Дастури амнияти DNS

Новобаста аз он ки ширкат чӣ кор мекунад, амният DNS бояд кисми таркибии плани бехатарии он бошад. Хидматҳои ном, ки номҳои мизбонро ба суроғаҳои IP ҳал мекунанд, аз ҷониби ҳама барномаҳо ва хидматҳо дар шабака истифода мешаванд.

Агар ҳамлакунанда назорати DNS-и созмонро ба даст орад, ӯ метавонад ба осонӣ:

• худро ба захираҳои муштарак назорат кунед
• фиристодани мактубҳои воридотӣ, инчунин дархостҳои веб ва кӯшишҳои аутентификатсия
• эҷод ва тасдиқи шаҳодатномаҳои SSL/TLS

Ин дастур ба амнияти DNS аз ду ҷониб назар мекунад:

1. Мониторинги доимӣ ва назорати DNS
2. Чӣ гуна протоколҳои нави DNS, ба монанди DNSSEC, DOH ва DoT метавонанд ба ҳифзи якпорчагӣ ва махфияти дархостҳои DNS интиқол додашуда кӯмак расонанд

Амнияти DNS чист?

Консепсияи амнияти DNS ду ҷузъи муҳимро дар бар мегирад:

1. Таъмини якпорчагӣ ва дастрасии хидматҳои DNS, ки номҳои мизбонро ба суроғаҳои IP ҳал мекунанд
2. Фаъолияти DNS-ро назорат кунед, то мушкилоти эҳтимолии амниятиро дар ҳама ҷо дар шабакаи шумо муайян кунед

Чаро DNS ба ҳамлаҳо осебпазир аст?

Технологияи DNS дар рӯзҳои аввали Интернет, хеле пеш аз он, ки касе ҳатто дар бораи амнияти шабака фикр кунад, офарида шудааст. DNS бе аутентификатсия ё рамзгузорӣ кор мекунад ва дархостҳои ҳама корбарро кӯр-кӯрона коркард мекунад.

Аз ин сабаб, роҳҳои зиёде барои фиреб додани корбар ва бардурӯғ кардани маълумот дар бораи он, ки ҳалли номҳо ба суроғаҳои IP воқеан дар куҷо сурат мегирад, вуҷуд дорад.

Амнияти DNS: Масъалаҳо ва ҷузъҳо

Амнияти DNS аз якчанд асосӣ иборат аст ҷузъҳо, ки ҳар кадоми онҳо бояд барои таъмини ҳифзи пурра ба назар гирифта шаванд:

• Таҳкими тартиботи амният ва идоракунии сервер: баланд бардоштани сатҳи амнияти сервер ва эҷоди як қолаби ба истифода додани стандарти
• Такмили протокол: DNSSEC, DoT ё DoH татбиқ кунед
• Таҳлил ва ҳисоботдиҳӣ: Барои контексти иловагӣ ҳангоми таҳқиқи ҳодисаҳо сабти рӯйдодҳои DNS-ро ба системаи SIEM-и худ илова кунед
• Кибер иктишофӣ ва ошкор кардани таҳдидҳо: ба канали фаъоли иктишофии таҳдид обуна шавед
• Автоматизатсия: Барои автоматикунонии равандҳо ҳарчи бештар скриптҳо эҷод кунед

Ҷузъҳои дар боло зикршуда танҳо нӯги айсберги амнияти DNS мебошанд. Дар фасли оянда, мо ба ҳолатҳои мушаххаси истифода ва таҷрибаҳои беҳтарин, ки шумо бояд дар бораи он донед, меомӯзем.

ҳамлаҳои DNS

• Қаллобии DNS ё заҳролудшавии кэш: истифода аз осебпазирии система барои коркарди кэши DNS барои масири корбарон ба макони дигар
• нақби DNS: асосан барои гузаштан аз муҳофизати пайвасти дурдаст истифода мешавад
• Раббии DNS: равона кардани трафики муқаррарии DNS ба сервери дигари ҳадафи DNS тавассути тағир додани сабти домен
• Ҳамлаи NXDOMAIN: гузаронидани ҳамлаи DDoS ба сервери бонуфузи DNS тавассути фиристодани дархостҳои домени ғайриқонунӣ барои гирифтани посухи маҷбурӣ
• домени фантом: боиси он мегардад, ки ҳалкунандаи DNS мунтазири посух аз доменҳои мавҷуд нест, ки дар натиҷа кори суст мешавад
• ҳамла ба зердомени тасодуфӣ: Хостҳо ва ботнетҳои осебдида ҳамлаи DDoS-ро ба домени дуруст оғоз мекунанд, аммо оташи худро ба зердоменҳои қалбакӣ равона мекунанд, то сервери DNS-ро маҷбур кунанд, ки сабтҳоро ҷустуҷӯ кунанд ва хидматро назорат кунанд.
• бастани домен: барои бастани захираҳои сервери DNS ҷавобҳои сершумори спам мефиристад
• Ҳамлаи ботнет аз таҷҳизоти муштарӣ: маҷмӯи компютерҳо, модемҳо, роутерҳо ва дигар дастгоҳҳо, ки қудрати ҳисоббарориро дар вебсайти мушаххас мутамарказ мекунанд, то онро бо дархостҳои трафик аз ҳад зиёд пур кунанд.

ҳамлаҳои DNS

Ҳамлаҳое, ки DNS-ро барои ҳамла ба системаҳои дигар истифода мебаранд (яъне тағир додани сабтҳои DNS ҳадафи ниҳоӣ нест):

• Fast-Flux
• Шабакаҳои ягонаи флюс
• Шабакаҳои дукарата флюс
• нақби DNS

ҳамлаҳои DNS

Ҳамлаҳое, ки боиси он мешаванд, ки суроғаи IP-и ба ҳамлакунанда аз сервери DNS баргардонида шавад:

• Қаллобии DNS ё заҳролудшавии кэш
• Раббии DNS

DNSSEC чист?

DNSSEC - Муҳаррикҳои Амнияти Номи Доменҳо - барои тасдиқи сабтҳои DNS бидуни донистани маълумоти умумӣ барои ҳар як дархости мушаххаси DNS истифода мешаванд.

DNSSEC калидҳои имзои рақамиро (PKIs) истифода мебарад, то тафтиш кунад, ки оё натиҷаҳои дархости номи домен аз манбаи дуруст омадаанд.
Татбиқи DNSSEC на танҳо як таҷрибаи беҳтарини соҳа аст, балки барои пешгирӣ кардани аксари ҳамлаҳои DNS низ самаранок аст.

Чӣ тавр DNSSEC кор мекунад

DNSSEC шабеҳ ба TLS/HTTPS кор мекунад, бо истифода аз ҷуфтҳои калидҳои ҷамъиятӣ ва хусусӣ барои ба таври рақамӣ имзо кардани сабтҳои DNS. Шарҳи умумии раванд:

1. Сабтҳои DNS бо як ҷуфт калидҳои хусусӣ ва хусусӣ имзо карда мешаванд
2. Ҷавобҳо ба дархостҳои DNSSEC сабти дархостшуда, инчунин имзо ва калиди оммавиро дар бар мегиранд
3. баъд калиди ҷамъиятӣ барои муқоисаи ҳақиқии сабт ва имзо истифода мешавад

Амнияти DNS ва DNSSEC

DNSSEC абзорест барои тафтиши якпорчагии дархостҳои DNS. Он ба махфияти DNS таъсир намерасонад. Ба ибораи дигар, DNSSEC метавонад ба шумо итминон диҳад, ки ҷавоб ба дархости DNS-и шумо таҳрир нашудааст, аммо ҳар як ҳамлакунанда метавонад ин натиҷаҳоро ҳангоми фиристодани онҳо бубинад.

DoT - DNS бар TLS

Амнияти қабати нақлиётӣ (TLS) як протоколи криптографӣ барои ҳифзи иттилоотест, ки тавассути пайвасти шабака интиқол дода мешавад. Вақте ки пайвасти бехатари TLS байни муштарӣ ва сервер муқаррар карда мешавад, маълумоти интиқолшуда рамзгузорӣ мешавад ва ҳеҷ миёнарав онро дида наметавонад.

TLS маъмулан ҳамчун як қисми HTTPS (SSL) дар браузери веби шумо истифода мешавад, зеро дархостҳо ба серверҳои бехатари HTTP фиристода мешаванд.

DNS-over-TLS (DNS over TLS, DoT) протоколи TLS-ро барои рамзгузории трафики UDP-и дархостҳои муқаррарии DNS истифода мебарад.
Рамзгузорӣ кардани ин дархостҳо дар матни оддӣ ба муҳофизати корбарон ё барномаҳои дархосткунанда аз якчанд ҳамлаҳо кӯмак мекунад.

• MitM, ё "марди миёна": Бе рамзгузорӣ, системаи миёнарав байни муштарӣ ва сервери бонуфузи DNS метавонад дар посух ба дархост ба муштарӣ маълумоти бардурӯғ ё хатарнок фиристад
• Ҷосусӣ ва пайгирӣ: Бе рамзгузории дархостҳо, барои системаҳои миёнаравӣ дидан осон аст, ки корбар ё барномаи мушаххас ба кадом сайтҳо ворид мешавад. Гарчанде ки танҳо DNS саҳифаи мушаххасеро, ки дар вебсайт боздид карда мешавад, ошкор намекунад, танҳо донистани доменҳои дархостшуда барои эҷоди профили система ё шахси алоҳида кофӣ аст.

Манбаъ: Донишгоҳи Калифорния Ирвин

DoH - DNS тавассути HTTPS

DNS-over-HTTPS (DNS бар HTTPS, DoH) як протоколи таҷрибавӣ мебошад, ки якҷоя аз ҷониби Mozilla ва Google пешбарӣ шудаанд. Ҳадафҳои он ба протоколи DoT шабеҳанд - баланд бардоштани махфияти одамон тавассути рамзгузории дархостҳои DNS ва посухҳо.

Дархостҳои стандартии DNS тавассути UDP фиристода мешаванд. Дархостҳо ва посухҳоро метавон бо истифода аз абзорҳо, ба монанди Виршарк. DoT ин дархостҳоро рамзгузорӣ мекунад, аммо онҳо то ҳол ҳамчун трафики хеле фарқкунандаи UDP дар шабака муайян карда мешаванд.

DoH равиши дигарро пеш мегирад ва дархостҳои ҳалли рамзгузоришудаи номи мизбонро тавассути пайвастҳои HTTPS мефиристад, ки ба ҳама гуна дархостҳои веб дар шабака монанданд.

Ин фарқият ҳам барои маъмурони система ва ҳам барои ояндаи ҳалли номҳо аҳамияти хеле муҳим дорад.

1. Филтри DNS як роҳи маъмули филтр кардани трафики веб барои муҳофизати корбарон аз ҳамлаҳои фишинг, сайтҳое, ки нармафзори зараровар ё дигар фаъолиятҳои эҳтимолан зараровар дар шабакаи корпоративӣ мебошад. Протоколи DoH аз ин филтрҳо мегузарад ва эҳтимолан корбарон ва шабакаро ба хатари бештар дучор мекунад.
2. Дар модели ҷории ҳалли ном, ҳар як дастгоҳи шабака камтар ё камтар дархостҳои DNS-ро аз ҳамон макон (сервери муайяншудаи DNS) қабул мекунад. DoH ва махсусан татбиқи Firefox аз он нишон медиҳад, ки ин метавонад дар оянда тағир ёбад. Ҳар як замима дар компютер метавонад маълумотро аз манбаъҳои гуногуни DNS қабул кунад, ки ҳалли мушкилот, амният ва моделсозии хатарҳоро хеле мураккабтар мекунад.

Манбаъ: www.varonis.com/blog/what-is-powershell

Фарқи байни DNS бар TLS ва DNS бар HTTPS чист?

Биёед бо DNS тавассути TLS (DoT) оғоз кунем. Нуктаи асосӣ дар ин ҷо он аст, ки протоколи аслии DNS тағир дода намешавад, балки танҳо тавассути канали бехатар бехатар интиқол дода мешавад. Аз тарафи дигар, DoH пеш аз дархост кардан DNS-ро ба формати HTTP мегузорад.

Огоҳиҳои мониторинги DNS

Қобилияти самаранок назорат кардани трафики DNS дар шабакаи шумо барои аномалияҳои шубҳанок барои ошкор кардани барвақти вайронкунӣ муҳим аст. Истифодаи асбобе ба монанди Varonis Edge ба шумо имкон медиҳад, ки дар болои ҳама ченакҳои муҳим бимонед ва барои ҳар як ҳисоб дар шабакаи шумо профилҳо эҷод кунед. Шумо метавонед огоҳиҳоро танзим кунед, ки дар натиҷаи маҷмӯи амалҳое, ки дар тӯли як давраи муайян рух медиҳанд, тавлид шаванд.

Мониторинги тағироти DNS, ҷойгиршавии ҳисобҳо, бори аввал истифода ва дастрасӣ ба маълумоти ҳассос ва фаъолияти пас аз соат танҳо чанд ченакҳое мебошанд, ки метавонанд барои сохтани тасвири васеътари ошкор алоқаманд бошанд.

Манбаъ: will.com