ProHoster > blogg > administration > DNS-säkerhetsguide

DNS-säkerhetsguide

DNS-säkerhetsguide

Vad företaget än gör, säkerhet DNS bör vara en integrerad del av dess säkerhetsplan. Namntjänster, som löser värdnamn till IP-adresser, används av praktiskt taget alla applikationer och tjänster i nätverket.

Om en angripare får kontroll över en organisations DNS kan han enkelt:

  • ge dig själv kontroll över delade resurser
  • omdirigera inkommande e-postmeddelanden samt webbförfrågningar och autentiseringsförsök
  • skapa och validera SSL/TLS-certifikat

Den här guiden tittar på DNS-säkerhet från två vinklar:

  1. Utför kontinuerlig övervakning och kontroll över DNS
  2. Hur nya DNS-protokoll som DNSSEC, DOH och DoT kan hjälpa till att skydda integriteten och sekretessen för överförda DNS-förfrågningar

Vad är DNS-säkerhet?

DNS-säkerhetsguide

Konceptet med DNS-säkerhet inkluderar två viktiga komponenter:

  1. Säkerställa den övergripande integriteten och tillgängligheten för DNS-tjänster som löser värdnamn till IP-adresser
  2. Övervaka DNS-aktivitet för att identifiera möjliga säkerhetsproblem var som helst i ditt nätverk

Varför är DNS sårbart för attacker?

DNS-teknik skapades i början av Internet, långt innan någon ens började tänka på nätverkssäkerhet. DNS fungerar utan autentisering eller kryptering och bearbetar blint förfrågningar från alla användare.

På grund av detta finns det många sätt att lura användaren och förfalska information om var upplösningen av namn till IP-adresser faktiskt sker.

DNS-säkerhet: Problem och komponenter

DNS-säkerhetsguide

DNS-säkerhet består av flera grundläggande komponenter, som var och en måste beaktas för att säkerställa fullständigt skydd:

  • Stärka serversäkerhet och hanteringsprocedurer: öka nivån på serversäkerheten och skapa en standardmall för driftsättning
  • Protokollförbättringar: implementera DNSSEC, DoT eller DoH
  • Analys och rapportering: lägg till en DNS-händelselogg till ditt SIEM-system för ytterligare sammanhang när du undersöker incidenter
  • Cyberintelligens och hotupptäckt: prenumerera på ett aktivt hotintelligensflöde
  • Automatisering: skapa så många skript som möjligt för att automatisera processer

De ovan nämnda komponenterna på hög nivå är bara toppen av DNS-säkerhets-isberget. I nästa avsnitt kommer vi att dyka in i mer specifika användningsfall och bästa praxis du behöver veta om.

DNS-attacker

DNS-säkerhetsguide

  • DNS-spoofing eller cacheförgiftning: utnyttjar en sårbarhet i systemet för att manipulera DNS-cachen för att omdirigera användare till en annan plats
  • DNS-tunnling: används främst för att kringgå fjärranslutningsskydd
  • DNS-kapning: omdirigera normal DNS-trafik till en annan mål-DNS-server genom att ändra domänregistratorn
  • NXDOMAIN attack: utföra en DDoS-attack på en auktoritativ DNS-server genom att skicka olagliga domänfrågor för att få ett påtvingat svar
  • fantomdomän: gör att DNS-resolvern väntar på ett svar från icke-existerande domäner, vilket resulterar i dålig prestanda
  • attack på en slumpmässig underdomän: komprometterade värdar och botnät lanserar en DDoS-attack på en giltig domän, men fokuserar sin brand på falska underdomäner för att tvinga DNS-servern att leta upp poster och ta över kontrollen över tjänsten
  • domänblockering: skickar flera skräppostsvar för att blockera DNS-serverresurser
  • Botnet-attack från abonnentutrustning: en samling datorer, modem, routrar och andra enheter som koncentrerar datorkraften på en specifik webbplats för att överbelasta den med trafikförfrågningar

DNS-attacker

Attacker som på något sätt använder DNS för att attackera andra system (dvs. att ändra DNS-poster är inte slutmålet):

  • Snabbflöde
  • Single Flux Networks
  • Dubbelflödesnätverk
  • DNS-tunnling

DNS-attacker

Attacker som leder till att den IP-adress som angriparen behöver returneras från DNS-servern:

  • DNS-spoofing eller cacheförgiftning
  • DNS-kapning

Vad är DNSSEC?

DNS-säkerhetsguide

DNSSEC – Domain Name Service Security Engines – används för att validera DNS-poster utan att behöva känna till allmän information för varje specifik DNS-förfrågan.

DNSSEC använder Digital Signature Keys (PKI) för att verifiera om resultaten av en domännamnsfråga kom från en giltig källa.
Att implementera DNSSEC är inte bara en bra praxis, utan det är också effektivt för att undvika de flesta DNS-attacker.

Hur DNSSEC fungerar

DNSSEC fungerar på samma sätt som TLS/HTTPS och använder offentliga och privata nyckelpar för att digitalt signera DNS-poster. Allmän översikt över processen:

  1. DNS-poster signeras med ett privat-privat nyckelpar
  2. Svar på DNSSEC-frågor innehåller den begärda posten samt signaturen och den offentliga nyckeln
  3. därefter offentlig nyckel används för att jämföra äktheten av en post och en signatur

DNS- och DNSSEC-säkerhet

DNS-säkerhetsguide

DNSSEC är ett verktyg för att kontrollera integriteten hos DNS-frågor. Det påverkar inte DNS-sekretess. Med andra ord kan DNSSEC ge dig förtroende för att svaret på din DNS-fråga inte har manipulerats, men alla angripare kan se dessa resultat när de skickades till dig.

DoT - DNS över TLS

Transport Layer Security (TLS) är ett kryptografiskt protokoll för att skydda information som överförs över en nätverksanslutning. När en säker TLS-anslutning har upprättats mellan klienten och servern krypteras den överförda data och ingen mellanhand kan se den.

TLS används oftast som en del av HTTPS (SSL) i din webbläsare eftersom förfrågningar skickas till säkra HTTP-servrar.

DNS-over-TLS (DNS över TLS, DoT) använder TLS-protokollet för att kryptera UDP-trafiken för vanliga DNS-förfrågningar.
Att kryptera dessa förfrågningar i vanlig text hjälper till att skydda användare eller program som gör förfrågningar från flera attacker.

  • MitM, eller "man i mitten": Utan kryptering kan det mellanliggande systemet mellan klienten och den auktoritativa DNS-servern eventuellt skicka falsk eller farlig information till klienten som svar på en begäran
  • Spionage och spårning: Utan att kryptera förfrågningar är det lätt för mellanprogramsystem att se vilka webbplatser en viss användare eller applikation har åtkomst till. Även om DNS ensam inte kommer att avslöja den specifika sida som besöks på en webbplats, räcker det att bara känna till de begärda domänerna för att skapa en profil för ett system eller en individ

DNS-säkerhetsguide
Källa: University of California Irvine

DoH - DNS över HTTPS

DNS-over-HTTPS (DNS över HTTPS, DoH) är ett experimentellt protokoll som marknadsförs gemensamt av Mozilla och Google. Dess mål liknar DoT-protokollet – förbättra människors integritet online genom att kryptera DNS-förfrågningar och svar.

Standard DNS-frågor skickas över UDP. Förfrågningar och svar kan spåras med hjälp av verktyg som t.ex Wireshark. DoT krypterar dessa förfrågningar, men de identifieras fortfarande som ganska distinkt UDP-trafik på nätverket.

DoH tar ett annat tillvägagångssätt och skickar krypterade värdnamnsupplösningsbegäranden över HTTPS-anslutningar, som ser ut som alla andra webbförfrågningar över nätverket.

Denna skillnad har mycket viktiga konsekvenser både för systemadministratörer och för framtiden för namnupplösning.

  1. DNS-filtrering är ett vanligt sätt att filtrera webbtrafik för att skydda användare från nätfiskeattacker, webbplatser som distribuerar skadlig programvara eller annan potentiellt skadlig internetaktivitet på ett företagsnätverk. DoH-protokollet kringgår dessa filter, vilket potentiellt utsätter användare och nätverket för större risker.
  2. I den nuvarande namnupplösningsmodellen tar varje enhet i nätverket mer eller mindre emot DNS-förfrågningar från samma plats (en specificerad DNS-server). DoH, och i synnerhet Firefoxs implementering av det, visar att detta kan komma att förändras i framtiden. Varje applikation på en dator kan ta emot data från olika DNS-källor, vilket gör felsökning, säkerhet och riskmodellering mycket mer komplex.

DNS-säkerhetsguide
Källa: www.varonis.com/blog/what-is-powershell

Vad är skillnaden mellan DNS över TLS och DNS över HTTPS?

Låt oss börja med DNS över TLS (DoT). Huvudpoängen här är att det ursprungliga DNS-protokollet inte ändras, utan helt enkelt överförs säkert över en säker kanal. DoH, å andra sidan, sätter DNS i HTTP-format innan förfrågningar görs.

DNS-övervakningsvarningar

DNS-säkerhetsguide

Möjligheten att effektivt övervaka DNS-trafik på ditt nätverk för misstänkta avvikelser är avgörande för att tidigt upptäcka ett intrång. Att använda ett verktyg som Varonis Edge ger dig möjligheten att hålla koll på alla viktiga mätvärden och skapa profiler för varje konto i ditt nätverk. Du kan konfigurera varningar som ska genereras som ett resultat av en kombination av åtgärder som inträffar under en viss tidsperiod.

Övervakning av DNS-ändringar, kontoplatser, förstagångsanvändning och åtkomst till känsliga data och aktivitet efter arbetstid är bara några mätvärden som kan korreleras för att skapa en bredare upptäcktsbild.

Källa: will.com

Lägg en kommentar