Anuman ang gawin ng kumpanya, seguridad dapat maging mahalagang bahagi ng planong pangseguridad nito. Ang mga serbisyo ng pangalan, na nagresolba ng mga hostname sa mga IP address, ay ginagamit ng halos lahat ng application at serbisyo sa network.
Kung nakontrol ng isang umaatake ang DNS ng isang organisasyon, madali niyang magagawa:
- bigyan ang iyong sarili ng kontrol sa mga nakabahaging mapagkukunan
- i-redirect ang mga papasok na email pati na rin ang mga kahilingan sa web at mga pagtatangka sa pagpapatunay
- lumikha at mag-validate ng mga SSL/TLS certificate
Tinitingnan ng gabay na ito ang seguridad ng DNS mula sa dalawang anggulo:
- Nagsasagawa ng patuloy na pagsubaybay at kontrol sa DNS
- Paano makakatulong ang mga bagong DNS protocol gaya ng DNSSEC, DOH at DoT na protektahan ang integridad at pagiging kumpidensyal ng mga ipinadalang kahilingan sa DNS
Ano ang DNS security?
Kasama sa konsepto ng seguridad ng DNS ang dalawang mahalagang bahagi:
- Tinitiyak ang pangkalahatang integridad at kakayahang magamit ng mga serbisyo ng DNS na nagresolba ng mga hostname sa mga IP address
- Subaybayan ang aktibidad ng DNS upang matukoy ang mga posibleng isyu sa seguridad saanman sa iyong network
Bakit mahina ang DNS sa mga pag-atake?
Ang teknolohiya ng DNS ay nilikha sa mga unang araw ng Internet, bago pa man magsimulang mag-isip ang sinuman tungkol sa seguridad ng network. Gumagana ang DNS nang walang pagpapatunay o pag-encrypt, bulag na pinoproseso ang mga kahilingan mula sa sinumang user.
Dahil dito, maraming paraan para linlangin ang user at palsipikado ang impormasyon tungkol sa kung saan aktwal na nagaganap ang paglutas ng mga pangalan sa mga IP address.
Seguridad ng DNS: Mga Isyu at Mga Bahagi
Ang seguridad ng DNS ay binubuo ng ilang pangunahing piraso, ang bawat isa ay dapat isaalang-alang upang matiyak ang kumpletong proteksyon:
- Pagpapalakas ng seguridad ng server at mga pamamaraan ng pamamahala: pataasin ang antas ng seguridad ng server at lumikha ng karaniwang template ng pagkomisyon
- Mga pagpapahusay sa protocol: ipatupad ang DNSSEC, DoT o DoH
- Analytics at pag-uulat: magdagdag ng DNS event log sa iyong SIEM system para sa karagdagang konteksto kapag nag-iimbestiga ng mga insidente
- Cyber ββββIntelligence at Threat Detection: mag-subscribe sa isang aktibong feed ng intelligence ng pagbabanta
- Automation: lumikha ng maraming script hangga't maaari upang i-automate ang mga proseso
Ang nabanggit sa itaas na mga bahagi na may mataas na antas ay dulo lamang ng iceberg ng seguridad ng DNS. Sa susunod na seksyon, sumisid kami sa mas partikular na mga kaso ng paggamit at pinakamahuhusay na kagawian na kailangan mong malaman.
Mga pag-atake ng DNS
- : pagsasamantala sa isang kahinaan ng system upang manipulahin ang cache ng DNS upang i-redirect ang mga user sa ibang lokasyon
- : pangunahing ginagamit upang i-bypass ang mga proteksyon sa malayuang koneksyon
- Pag-hijack ng DNS: pag-redirect ng normal na trapiko ng DNS sa ibang target na DNS server sa pamamagitan ng pagpapalit ng domain registrar
- Pag-atake ng NXDOMAIN: pagsasagawa ng pag-atake ng DDoS sa isang awtoritatibong DNS server sa pamamagitan ng pagpapadala ng mga hindi lehitimong query sa domain upang makakuha ng sapilitang tugon
- phantom domain: nagiging sanhi ng paghihintay ng DNS resolver para sa tugon mula sa mga hindi umiiral na domain, na nagreresulta sa mahinang pagganap
- pag-atake sa isang random na subdomain: ang mga nakompromisong host at botnet ay naglulunsad ng pag-atake ng DDoS sa isang wastong domain, ngunit ituon ang kanilang sunog sa mga pekeng subdomain upang pilitin ang DNS server na maghanap ng mga talaan at kontrolin ang serbisyo
- pagharang ng domain: ay nagpapadala ng maraming tugon sa spam upang harangan ang mga mapagkukunan ng DNS server
- Pag-atake ng botnet mula sa kagamitan ng subscriber: isang koleksyon ng mga computer, modem, router, at iba pang device na nagtutuon ng kapangyarihan sa pag-compute sa isang partikular na website para ma-overload ito ng mga kahilingan sa trapiko
Mga pag-atake ng DNS
Mga pag-atake na kahit papaano ay gumagamit ng DNS upang atakehin ang iba pang mga system (ibig sabihin, ang pagpapalit ng mga tala ng DNS ay hindi ang layunin ng pagtatapos):
- Mabilis na pagkilos
- Mga Single Flux Network
- Mga Double Flux Network
Mga pag-atake ng DNS
Mga pag-atake na nagreresulta sa IP address na kailangan ng umaatake na ibinalik mula sa DNS server:
- DNS spoofing o cache poisoning
- Pag-hijack ng DNS
Ano ang DNSSEC?
DNSSEC - Domain Name Service Security Engines - ay ginagamit upang patunayan ang mga tala ng DNS nang hindi kinakailangang malaman ang pangkalahatang impormasyon para sa bawat partikular na kahilingan sa DNS.
Gumagamit ang DNSSEC ng Digital Signature Keys (mga PKI) upang i-verify kung ang mga resulta ng query sa domain name ay nagmula sa isang wastong pinagmulan.
Ang pagpapatupad ng DNSSEC ay hindi lamang isang pinakamahusay na kasanayan sa industriya, ngunit epektibo rin ito sa pag-iwas sa karamihan ng mga pag-atake ng DNS.
Paano gumagana ang DNSSEC
Ang DNSSEC ay gumagana katulad ng TLS/HTTPS, gamit ang pampubliko at pribadong mga pares ng key upang digital na lagdaan ang mga DNS record. Pangkalahatang pangkalahatang-ideya ng proseso:
- Ang mga tala ng DNS ay nilagdaan gamit ang isang pribadong-pribadong pares ng key
- Ang mga tugon sa mga query sa DNSSEC ay naglalaman ng hiniling na tala pati na rin ang lagda at pampublikong key
- Pagkatapos ginagamit upang ihambing ang pagiging tunay ng isang tala at isang lagda
DNS at DNSSEC Security
Ang DNSSEC ay isang tool para sa pagsuri sa integridad ng mga query sa DNS. Hindi ito nakakaapekto sa privacy ng DNS. Sa madaling salita, mabibigyan ka ng DNSSEC ng kumpiyansa na ang sagot sa iyong query sa DNS ay hindi pinakialaman, ngunit makikita ng sinumang umaatake ang mga resultang iyon habang ipinadala ang mga ito sa iyo.
DoT - DNS sa TLS
Ang Transport Layer Security (TLS) ay isang cryptographic protocol para sa pagprotekta sa impormasyong ipinadala sa isang koneksyon sa network. Kapag ang isang secure na koneksyon sa TLS ay naitatag sa pagitan ng kliyente at ng server, ang ipinadalang data ay naka-encrypt at walang tagapamagitan ang makakakita nito.
pinakakaraniwang ginagamit bilang bahagi ng HTTPS (SSL) sa iyong web browser dahil ipinapadala ang mga kahilingan upang ma-secure ang mga HTTP server.
Ginagamit ng DNS-over-TLS (DNS over TLS, DoT) ang TLS protocol upang i-encrypt ang trapiko ng UDP ng mga regular na kahilingan sa DNS.
Ang pag-encrypt ng mga kahilingang ito sa plain text ay nakakatulong na protektahan ang mga user o application na gumagawa ng mga kahilingan mula sa ilang mga pag-atake.
- MitM, o "lalaki sa gitna": Kung walang encryption, ang intermediate system sa pagitan ng client at ng authoritative DNS server ay posibleng magpadala ng mali o mapanganib na impormasyon sa client bilang tugon sa isang kahilingan
- Espionage at pagsubaybay: Nang walang mga kahilingan sa pag-encrypt, madali para sa mga middleware system na makita kung aling mga site ang ina-access ng isang partikular na user o application. Bagama't ang DNS lamang ay hindi maghahayag ng partikular na pahinang binibisita sa isang website, ang pag-alam lamang sa mga hiniling na domain ay sapat na upang lumikha ng isang profile ng isang system o isang indibidwal.
Pinagmulan:
DoH - DNS sa HTTPS
Ang DNS-over-HTTPS (DNS over HTTPS, DoH) ay isang pang-eksperimentong protocol na magkasamang itinataguyod ng Mozilla at Google. Ang mga layunin nito ay katulad ng DoT protocolβpagpapahusay ng privacy ng mga tao online sa pamamagitan ng pag-encrypt ng mga kahilingan at tugon ng DNS.
Ang mga karaniwang query sa DNS ay ipinapadala sa UDP. Maaaring masubaybayan ang mga kahilingan at tugon gamit ang mga tool tulad ng . Ini-encrypt ng DoT ang mga kahilingang ito, ngunit natukoy pa rin ang mga ito bilang medyo naiibang trapiko ng UDP sa network.
Gumagawa ang DoH ng ibang diskarte at nagpapadala ng mga naka-encrypt na kahilingan sa paglutas ng hostname sa mga koneksyon sa HTTPS, na mukhang anumang iba pang kahilingan sa web sa network.
Ang pagkakaibang ito ay may napakahalagang implikasyon para sa mga administrator ng system at para sa hinaharap ng paglutas ng pangalan.
- Ang pag-filter ng DNS ay isang karaniwang paraan upang i-filter ang trapiko sa web upang maprotektahan ang mga user mula sa mga pag-atake ng phishing, mga site na namamahagi ng malware, o iba pang potensyal na nakakapinsalang aktibidad sa Internet sa isang corporate network. Bina-bypass ng DoH protocol ang mga filter na ito, na posibleng maglantad sa mga user at network sa mas malaking panganib.
- Sa kasalukuyang modelo ng resolution ng pangalan, ang bawat device sa network ay mas marami o mas kaunti ay tumatanggap ng mga query sa DNS mula sa parehong lokasyon (isang tinukoy na DNS server). Ipinakikita ng DoH, at sa partikular na pagpapatupad nito ng Firefox, na maaaring magbago ito sa hinaharap. Ang bawat application sa isang computer ay maaaring makatanggap ng data mula sa iba't ibang mga pinagmumulan ng DNS, na ginagawang mas kumplikado ang pag-troubleshoot, seguridad, at pagmomodelo ng panganib.
Pinagmulan:
Ano ang pagkakaiba sa pagitan ng DNS sa TLS at DNS sa HTTPS?
Magsimula tayo sa DNS over TLS (DoT). Ang pangunahing punto dito ay ang orihinal na DNS protocol ay hindi binago, ngunit ligtas na ipinadala sa isang secure na channel. Ang DoH, sa kabilang banda, ay naglalagay ng DNS sa HTTP na format bago gumawa ng mga kahilingan.
Mga Alerto sa Pagsubaybay sa DNS
Ang kakayahang epektibong subaybayan ang trapiko ng DNS sa iyong network para sa mga kahina-hinalang anomalya ay mahalaga sa maagang pagtuklas ng isang paglabag. Ang paggamit ng tool tulad ng Varonis Edge ay magbibigay sa iyo ng kakayahang manatili sa itaas ng lahat ng mahahalagang sukatan at gumawa ng mga profile para sa bawat account sa iyong network. Maaari mong i-configure ang mga alerto na mabubuo bilang resulta ng kumbinasyon ng mga pagkilos na nagaganap sa isang partikular na yugto ng panahon.
Ang pagsubaybay sa mga pagbabago sa DNS, lokasyon ng account, unang beses na paggamit at pag-access sa sensitibong data, at aktibidad pagkatapos ng mga oras ay ilan lamang sa mga sukatan na maaaring maiugnay upang makabuo ng mas malawak na larawan sa pag-detect.
Pinagmulan: www.habr.com