Chochote ambacho kampuni inafanya, usalama DNS inapaswa kuwa sehemu muhimu ya mpango wake wa usalama. Huduma za majina, ambazo hutatua majina ya wapangishaji kwa anwani za IP, hutumiwa na karibu kila programu na huduma kwenye mtandao.
Mshambulizi akipata udhibiti wa DNS ya shirika, anaweza kwa urahisi:
jipe udhibiti wa rasilimali zinazoshirikiwa
elekeza barua pepe zinazoingia pamoja na maombi ya wavuti na majaribio ya uthibitishaji
kuunda na kuthibitisha vyeti vya SSL/TLS
Mwongozo huu unaangalia usalama wa DNS kutoka pembe mbili:
Kufanya ufuatiliaji na udhibiti endelevu wa DNS
Jinsi itifaki mpya za DNS kama vile DNSSEC, DOH na DoT zinaweza kusaidia kulinda uadilifu na usiri wa maombi ya DNS yanayotumwa.
Usalama wa DNS ni nini?
Dhana ya usalama wa DNS inajumuisha vipengele viwili muhimu:
Kuhakikisha uadilifu wa jumla na upatikanaji wa huduma za DNS zinazotatua majina ya wapangishaji kwa anwani za IP
Fuatilia shughuli za DNS ili kutambua masuala ya usalama yanayoweza kutokea popote kwenye mtandao wako
Kwa nini DNS iko katika hatari ya kushambuliwa?
Teknolojia ya DNS iliundwa katika siku za mwanzo za Mtandao, muda mrefu kabla ya mtu yeyote hata kuanza kufikiria juu ya usalama wa mtandao. DNS hufanya kazi bila uthibitishaji au usimbaji fiche, inachakata kwa upofu maombi kutoka kwa mtumiaji yeyote.
Kwa sababu hii, kuna njia nyingi za kudanganya mtumiaji na kughushi habari kuhusu mahali ambapo azimio la majina kwa anwani za IP hufanyika.
Usalama wa DNS: Masuala na Vipengele
Usalama wa DNS unajumuisha mambo kadhaa ya msingi vipengele, ambayo kila moja lazima izingatiwe ili kuhakikisha ulinzi kamili:
Kuimarisha usalama wa seva na taratibu za usimamizi: ongeza kiwango cha usalama wa seva na uunda kiolezo cha kawaida cha kuwaagiza
Maboresho ya itifaki: tekeleza DNSSEC, DoT au DoH
Uchanganuzi na kuripoti: ongeza kumbukumbu ya tukio la DNS kwenye mfumo wako wa SIEM kwa muktadha wa ziada unapochunguza matukio
Upelelezi wa Cyber ββββna Utambuzi wa Tishio: jiandikishe kwa mpasho unaotumika wa kijasusi wa tishio
Otomatiki: unda maandishi mengi iwezekanavyo ili kubinafsisha michakato
Vipengee vya kiwango cha juu vilivyotajwa hapo juu ni kidokezo tu cha usalama wa DNS. Katika sehemu inayofuata, tutazame kwenye visa maalum vya utumiaji na mbinu bora unazohitaji kujua kuzihusu.
Mashambulizi ya DNS
DNS spoofing au cache sumu: kutumia hatari ya mfumo kudanganya akiba ya DNS ili kuelekeza watumiaji kwenye eneo lingine.
Utekaji nyara wa DNS: kuelekeza trafiki ya kawaida ya DNS kwa seva tofauti ya DNS inayolengwa kwa kubadilisha msajili wa kikoa
Shambulio la NXDOMAIN: kufanya shambulio la DDoS kwenye seva iliyoidhinishwa ya DNS kwa kutuma maswali ya kikoa kisicho halali ili kupata jibu la kulazimishwa.
kikoa cha phantom: husababisha kisuluhishi cha DNS kusubiri jibu kutoka kwa vikoa ambavyo havipo, na kusababisha utendakazi duni
shambulio kwenye kikoa kidogo: wapangishi na roboti zilizoathiriwa huzindua shambulio la DDoS kwenye kikoa halali, lakini huelekeza moto wao kwenye vikoa vidogo bandia ili kulazimisha seva ya DNS kutafuta rekodi na kudhibiti huduma.
kuzuia kikoa: inatuma majibu mengi ya barua taka ili kuzuia rasilimali za seva ya DNS
Shambulio la Botnet kutoka kwa vifaa vya mteja: mkusanyiko wa kompyuta, modemu, vipanga njia na vifaa vingine vinavyozingatia nguvu za kompyuta kwenye tovuti maalum ili kuzipakia kwa maombi ya trafiki.
Mashambulizi ya DNS
Mashambulizi ambayo kwa njia fulani hutumia DNS kushambulia mifumo mingine (yaani kubadilisha rekodi za DNS sio lengo la mwisho):
Mashambulizi ambayo husababisha anwani ya IP inayohitajika na mvamizi kurejeshwa kutoka kwa seva ya DNS:
DNS spoofing au cache sumu
Utekaji nyara wa DNS
DNSSEC ni nini?
DNSSEC - Injini za Usalama za Huduma ya Jina la Kikoa - hutumika kuthibitisha rekodi za DNS bila kuhitaji kujua maelezo ya jumla kwa kila ombi mahususi la DNS.
DNSSEC hutumia Vifunguo vya Sahihi Dijitali (PKIs) ili kuthibitisha kama matokeo ya hoja ya jina la kikoa yalitoka kwa chanzo halali.
Utekelezaji wa DNSSEC sio tu mazoezi bora ya tasnia, lakini pia ni mzuri katika kuzuia mashambulio mengi ya DNS.
Jinsi DNSSEC inavyofanya kazi
DNSSEC hufanya kazi sawa na TLS/HTTPS, kwa kutumia jozi za funguo za umma na za kibinafsi kusaini kidijitali rekodi za DNS. Muhtasari wa jumla wa mchakato:
Rekodi za DNS hutiwa saini na jozi ya ufunguo wa kibinafsi na wa kibinafsi
Majibu kwa hoja za DNSSEC yana rekodi iliyoombwa pamoja na sahihi na ufunguo wa umma
Kisha ufunguo wa umma hutumika kulinganisha uhalisi wa rekodi na saini
Usalama wa DNS na DNSSEC
DNSSEC ni zana ya kuangalia uadilifu wa hoja za DNS. Haiathiri faragha ya DNS. Kwa maneno mengine, DNSSEC inaweza kukupa imani kwamba jibu la swali lako la DNS halijachezewa, lakini mvamizi yeyote anaweza kuona matokeo hayo jinsi yalivyotumwa kwako.
DoT - DNS juu ya TLS
Usalama wa Tabaka la Usafiri (TLS) ni itifaki ya kriptografia ya kulinda taarifa zinazotumwa kupitia muunganisho wa mtandao. Baada ya muunganisho salama wa TLS kuanzishwa kati ya mteja na seva, data inayotumwa husimbwa kwa njia fiche na hakuna mpatanishi anayeweza kuiona.
TLS inayotumika zaidi kama sehemu ya HTTPS (SSL) kwenye kivinjari chako cha wavuti kwa sababu maombi hutumwa ili kulinda seva za HTTP.
DNS-over-TLS (DNS juu ya TLS, DoT) hutumia itifaki ya TLS kusimba trafiki ya UDP ya maombi ya kawaida ya DNS.
Kusimba maombi haya kwa maandishi rahisi husaidia kulinda watumiaji au programu zinazotuma maombi kutokana na mashambulizi kadhaa.
MitM, au "mtu katikati": Bila usimbaji fiche, mfumo wa kati kati ya mteja na seva iliyoidhinishwa ya DNS inaweza kutuma taarifa za uwongo au hatari kwa mteja kwa kujibu ombi.
Ujasusi na ufuatiliaji: Bila maombi ya usimbaji fiche, ni rahisi kwa mifumo ya vifaa vya kati kuona ni tovuti zipi mtumiaji au programu fulani inafikia. Ingawa DNS pekee haitafichua ukurasa mahususi unaotembelewa kwenye tovuti, kujua tu vikoa vilivyoombwa kunatosha kuunda wasifu wa mfumo au mtu binafsi.
DNS-over-HTTPS (DNS juu ya HTTPS, DoH) ni itifaki ya majaribio inayokuzwa kwa pamoja na Mozilla na Google. Malengo yake ni sawa na itifaki ya DoTβkuboresha faragha ya watu mtandaoni kwa kusimba maombi na majibu ya DNS.
Hoja za kawaida za DNS hutumwa kupitia UDP. Maombi na majibu yanaweza kufuatiliwa kwa kutumia zana kama vile Wireshark. DoT husimba maombi haya kwa njia fiche, lakini bado yanatambuliwa kama trafiki tofauti kabisa ya UDP kwenye mtandao.
DoH inachukua mbinu tofauti na kutuma maombi ya utatuzi wa jina la mpangishi uliosimbwa kwa njia fiche kupitia miunganisho ya HTTPS, ambayo inaonekana kama ombi lingine lolote la wavuti kwenye mtandao.
Tofauti hii ina athari muhimu sana kwa wasimamizi wa mfumo na kwa siku zijazo za azimio la jina.
Uchujaji wa DNS ni njia ya kawaida ya kuchuja trafiki ya wavuti ili kulinda watumiaji dhidi ya mashambulizi ya hadaa, tovuti zinazosambaza programu hasidi, au shughuli zingine zinazoweza kudhuru za mtandao kwenye mtandao wa shirika. Itifaki ya DoH hupita vichujio hivi, na hivyo kuwaweka watumiaji na mtandao kwenye hatari kubwa zaidi.
Katika muundo wa sasa wa utatuzi wa jina, kila kifaa kwenye mtandao zaidi au kidogo hupokea hoja za DNS kutoka eneo moja (seva maalum ya DNS). DoH, na haswa utekelezaji wa Firefox yake, inaonyesha kuwa hii inaweza kubadilika katika siku zijazo. Kila programu kwenye kompyuta inaweza kupokea data kutoka kwa vyanzo tofauti vya DNS, na kufanya utatuzi, usalama, na muundo wa hatari kuwa mgumu zaidi.
Kuna tofauti gani kati ya DNS juu ya TLS na DNS juu ya HTTPS?
Wacha tuanze na DNS kupitia TLS (DoT). Jambo kuu hapa ni kwamba itifaki ya awali ya DNS haibadilishwa, lakini inapitishwa kwa usalama juu ya njia salama. DoH, kwa upande mwingine, huweka DNS katika umbizo la HTTP kabla ya kufanya maombi.
Tahadhari za Ufuatiliaji wa DNS
Uwezo wa kufuatilia vyema trafiki ya DNS kwenye mtandao wako kwa hitilafu zinazotiliwa shaka ni muhimu ili kutambua mapema ukiukaji. Kutumia zana kama Varonis Edge itakupa uwezo wa kukaa juu ya vipimo vyote muhimu na kuunda wasifu kwa kila akaunti kwenye mtandao wako. Unaweza kusanidi arifa zitakazozalishwa kutokana na mchanganyiko wa vitendo vinavyotokea kwa kipindi fulani cha muda.
Kufuatilia mabadiliko ya DNS, maeneo ya akaunti, matumizi ya mara ya kwanza na ufikiaji wa data nyeti, na shughuli za baada ya saa za kazi ni vipimo vichache tu vinavyoweza kuunganishwa ili kuunda picha pana ya utambuzi.