Шта год компанија ради, сигурност треба да буде саставни део њеног безбедносног плана. Услуге имена, које разлучују имена хостова у ИП адресе, користе практично све апликације и услуге на мрежи.
Ако нападач добије контролу над ДНС-ом организације, лако може:
- дајте себи контролу над заједничким ресурсима
- преусмерите долазне е-поруке, као и веб захтеве и покушаје аутентификације
- креирајте и потврдите ССЛ/ТЛС сертификате
Овај водич разматра ДНС безбедност из два угла:
- Обављање континуираног праћења и контроле над ДНС-ом
- Како нови ДНС протоколи као што су ДНССЕЦ, ДОХ и ДоТ могу помоћи у заштити интегритета и поверљивости пренетих ДНС захтева
Шта је ДНС безбедност?
Концепт ДНС безбедности укључује две важне компоненте:
- Обезбеђивање целокупног интегритета и доступности ДНС услуга које разрешавају имена хостова у ИП адресе
- Пратите ДНС активност да бисте идентификовали могуће безбедносне проблеме било где на вашој мрежи
Зашто је ДНС подложан нападима?
ДНС технологија је створена у раним данима Интернета, много пре него што је ико уопште почео да размишља о безбедности мреже. ДНС ради без аутентификације или шифровања, слепо обрађујући захтеве било ког корисника.
Због тога, постоји много начина да се обмане корисник и фалсификују информације о томе где се у ствари решавање имена на ИП адресе.
ДНС безбедност: проблеми и компоненте
ДНС безбедност се састоји од неколико основних компоненте, од којих се сваки мора узети у обзир да би се осигурала потпуна заштита:
- Јачање безбедности сервера и процедура управљања: повећати ниво безбедности сервера и креирати стандардни шаблон за пуштање у рад
- Побољшања протокола: имплементирати ДНССЕЦ, ДоТ или ДоХ
- Аналитика и извештавање: додајте дневник ДНС догађаја у свој СИЕМ систем за додатни контекст приликом истраге инцидената
- Сајбер интелигенција и откривање претњи: претплатите се на активни извор обавештајних података о претњама
- аутоматизација: креирајте што више скрипти за аутоматизацију процеса
Горе поменуте компоненте високог нивоа су само врх леденог брега ДНС безбедности. У следећем одељку ћемо заронити у конкретније случајеве коришћења и најбоље праксе о којима треба да знате.
ДНС напади
- : искоришћавање рањивости система за манипулисање ДНС кеш меморијом ради преусмеравања корисника на другу локацију
- : првенствено се користи за заобилажење заштите даљинског повезивања
- ДНС отмица: преусмеравање нормалног ДНС саобраћаја на други циљни ДНС сервер променом регистратора домена
- НКСДОМАИН напад: извођење ДДоС напада на ауторитативни ДНС сервер слањем нелегитимних упита домена ради добијања принудног одговора
- фантомски домен: узрокује да ДНС резолвер чека одговор од непостојећих домена, што резултира лошим перформансама
- напад на насумични поддомен: компромитовани хостови и ботнети покрећу ДДоС напад на важећи домен, али фокусирају своју ватру на лажне поддомене како би приморали ДНС сервер да тражи записе и преузме контролу над услугом
- блокирање домена: шаље више нежељених одговора да блокира ресурсе ДНС сервера
- Ботнет напад са претплатничке опреме: збирка рачунара, модема, рутера и других уређаја који концентришу рачунарску снагу на одређеној веб локацији да би је преоптеретили захтевима за саобраћај
ДНС напади
Напади који на неки начин користе ДНС за напад на друге системе (тј. промена ДНС записа није крајњи циљ):
- Фаст-Флук
- Мреже са једним протоком
- Доубле Флук Нетворкс
ДНС напади
Напади који доводе до враћања ИП адресе која је потребна нападачу са ДНС сервера:
- ДНС лажирање или тровање кеша
- ДНС отмица
Шта је ДНССЕЦ?
ДНССЕЦ - Сигурносни мотори услуге имена домена - користе се за валидацију ДНС записа без потребе за познавањем општих информација за сваки специфични ДНС захтев.
ДНССЕЦ користи кључеве дигиталног потписа (ПКИ) да би проверио да ли су резултати упита за име домена дошли из важећег извора.
Имплементација ДНССЕЦ-а није само најбоља пракса у индустрији, већ је такође ефикасна у избегавању већине ДНС напада.
Како функционише ДНССЕЦ
ДНССЕЦ функционише слично као ТЛС/ХТТПС, користећи парове јавних и приватних кључева за дигитално потписивање ДНС записа. Општи преглед процеса:
- ДНС записи су потписани паром приватних и приватних кључева
- Одговори на ДНССЕЦ упите садрже тражени запис, као и потпис и јавни кључ
- Онда користи се за упоређивање аутентичности записа и потписа
ДНС и ДНССЕЦ безбедност
ДНССЕЦ је алатка за проверу интегритета ДНС упита. То не утиче на приватност ДНС-а. Другим речима, ДНССЕЦ вам може дати поверење да одговор на ваш ДНС упит није промењен, али сваки нападач може да види те резултате онако како су вам послати.
ДоТ - ДНС преко ТЛС-а
Сигурност транспортног слоја (ТЛС) је криптографски протокол за заштиту информација које се преносе преко мрежне везе. Када се успостави безбедна ТЛС веза између клијента и сервера, пренети подаци су шифровани и ниједан посредник их не може видети.
најчешће се користи као део ХТТПС-а (ССЛ) у вашем веб претраживачу јер се захтеви шаљу безбедним ХТТП серверима.
ДНС-овер-ТЛС (ДНС овер ТЛС, ДоТ) користи ТЛС протокол за шифровање УДП саобраћаја редовних ДНС захтева.
Шифровање ових захтева у обичном тексту помаже у заштити корисника или апликација које упућују захтеве од неколико напада.
- МитМ, или "човек у средини": Без шифровања, посредни систем између клијента и ауторитативног ДНС сервера би потенцијално могао да пошаље лажне или опасне информације клијенту као одговор на захтев
- Шпијунажа и праћење: Без шифровања захтева, системима средњег софтвера је лако да виде којим сајтовима приступа одређени корисник или апликација. Иако сам ДНС неће открити конкретну страницу која се посећује на веб локацији, довољно је само познавање тражених домена за креирање профила система или појединца
Извор:
ДоХ - ДНС преко ХТТПС-а
ДНС-овер-ХТТПС (ДНС овер ХТТПС, ДоХ) је експериментални протокол који заједнички промовишу Мозилла и Гоогле. Његови циљеви су слични ДоТ протоколу — побољшање приватности људи на мрежи шифровањем ДНС захтева и одговора.
Стандардни ДНС упити се шаљу преко УДП-а. Захтеви и одговори се могу пратити помоћу алата као што су . ДоТ шифрује ове захтеве, али су они и даље идентификовани као прилично различит УДП саобраћај на мрежи.
ДоХ користи другачији приступ и шаље шифроване захтеве за решавање имена хоста преко ХТТПС веза, који изгледају као било који други веб захтев преко мреже.
Ова разлика има веома важне импликације и за администраторе система и за будућност решавања имена.
- ДНС филтрирање је уобичајен начин филтрирања веб саобраћаја како би се корисници заштитили од пхисхинг напада, сајтова који дистрибуирају малвер или других потенцијално штетних Интернет активности на корпоративној мрежи. ДоХ протокол заобилази ове филтере, потенцијално излажући кориснике и мрежу већем ризику.
- У тренутном моделу резолуције имена, сваки уређај на мрежи мање-више прима ДНС упите са исте локације (наведени ДНС сервер). ДоХ, а посебно Фирефок-ова имплементација, показује да би се то могло променити у будућности. Свака апликација на рачунару може да прима податке из различитих ДНС извора, чинећи решавање проблема, безбедност и моделирање ризика много сложенијим.
Извор:
Која је разлика између ДНС-а преко ТЛС-а и ДНС-а преко ХТТПС-а?
Почнимо са ДНС-ом преко ТЛС-а (ДоТ). Главна ствар је да се оригинални ДНС протокол не мења, већ се једноставно преноси безбедно преко безбедног канала. ДоХ, с друге стране, ставља ДНС у ХТТП формат пре него што упути захтеве.
Упозорења за праћење ДНС-а
Способност ефикасног надгледања ДНС саобраћаја на вашој мрежи за сумњиве аномалије је критична за рано откривање кршења. Коришћење алата као што је Варонис Едге ће вам дати могућност да останете у току са свим важним показатељима и креирате профиле за сваки налог на вашој мрежи. Можете да конфигуришете упозорења да се генеришу као резултат комбинације радњи које се дешавају током одређеног временског периода.
Надгледање ДНС промена, локација налога, прво коришћење и приступ осетљивим подацима, као и активности после радног времена су само неколико метрика које се могу повезати да би се изградила шира слика откривања.
Извор: ввв.хабр.цом