โปรโฮสต์ > บล็อก > การบริหาร > คู่มือความปลอดภัย DNS

คู่มือความปลอดภัย DNS

คู่มือความปลอดภัย DNS

ไม่ว่าบริษัทจะทำอะไร ความปลอดภัย DNS ควรเป็นส่วนสำคัญของแผนการรักษาความปลอดภัย บริการชื่อซึ่งแก้ไขชื่อโฮสต์เครือข่ายเป็นที่อยู่ IP ใช้งานโดยทุกแอปพลิเคชันและบริการบนเครือข่ายอย่างแท้จริง

หากผู้โจมตีเข้าควบคุม DNS ขององค์กรได้ พวกเขาสามารถ:

  • ให้ตัวเองควบคุมทรัพยากรที่เป็นสาธารณสมบัติ
  • เปลี่ยนเส้นทางอีเมลขาเข้า ตลอดจนคำขอเว็บและความพยายามในการตรวจสอบสิทธิ์
  • สร้างและตรวจสอบใบรับรอง SSL/TLS

คู่มือนี้ดูที่ความปลอดภัยของ DNS จากสองมุมมอง:

  1. ตรวจสอบและควบคุม DNS อย่างต่อเนื่อง
  2. วิธีที่โปรโตคอล DNS ใหม่ เช่น DNSSEC, DOH และ DoT สามารถช่วยปกป้องความสมบูรณ์และความลับของคำขอ DNS ที่ส่ง

ความปลอดภัยของ DNS คืออะไร?

คู่มือความปลอดภัย DNS

มีสององค์ประกอบที่สำคัญในแนวคิดของการรักษาความปลอดภัย DNS:

  1. ตรวจสอบความสมบูรณ์โดยรวมและความพร้อมใช้งานของบริการ DNS ที่แก้ไขชื่อโฮสต์เครือข่ายเป็นที่อยู่ IP
  2. ตรวจสอบกิจกรรม DNS เพื่อระบุปัญหาด้านความปลอดภัยที่อาจเกิดขึ้นได้ทุกที่ในเครือข่ายของคุณ

เหตุใด DNS จึงเสี่ยงต่อการถูกโจมตี

เทคโนโลยี DNS ถูกสร้างขึ้นในยุคแรก ๆ ของอินเทอร์เน็ต นานก่อนที่จะมีใครคิดถึงความปลอดภัยของเครือข่ายด้วยซ้ำ DNS ทำงานโดยไม่มีการพิสูจน์ตัวตนและการเข้ารหัส ประมวลผลคำขอจากผู้ใช้ใดๆ แบบสุ่มสี่สุ่มห้า

ในเรื่องนี้ มีหลายวิธีในการหลอกลวงผู้ใช้และข้อมูลปลอมเกี่ยวกับตำแหน่งที่ดำเนินการแก้ไขชื่อไปยังที่อยู่ IP

ปัญหาด้านความปลอดภัย DNS และส่วนประกอบ

คู่มือความปลอดภัย DNS

ความปลอดภัยของ DNS ประกอบด้วยพื้นฐานหลายประการ ส่วนประกอบซึ่งแต่ละอย่างจะต้องนำมาพิจารณาเพื่อให้แน่ใจว่ามีการป้องกันอย่างเต็มที่:

  • เสริมสร้างความปลอดภัยของเซิร์ฟเวอร์และขั้นตอนการจัดการ: เพิ่มความปลอดภัยของเซิร์ฟเวอร์และสร้างเทมเพลตการว่าจ้างมาตรฐาน
  • การปรับปรุงโปรโตคอล: ใช้ DNSSEC, DoT หรือ DoH
  • การวิเคราะห์และการรายงาน: เพิ่มบันทึกเหตุการณ์ DNS ในระบบ SIEM ของคุณสำหรับบริบทเพิ่มเติมเมื่อตรวจสอบเหตุการณ์
  • ความฉลาดทางไซเบอร์และการตรวจจับภัยคุกคาม: สมัครสมาชิกฟีดข่าวกรองภัยคุกคามที่ใช้งานอยู่
  • ระบบอัตโนมัติ: สร้างสคริปต์มากที่สุดเท่าที่จะเป็นไปได้เพื่อทำให้กระบวนการเป็นไปโดยอัตโนมัติ

ส่วนประกอบระดับสูงข้างต้นเป็นเพียงส่วนเล็ก ๆ ของภูเขาน้ำแข็งความปลอดภัย DNS ในส่วนถัดไป เราจะพิจารณากรณีการใช้งานที่เฉพาะเจาะจงมากขึ้นและแนวทางปฏิบัติที่ดีที่สุดที่คุณต้องทราบ

การโจมตี DNS

คู่มือความปลอดภัย DNS

  • การปลอมแปลง DNS หรือแคชเป็นพิษ: ใช้ประโยชน์จากช่องโหว่ของระบบเพื่อจัดการแคช DNS เพื่อเปลี่ยนเส้นทางผู้ใช้ไปยังตำแหน่งอื่น
  • การขุดอุโมงค์ DNS: ส่วนใหญ่ใช้เพื่อข้ามการป้องกันการเชื่อมต่อระยะไกล
  • การสกัดกั้น DNS: เปลี่ยนเส้นทางการรับส่งข้อมูล DNS ปกติไปยังเซิร์ฟเวอร์ DNS เป้าหมายอื่นโดยเปลี่ยนผู้รับจดทะเบียนโดเมน
  • การโจมตี NXDOMAIN: ดำเนินการโจมตี DDoS บนเซิร์ฟเวอร์ DNS ที่มีสิทธิ์โดยส่งการสืบค้นโดเมนที่ไม่ถูกต้องเพื่อรับการตอบกลับแบบบังคับ
  • โดเมนผี: ทำให้ตัวแก้ไข DNS รอการตอบกลับจากโดเมนที่ไม่มีอยู่จริง ส่งผลให้ประสิทธิภาพต่ำ
  • โจมตีโดเมนย่อยแบบสุ่ม: โฮสต์ที่ถูกแฮ็กและบอตเน็ต DDoS โดเมนจริง แต่มุ่งเน้นไปที่โดเมนย่อยปลอมเพื่อบังคับให้เซิร์ฟเวอร์ DNS ค้นหาบันทึกและเข้าควบคุมบริการ
  • การปิดกั้นโดเมน: กำลังส่งการตอบกลับสแปมจำนวนมากเพื่อบล็อกทรัพยากรเซิร์ฟเวอร์ DNS
  • การโจมตีบอตเน็ตจากอุปกรณ์ของผู้ใช้: คอลเลกชันของคอมพิวเตอร์ โมเด็ม เราเตอร์ และอุปกรณ์อื่น ๆ ที่รวมพลังการประมวลผลไว้ที่เว็บไซต์ใดเว็บไซต์หนึ่งเพื่อโอเวอร์โหลดด้วยคำขอการรับส่งข้อมูล

การโจมตี DNS

การโจมตีที่ใช้ DNS เพื่อโจมตีระบบอื่น (เช่น การเปลี่ยนระเบียน DNS ไม่ใช่เป้าหมายสุดท้าย):

  • ฟลักซ์อย่างรวดเร็ว
  • เครือข่ายฟลักซ์เดียว
  • เครือข่ายดูอัลฟลักซ์
  • การขุดอุโมงค์ DNS

การโจมตี DNS

การโจมตีที่ส่งคืนที่อยู่ IP ที่ผู้โจมตีต้องการจากเซิร์ฟเวอร์ DNS:

  • การปลอมแปลง DNS หรือแคชเป็นพิษ
  • การสกัดกั้น DNS

DNSSEC คืออะไร

คู่มือความปลอดภัย DNS

DNSSEC - Domain Name Service Security Modules - ใช้เพื่อตรวจสอบระเบียน DNS โดยไม่ต้องทราบข้อมูลทั่วไปสำหรับแต่ละคำขอ DNS ที่เฉพาะเจาะจง

DNSSEC ใช้ Digital Signature Keys (PKI) เพื่อตรวจสอบว่าผลลัพธ์ของการค้นหาชื่อโดเมนมาจากแหล่งที่มาที่ถูกต้อง
การนำ DNSSEC ไปใช้ไม่ได้เป็นเพียงแนวทางปฏิบัติที่ดีที่สุดในอุตสาหกรรมเท่านั้น แต่ยังช่วยหลีกเลี่ยงการโจมตี DNS ส่วนใหญ่ได้อย่างมีประสิทธิภาพอีกด้วย

DNSSEC ทำงานอย่างไร

DNSSEC ทำงานคล้ายกับ TLS/HTTPS โดยใช้คู่คีย์สาธารณะ/ส่วนตัวเพื่อเซ็นบันทึก DNS แบบดิจิทัล ภาพรวมทั่วไปของกระบวนการ:

  1. ระเบียน DNS ลงนามด้วยคู่คีย์ส่วนตัวและคีย์ส่วนตัว
  2. การตอบสนองต่อการค้นหา DNSSEC ประกอบด้วยรายการที่ร้องขอ เช่นเดียวกับลายเซ็นและรหัสสาธารณะ
  3. แล้วก็ รหัสสาธารณะ ใช้เพื่อเปรียบเทียบความถูกต้องของบันทึกและลายเซ็น

ความปลอดภัยของ DNS และ DNSSEC

คู่มือความปลอดภัย DNS

DNSSEC เป็นเครื่องมือสำหรับตรวจสอบความสมบูรณ์ของการสืบค้น DNS ไม่ส่งผลกระทบต่อความเป็นส่วนตัวของ DNS กล่าวอีกนัยหนึ่ง DNSSEC สามารถให้คุณมั่นใจได้ว่าคำตอบสำหรับการค้นหา DNS ของคุณไม่ได้ถูกปลอมแปลง แต่ผู้โจมตีทุกคนสามารถเห็นผลลัพธ์ตามที่ส่งถึงคุณ

DoT - DNS บน TLS

Transport Layer Security (TLS) เป็นโปรโตคอลเข้ารหัสสำหรับปกป้องข้อมูลที่ส่งผ่านการเชื่อมต่อเครือข่าย เมื่อสร้างการเชื่อมต่อ TLS ที่ปลอดภัยระหว่างไคลเอ็นต์และเซิร์ฟเวอร์แล้ว ข้อมูลที่ส่งจะถูกเข้ารหัสและไม่มีคนกลางสามารถเห็นได้

TLS ส่วนใหญ่ใช้เป็นส่วนหนึ่งของ HTTPS (SSL) ในเว็บเบราว์เซอร์ของคุณ เนื่องจากคำขอถูกส่งไปยังเซิร์ฟเวอร์ HTTP ที่ปลอดภัย

DNS-over-TLS (DNS over TLS, DoT) ใช้โปรโตคอล TLS เพื่อเข้ารหัสการรับส่งข้อมูล UDP สำหรับการสืบค้น DNS ปกติ
การเข้ารหัสคำขอเหล่านี้ในรูปแบบข้อความล้วนช่วยปกป้องผู้ใช้หรือแอปพลิเคชันที่สร้างคำขอจากการโจมตีหลายครั้ง

  • MitM หรือ "ชายที่อยู่ตรงกลาง": หากไม่มีการเข้ารหัส ระบบที่เป็นสื่อกลางระหว่างไคลเอนต์และเซิร์ฟเวอร์ DNS ที่เชื่อถือได้อาจส่งข้อมูลเท็จหรือเป็นอันตรายไปยังไคลเอนต์เพื่อตอบสนองคำขอ
  • การจารกรรมและการติดตาม: หากไม่มีการร้องขอการเข้ารหัส ระบบระดับกลางจะดูได้ง่ายว่าผู้ใช้หรือแอปพลิเคชันใดกำลังเข้าถึงไซต์ใด แม้ว่า DNS เพียงอย่างเดียวจะไม่สามารถทราบหน้าเว็บเฉพาะที่เยี่ยมชมบนไซต์ได้ แต่การรู้โดเมนที่ร้องขอก็เพียงพอที่จะสร้างโปรไฟล์ของระบบหรือบุคคล

คู่มือความปลอดภัย DNS
ที่มา: มหาวิทยาลัยแห่งแคลิฟอร์เนียเออร์ไวน์

DoH - DNS ผ่าน HTTPS

DNS-over-HTTPS (DNS over HTTPS, DoH) เป็นโปรโตคอลทดลองที่ได้รับการส่งเสริมร่วมกันโดย Mozilla และ Google เป้าหมายคล้ายกับโปรโตคอล DoT คือการเพิ่มความเป็นส่วนตัวของผู้คนบนอินเทอร์เน็ตโดยการเข้ารหัสคำขอ DNS และการตอบกลับ

การสืบค้น DNS มาตรฐานจะถูกส่งผ่าน UDP สามารถติดตามคำขอและการตอบสนองโดยใช้เครื่องมือต่างๆ เช่น Wireshark. DoT เข้ารหัสคำขอเหล่านี้ แต่ยังคงระบุว่าเป็นการรับส่งข้อมูล UDP ที่ค่อนข้างชัดเจนบนเครือข่าย

DoH ใช้วิธีการที่แตกต่างออกไปและส่งคำขอแก้ไขชื่อโฮสต์ที่เข้ารหัสผ่านการเชื่อมต่อ HTTPS ที่ดูเหมือนคำขอเว็บอื่นๆ ผ่านเครือข่าย

ความแตกต่างนี้มีนัยที่สำคัญมากสำหรับทั้งผู้ดูแลระบบและการจำแนกชื่อในอนาคต

  1. การกรอง DNS เป็นวิธีทั่วไปในการกรองการเข้าชมเว็บเพื่อปกป้องผู้ใช้จากการโจมตีแบบฟิชชิ่ง ไซต์มัลแวร์ หรือกิจกรรมทางอินเทอร์เน็ตที่อาจเป็นอันตรายอื่นๆ บนเครือข่ายองค์กร โปรโตคอล DoH ข้ามตัวกรองเหล่านี้ ซึ่งอาจทำให้ผู้ใช้และเครือข่ายมีความเสี่ยงสูงขึ้น
  2. ในรูปแบบการแก้ไขชื่อปัจจุบัน ทุกอุปกรณ์ในเครือข่าย ได้รับคำขอ DNS จากตำแหน่งที่ตั้งเดียวกัน (จากเซิร์ฟเวอร์ DNS ที่ระบุ) ในระดับหนึ่ง DoH และโดยเฉพาะอย่างยิ่งการใช้งานของ Firefox แสดงให้เห็นว่าสิ่งนี้อาจเปลี่ยนแปลงได้ในอนาคต แต่ละแอปพลิเคชันบนคอมพิวเตอร์สามารถรับข้อมูลจากแหล่ง DNS ที่แตกต่างกัน ทำให้การแก้ไขปัญหา ความปลอดภัย และการสร้างแบบจำลองความเสี่ยงยากขึ้นมาก

คู่มือความปลอดภัย DNS
ที่มา: www.varonis.com/blog/what-is-powershell

DNS บน TLS และ DNS บน HTTPS แตกต่างกันอย่างไร

เริ่มกันที่ DNS ผ่าน TLS (DoT) จุดเน้นที่นี่คือโปรโตคอล DNS ดั้งเดิมไม่ได้ถูกดัดแปลง แต่เพียงแค่ส่งอย่างปลอดภัยผ่านช่องทางที่ปลอดภัย DoH ทำให้ DNS อยู่ในรูปแบบ HTTP ก่อนที่จะทำการร้องขอ

การแจ้งเตือนการตรวจสอบ DNS

คู่มือความปลอดภัย DNS

ความสามารถในการตรวจสอบการรับส่งข้อมูล DNS บนเครือข่ายของคุณอย่างมีประสิทธิภาพเพื่อหาความผิดปกติที่น่าสงสัยนั้นมีความสำคัญต่อการตรวจพบการละเมิดตั้งแต่เนิ่นๆ การใช้เครื่องมือเช่น Varonis Edge จะช่วยให้คุณติดตามเมตริกที่สำคัญทั้งหมดและสร้างโปรไฟล์สำหรับทุกบัญชีในเครือข่ายของคุณ คุณสามารถตั้งค่าการแจ้งเตือนให้สร้างจากผลรวมของการกระทำที่เกิดขึ้นในช่วงเวลาหนึ่ง

การตรวจสอบการเปลี่ยนแปลง DNS ตำแหน่งบัญชี และการใช้งานครั้งแรกและการเข้าถึงข้อมูลที่ละเอียดอ่อน และกิจกรรมนอกเวลาทำการเป็นเพียงตัวชี้วัดบางส่วนที่สามารถเปรียบเทียบเพื่อสร้างภาพรวมของการตรวจจับที่กว้างขึ้น

ที่มา: will.com

เพิ่มความคิดเห็น