibernetike dhe Zbulimi i Kërcënimeve: abonohuni në një furnizim aktiv të inteligjencës së kërcënimit
  • Automatizimi: krijoni sa më shumë skripta për të automatizuar proceset

Komponentët e lartpërmendur të nivelit të lartë janë vetëm maja e ajsbergut të sigurisë DNS. Në seksionin tjetër, ne do të zhytemi në rastet më specifike të përdorimit dhe praktikat më të mira për të cilat duhet të dini.

Sulmet DNS

Udhëzues sigurie DNS

  • DNS spoofing ose helmim me cache: duke shfrytëzuar një dobësi të sistemit për të manipuluar memorien e DNS për të ridrejtuar përdoruesit në një vend tjetër
  • Tunelizim DNS: përdoret kryesisht për të anashkaluar mbrojtjen e lidhjes në distancë
  • Rrëmbimi i DNS: ridrejtimi i trafikut normal DNS në një server tjetër DNS të synuar duke ndryshuar regjistruesin e domenit
  • Sulmi NXDOMAIN: kryerja e një sulmi DDoS në një server autoritar DNS duke dërguar pyetje të paligjshme të domenit për të marrë një përgjigje të detyruar
  • domeni fantazmë: bën që zgjidhësi DNS të presë për një përgjigje nga domenet joekzistente, duke rezultuar në performancë të dobët
  • sulm në një nëndomain të rastësishëm: hostet dhe botnet-et e komprometuara nisin një sulm DDoS në një domen të vlefshëm, por fokusojnë zjarrin e tyre në nënfushat e rreme për të detyruar serverin DNS të kërkojë të dhënat dhe të marrë kontrollin e shërbimit
  • bllokimi i domenit: po dërgon përgjigje të shumta spam për të bllokuar burimet e serverit DNS
  • Sulmi botnet nga pajisjet e pajtimtarëve: një koleksion kompjuterash, modemesh, ruterash dhe pajisjesh të tjera që përqendrojnë fuqinë kompjuterike në një uebsajt të caktuar për ta mbingarkuar atë me kërkesa trafiku

Sulmet DNS

Sulmet që përdorin disi DNS-në për të sulmuar sisteme të tjera (d.m.th. ndryshimi i të dhënave të DNS nuk është qëllimi përfundimtar):

  • Fluks i shpejtë
  • Rrjetet Single Flux
  • Rrjetet e Fluksit të Dyfishtë
  • Tunelizim DNS

Sulmet DNS

Sulmet që rezultojnë në kthimin e adresës IP të nevojshme nga sulmuesi nga serveri DNS:

  • DNS spoofing ose helmim me cache
  • Rrëmbimi i DNS

Çfarë është DNSSEC?

Udhëzues sigurie DNS

DNSSEC - Motorët e Sigurisë së Shërbimit të Emrit të Domenit - përdoren për të vërtetuar të dhënat DNS pa pasur nevojë të dinë informacione të përgjithshme për çdo kërkesë specifike DNS.

DNSSEC përdor çelësat e nënshkrimit dixhital (PKI) për të verifikuar nëse rezultatet e një pyetjeje për emrin e domenit kanë ardhur nga një burim i vlefshëm.
Zbatimi i DNSSEC nuk është vetëm një praktikë më e mirë e industrisë, por është gjithashtu efektive në shmangien e shumicës së sulmeve DNS.

Si funksionon DNSSEC

DNSSEC funksionon në mënyrë të ngjashme me TLS/HTTPS, duke përdorur çifte çelësash publikë dhe privatë për të nënshkruar në mënyrë dixhitale të dhënat DNS. Pasqyrë e përgjithshme e procesit:

  1. Regjistrimet DNS nënshkruhen me një çift çelësash privat-privat
  2. Përgjigjet ndaj pyetjeve të DNSSEC përmbajnë regjistrimin e kërkuar, si dhe nënshkrimin dhe çelësin publik
  3. Pastaj çelës publik përdoret për të krahasuar vërtetësinë e një regjistrimi dhe një nënshkrimi

Siguria DNS dhe DNSSEC

Udhëzues sigurie DNS

DNSSEC është një mjet për të kontrolluar integritetin e pyetjeve DNS. Nuk ndikon në privatësinë e DNS. Me fjalë të tjera, DNSSEC mund t'ju japë besim se përgjigja e pyetjes suaj DNS nuk është ngatërruar, por çdo sulmues mund t'i shohë ato rezultate ashtu siç ju janë dërguar.

DoT - DNS mbi TLS

Transport Layer Security (TLS) është një protokoll kriptografik për mbrojtjen e informacionit të transmetuar përmes një lidhjeje rrjeti. Pasi të krijohet një lidhje e sigurt TLS midis klientit dhe serverit, të dhënat e transmetuara kodohen dhe asnjë ndërmjetës nuk mund t'i shohë ato.

TLS më së shpeshti përdoret si pjesë e HTTPS (SSL) në shfletuesin tuaj të internetit, sepse kërkesat dërgohen në serverë të sigurt HTTP.

DNS-mbi-TLS (DNS mbi TLS, DoT) përdor protokollin TLS për të kriptuar trafikun UDP të kërkesave të rregullta DNS.
Kriptimi i këtyre kërkesave në tekst të thjeshtë ndihmon në mbrojtjen e përdoruesve ose aplikacioneve që bëjnë kërkesa nga disa sulme.

  • MitM, ose "njeri në mes": Pa kriptim, sistemi i ndërmjetëm midis klientit dhe serverit autoritar DNS mund të dërgojë informacion të rremë ose të rrezikshëm te klienti në përgjigje të një kërkese
  • Spiunazh dhe gjurmim: Pa kërkesat e enkriptimit, është e lehtë për sistemet e programeve të mesme të shohin se në cilat sajte po hyn një përdorues ose aplikacion i caktuar. Megjithëse vetëm DNS nuk do të zbulojë faqen specifike që vizitohet në një faqe interneti, thjesht njohja e domeneve të kërkuara është e mjaftueshme për të krijuar një profil të një sistemi ose një individi

Udhëzues sigurie DNS
Burimi: Universiteti i Kalifornia Irvine

DoH - DNS mbi HTTPS

DNS-mbi-HTTPS (DNS mbi HTTPS, DoH) është një protokoll eksperimental i promovuar bashkërisht nga Mozilla dhe Google. Qëllimet e tij janë të ngjashme me protokollin DoT - duke rritur privatësinë e njerëzve në internet duke koduar kërkesat dhe përgjigjet DNS.

Pyetjet standarde të DNS dërgohen përmes UDP. Kërkesat dhe përgjigjet mund të gjurmohen duke përdorur mjete të tilla si Wireshark. DoT i kodon këto kërkesa, por ato ende identifikohen si trafik mjaft i dallueshëm UDP në rrjet.

DoH merr një qasje të ndryshme dhe dërgon kërkesa të koduara për zgjidhjen e emrit të hostit përmes lidhjeve HTTPS, të cilat duken si çdo kërkesë tjetër në ueb përmes rrjetit.

Ky ndryshim ka implikime shumë të rëndësishme si për administratorët e sistemit ashtu edhe për të ardhmen e zgjidhjes së emrit.

  1. Filtrimi DNS është një mënyrë e zakonshme për të filtruar trafikun në internet për të mbrojtur përdoruesit nga sulmet e phishing, faqet që shpërndajnë malware ose aktivitete të tjera potencialisht të dëmshme në internet në një rrjet të korporatës. Protokolli DoH i anashkalon këta filtra, duke i ekspozuar potencialisht përdoruesit dhe rrjetin ndaj rrezikut më të madh.
  2. Në modelin aktual të rezolucionit të emrit, çdo pajisje në rrjet pak a shumë merr pyetje DNS nga i njëjti vend (një server i specifikuar DNS). DoH, dhe në veçanti zbatimi i tij nga Firefox, tregon se kjo mund të ndryshojë në të ardhmen. Çdo aplikacion në një kompjuter mund të marrë të dhëna nga burime të ndryshme DNS, duke e bërë zgjidhjen e problemeve, sigurinë dhe modelimin e rrezikut shumë më kompleks.

Udhëzues sigurie DNS
Burimi: www.varonis.com/blog/what-is-powershell

Cili është ndryshimi midis DNS mbi TLS dhe DNS mbi HTTPS?

Le të fillojmë me DNS mbi TLS (DoT). Çështja kryesore këtu është se protokolli origjinal DNS nuk ndryshohet, por thjesht transmetohet në mënyrë të sigurt përmes një kanali të sigurt. DoH, nga ana tjetër, vendos DNS në formatin HTTP përpara se të bëjë kërkesa.

Sinjalizimet e monitorimit të DNS

Udhëzues sigurie DNS

Aftësia për të monitoruar në mënyrë efektive trafikun DNS në rrjetin tuaj për anomali të dyshimta është kritike për zbulimin e hershëm të një shkeljeje. Përdorimi i një mjeti si Varonis Edge do t'ju japë mundësinë të qëndroni në krye të të gjitha metrikave të rëndësishme dhe të krijoni profile për çdo llogari në rrjetin tuaj. Mund të konfiguroni sinjalizimet që të gjenerohen si rezultat i një kombinimi veprimesh që ndodhin gjatë një periudhe të caktuar kohore.

Monitorimi i ndryshimeve DNS, vendndodhjet e llogarisë, përdorimi për herë të parë dhe qasja në të dhëna të ndjeshme dhe aktiviteti pas orarit janë vetëm disa tregues që mund të lidhen për të krijuar një pamje më të gjerë zbulimi.

Burimi: www.habr.com

Shto një koment