Çfarëdo që të bëjë kompania, siguria DNS duhet të jetë pjesë integrale e planit të saj të sigurisë. Shërbimet e emrave, të cilat zgjidhin emrat e hosteve në adresat IP, përdoren pothuajse nga çdo aplikacion dhe shërbim në rrjet.
Nëse një sulmues fiton kontrollin e DNS-së së një organizate, ai lehtë mund të:
jepini vetes kontroll mbi burimet e përbashkëta
ridrejtoni emailet hyrëse, si dhe kërkesat në ueb dhe përpjekjet për vërtetim
krijoni dhe vërtetoni certifikatat SSL/TLS
Ky udhëzues shikon sigurinë DNS nga dy këndvështrime:
Kryerja e monitorimit dhe kontrollit të vazhdueshëm mbi DNS
Si mund të ndihmojnë protokollet e reja DNS si DNSSEC, DOH dhe DoT në mbrojtjen e integritetit dhe konfidencialitetit të kërkesave të transmetuara DNS
Çfarë është siguria DNS?
Koncepti i sigurisë DNS përfshin dy komponentë të rëndësishëm:
Sigurimi i integritetit të përgjithshëm dhe disponueshmërisë së shërbimeve DNS që zgjidhin emrat e hosteve në adresat IP
Monitoroni aktivitetin DNS për të identifikuar çështjet e mundshme të sigurisë kudo në rrjetin tuaj
Pse DNS është i prekshëm ndaj sulmeve?
Teknologjia DNS u krijua në ditët e para të internetit, shumë kohë përpara se dikush të fillonte të mendonte për sigurinë e rrjetit. DNS funksionon pa vërtetim ose kriptim, duke përpunuar verbërisht kërkesat nga çdo përdorues.
Për shkak të kësaj, ka shumë mënyra për të mashtruar përdoruesin dhe për të falsifikuar informacionin se ku ndodh në të vërtetë zgjidhja e emrave në adresat IP.
Siguria DNS: Çështjet dhe komponentët
Siguria DNS përbëhet nga disa bazë komponentët, secila prej të cilave duhet të merret parasysh për të siguruar mbrojtje të plotë:
Forcimi i procedurave të sigurisë dhe menaxhimit të serverit: rrisni nivelin e sigurisë së serverit dhe krijoni një shabllon standard të komisionimit
Përmirësimet e protokollit: zbatoni DNSSEC, DoT ose DoH
Analitika dhe raportimi: shtoni një regjistër të ngjarjeve DNS në sistemin tuaj SIEM për kontekst shtesë gjatë hetimit të incidenteve
Inteligjenca Kibernetike dhe Zbulimi i Kërcënimeve: abonohuni në një furnizim aktiv të inteligjencës së kërcënimit
Automatizimi: krijoni sa më shumë skripta për të automatizuar proceset
Komponentët e lartpërmendur të nivelit të lartë janë vetëm maja e ajsbergut të sigurisë DNS. Në seksionin tjetër, ne do të zhytemi në rastet më specifike të përdorimit dhe praktikat më të mira për të cilat duhet të dini.
Sulmet DNS
DNS spoofing ose helmim me cache: duke shfrytëzuar një dobësi të sistemit për të manipuluar memorien e DNS për të ridrejtuar përdoruesit në një vend tjetër
Tunelizim DNS: përdoret kryesisht për të anashkaluar mbrojtjen e lidhjes në distancë
Rrëmbimi i DNS: ridrejtimi i trafikut normal DNS në një server tjetër DNS të synuar duke ndryshuar regjistruesin e domenit
Sulmi NXDOMAIN: kryerja e një sulmi DDoS në një server autoritar DNS duke dërguar pyetje të paligjshme të domenit për të marrë një përgjigje të detyruar
domeni fantazmë: bën që zgjidhësi DNS të presë për një përgjigje nga domenet joekzistente, duke rezultuar në performancë të dobët
sulm në një nëndomain të rastësishëm: hostet dhe botnet-et e komprometuara nisin një sulm DDoS në një domen të vlefshëm, por fokusojnë zjarrin e tyre në nënfushat e rreme për të detyruar serverin DNS të kërkojë të dhënat dhe të marrë kontrollin e shërbimit
bllokimi i domenit: po dërgon përgjigje të shumta spam për të bllokuar burimet e serverit DNS
Sulmi botnet nga pajisjet e pajtimtarëve: një koleksion kompjuterash, modemesh, ruterash dhe pajisjesh të tjera që përqendrojnë fuqinë kompjuterike në një uebsajt të caktuar për ta mbingarkuar atë me kërkesa trafiku
Sulmet DNS
Sulmet që përdorin disi DNS-në për të sulmuar sisteme të tjera (d.m.th. ndryshimi i të dhënave të DNS nuk është qëllimi përfundimtar):
Sulmet që rezultojnë në kthimin e adresës IP të nevojshme nga sulmuesi nga serveri DNS:
DNS spoofing ose helmim me cache
Rrëmbimi i DNS
Çfarë është DNSSEC?
DNSSEC - Motorët e Sigurisë së Shërbimit të Emrit të Domenit - përdoren për të vërtetuar të dhënat DNS pa pasur nevojë të dinë informacione të përgjithshme për çdo kërkesë specifike DNS.
DNSSEC përdor çelësat e nënshkrimit dixhital (PKI) për të verifikuar nëse rezultatet e një pyetjeje për emrin e domenit kanë ardhur nga një burim i vlefshëm.
Zbatimi i DNSSEC nuk është vetëm një praktikë më e mirë e industrisë, por është gjithashtu efektive në shmangien e shumicës së sulmeve DNS.
Si funksionon DNSSEC
DNSSEC funksionon në mënyrë të ngjashme me TLS/HTTPS, duke përdorur çifte çelësash publikë dhe privatë për të nënshkruar në mënyrë dixhitale të dhënat DNS. Pasqyrë e përgjithshme e procesit:
Regjistrimet DNS nënshkruhen me një çift çelësash privat-privat
Përgjigjet ndaj pyetjeve të DNSSEC përmbajnë regjistrimin e kërkuar, si dhe nënshkrimin dhe çelësin publik
Pastaj çelës publik përdoret për të krahasuar vërtetësinë e një regjistrimi dhe një nënshkrimi
Siguria DNS dhe DNSSEC
DNSSEC është një mjet për të kontrolluar integritetin e pyetjeve DNS. Nuk ndikon në privatësinë e DNS. Me fjalë të tjera, DNSSEC mund t'ju japë besim se përgjigja e pyetjes suaj DNS nuk është ngatërruar, por çdo sulmues mund t'i shohë ato rezultate ashtu siç ju janë dërguar.
DoT - DNS mbi TLS
Transport Layer Security (TLS) është një protokoll kriptografik për mbrojtjen e informacionit të transmetuar përmes një lidhjeje rrjeti. Pasi të krijohet një lidhje e sigurt TLS midis klientit dhe serverit, të dhënat e transmetuara kodohen dhe asnjë ndërmjetës nuk mund t'i shohë ato.
TLS më së shpeshti përdoret si pjesë e HTTPS (SSL) në shfletuesin tuaj të internetit, sepse kërkesat dërgohen në serverë të sigurt HTTP.
DNS-mbi-TLS (DNS mbi TLS, DoT) përdor protokollin TLS për të kriptuar trafikun UDP të kërkesave të rregullta DNS.
Kriptimi i këtyre kërkesave në tekst të thjeshtë ndihmon në mbrojtjen e përdoruesve ose aplikacioneve që bëjnë kërkesa nga disa sulme.
MitM, ose "njeri në mes": Pa kriptim, sistemi i ndërmjetëm midis klientit dhe serverit autoritar DNS mund të dërgojë informacion të rremë ose të rrezikshëm te klienti në përgjigje të një kërkese
Spiunazh dhe gjurmim: Pa kërkesat e enkriptimit, është e lehtë për sistemet e programeve të mesme të shohin se në cilat sajte po hyn një përdorues ose aplikacion i caktuar. Megjithëse vetëm DNS nuk do të zbulojë faqen specifike që vizitohet në një faqe interneti, thjesht njohja e domeneve të kërkuara është e mjaftueshme për të krijuar një profil të një sistemi ose një individi
DNS-mbi-HTTPS (DNS mbi HTTPS, DoH) është një protokoll eksperimental i promovuar bashkërisht nga Mozilla dhe Google. Qëllimet e tij janë të ngjashme me protokollin DoT - duke rritur privatësinë e njerëzve në internet duke koduar kërkesat dhe përgjigjet DNS.
Pyetjet standarde të DNS dërgohen përmes UDP. Kërkesat dhe përgjigjet mund të gjurmohen duke përdorur mjete të tilla si Wireshark. DoT i kodon këto kërkesa, por ato ende identifikohen si trafik mjaft i dallueshëm UDP në rrjet.
DoH merr një qasje të ndryshme dhe dërgon kërkesa të koduara për zgjidhjen e emrit të hostit përmes lidhjeve HTTPS, të cilat duken si çdo kërkesë tjetër në ueb përmes rrjetit.
Ky ndryshim ka implikime shumë të rëndësishme si për administratorët e sistemit ashtu edhe për të ardhmen e zgjidhjes së emrit.
Filtrimi DNS është një mënyrë e zakonshme për të filtruar trafikun në internet për të mbrojtur përdoruesit nga sulmet e phishing, faqet që shpërndajnë malware ose aktivitete të tjera potencialisht të dëmshme në internet në një rrjet të korporatës. Protokolli DoH i anashkalon këta filtra, duke i ekspozuar potencialisht përdoruesit dhe rrjetin ndaj rrezikut më të madh.
Në modelin aktual të rezolucionit të emrit, çdo pajisje në rrjet pak a shumë merr pyetje DNS nga i njëjti vend (një server i specifikuar DNS). DoH, dhe në veçanti zbatimi i tij nga Firefox, tregon se kjo mund të ndryshojë në të ardhmen. Çdo aplikacion në një kompjuter mund të marrë të dhëna nga burime të ndryshme DNS, duke e bërë zgjidhjen e problemeve, sigurinë dhe modelimin e rrezikut shumë më kompleks.
Cili është ndryshimi midis DNS mbi TLS dhe DNS mbi HTTPS?
Le të fillojmë me DNS mbi TLS (DoT). Çështja kryesore këtu është se protokolli origjinal DNS nuk ndryshohet, por thjesht transmetohet në mënyrë të sigurt përmes një kanali të sigurt. DoH, nga ana tjetër, vendos DNS në formatin HTTP përpara se të bëjë kërkesa.
Sinjalizimet e monitorimit të DNS
Aftësia për të monitoruar në mënyrë efektive trafikun DNS në rrjetin tuaj për anomali të dyshimta është kritike për zbulimin e hershëm të një shkeljeje. Përdorimi i një mjeti si Varonis Edge do t'ju japë mundësinë të qëndroni në krye të të gjitha metrikave të rëndësishme dhe të krijoni profile për çdo llogari në rrjetin tuaj. Mund të konfiguroni sinjalizimet që të gjenerohen si rezultat i një kombinimi veprimesh që ndodhin gjatë një periudhe të caktuar kohore.
Monitorimi i ndryshimeve DNS, vendndodhjet e llogarisë, përdorimi për herë të parë dhe qasja në të dhëna të ndjeshme dhe aktiviteti pas orarit janë vetëm disa tregues që mund të lidhen për të krijuar një pamje më të gjerë zbulimi.