DNS Güvenlik Kılavuzu

Şirket ne yaparsa yapsın, güvenlik DNS güvenlik planının ayrılmaz bir parçası olmalıdır. Ana bilgisayar adlarını IP adreslerine çözümleyen ad hizmetleri, ağdaki hemen hemen her uygulama ve hizmet tarafından kullanılır.

Bir saldırgan bir kuruluşun DNS'sinin kontrolünü ele geçirirse şunları kolaylıkla yapabilir:

• Paylaşılan kaynaklar üzerinde kendinize kontrol verin
• gelen e-postaların yanı sıra web isteklerini ve kimlik doğrulama girişimlerini yeniden yönlendirin
• SSL/TLS sertifikaları oluşturun ve doğrulayın

Bu kılavuz DNS güvenliğine iki açıdan bakıyor:

1. DNS üzerinde sürekli izleme ve kontrol yapılması
2. DNSSEC, DOH ve DoT gibi yeni DNS protokolleri, iletilen DNS isteklerinin bütünlüğünü ve gizliliğini korumaya nasıl yardımcı olabilir?

DNS güvenliği nedir?

DNS güvenliği kavramı iki önemli bileşeni içerir:

1. Ana bilgisayar adlarını IP adreslerine çözümleyen DNS hizmetlerinin genel bütünlüğünü ve kullanılabilirliğini sağlamak
2. Ağınızın herhangi bir yerindeki olası güvenlik sorunlarını belirlemek için DNS etkinliğini izleyin

DNS neden saldırılara karşı savunmasızdır?

DNS teknolojisi, İnternet'in ilk günlerinde, daha kimse ağ güvenliği hakkında düşünmeye başlamadan çok önce yaratılmıştı. DNS, kimlik doğrulama veya şifreleme olmadan çalışır ve herhangi bir kullanıcıdan gelen istekleri körü körüne işler.

Bu nedenle, kullanıcıyı aldatmanın ve adların IP adreslerine çözümlenmesinin gerçekte nerede gerçekleştiğine ilişkin bilgileri tahrif etmenin birçok yolu vardır.

DNS Güvenliği: Sorunlar ve Bileşenler

DNS güvenliği birkaç temel bileşenden oluşur: BileşenleriTam koruma sağlamak için her birinin dikkate alınması gerekir:

• Sunucu güvenliği ve yönetim prosedürlerinin güçlendirilmesi: sunucu güvenliği düzeyini artırın ve standart bir devreye alma şablonu oluşturun
• Protokol iyileştirmeleri: DNSSEC, DoT veya DoH'yi uygulayın
• Analitik ve raporlama: Olayları araştırırken ek bağlam için SIEM sisteminize bir DNS olay günlüğü ekleyin
• Siber İstihbarat ve Tehdit Tespiti: aktif bir tehdit istihbaratı beslemesine abone olun
• Otomasyon: Süreçleri otomatikleştirmek için mümkün olduğunca çok sayıda komut dosyası oluşturun

Yukarıda belirtilen üst düzey bileşenler, DNS güvenliği buzdağının yalnızca görünen kısmıdır. Bir sonraki bölümde, bilmeniz gereken daha spesifik kullanım örneklerini ve en iyi uygulamaları ele alacağız.

DNS saldırıları

• DNS sahteciliği veya önbellek zehirlenmesi: Kullanıcıları başka bir konuma yönlendirmek amacıyla DNS önbelleğini değiştirmek için sistemdeki bir güvenlik açığından yararlanma
• DNS tünelleme: öncelikle uzaktan bağlantı korumalarını atlamak için kullanılır
• DNS ele geçirme: etki alanı kayıt şirketini değiştirerek normal DNS trafiğini farklı bir hedef DNS sunucusuna yönlendirme
• NXDOMAIN saldırısı: Zorunlu yanıt almak için yasal olmayan alan adı sorguları göndererek yetkili bir DNS sunucusuna DDoS saldırısı gerçekleştirmek
• hayalet alan adı: DNS çözümleyicinin var olmayan etki alanlarından yanıt beklemesine neden olarak performansın düşmesine neden olur
• rastgele bir alt alana saldırı: Güvenliği ihlal edilmiş ana bilgisayarlar ve botnet'ler geçerli bir etki alanına bir DDoS saldırısı başlatır, ancak ateşlerini sahte alt etki alanlarına odaklayarak DNS sunucusunu kayıtları aramaya ve hizmetin kontrolünü ele geçirmeye zorlar.
• etki alanı engelleme: DNS sunucusu kaynaklarını engellemek için birden fazla spam yanıtı gönderiyor
• Abone ekipmanından botnet saldırısı: trafik istekleriyle aşırı yüklemek için bilgi işlem gücünü belirli bir web sitesinde yoğunlaştıran bilgisayarlar, modemler, yönlendiriciler ve diğer cihazlardan oluşan bir koleksiyon

DNS saldırıları

DNS'yi bir şekilde diğer sistemlere saldırmak için kullanan saldırılar (yani, DNS kayıtlarını değiştirmek nihai amaç değildir):

• Hızlı Akı
• Tek Akı Ağları
• Çift Akı Ağları
• DNS tünelleme

DNS saldırıları

Saldırganın ihtiyaç duyduğu IP adresinin DNS sunucusundan döndürülmesiyle sonuçlanan saldırılar:

• DNS sahteciliği veya önbellek zehirlenmesi
• DNS ele geçirme

DNSSEC nedir?

DNSSEC - Alan Adı Hizmeti Güvenlik Motorları - her bir özel DNS isteği için genel bilgilerin bilinmesine gerek kalmadan DNS kayıtlarını doğrulamak için kullanılır.

DNSSEC, alan adı sorgusunun sonuçlarının geçerli bir kaynaktan gelip gelmediğini doğrulamak için Dijital İmza Anahtarlarını (PKI'ler) kullanır.
DNSSEC'yi uygulamak yalnızca sektördeki en iyi uygulama değildir, aynı zamanda çoğu DNS saldırısının önlenmesinde de etkilidir.

DNSSEC nasıl çalışır?

DNSSEC, DNS kayıtlarını dijital olarak imzalamak için genel ve özel anahtar çiftlerini kullanarak TLS/HTTPS'ye benzer şekilde çalışır. Sürece genel bakış:

1. DNS kayıtları özel-özel anahtar çifti ile imzalanır
2. DNSSEC sorgularına verilen yanıtlar, imza ve genel anahtarın yanı sıra istenen kaydı da içerir
3. O zaman Genel anahtar Bir kaydın ve imzanın orijinalliğini karşılaştırmak için kullanılır

DNS ve DNSSEC Güvenliği

DNSSEC, DNS sorgularının bütünlüğünü kontrol etmeye yönelik bir araçtır. DNS gizliliğini etkilemez. Başka bir deyişle, DNSSEC, DNS sorgunuzun yanıtının değiştirilmediğine, ancak herhangi bir saldırganın bu sonuçları size gönderildiği şekliyle görebileceğine dair size güven verebilir.

DoT - TLS üzerinden DNS

Aktarım Katmanı Güvenliği (TLS), bir ağ bağlantısı üzerinden iletilen bilgileri korumaya yönelik bir şifreleme protokolüdür. İstemci ile sunucu arasında güvenli bir TLS bağlantısı kurulduğunda iletilen veriler şifrelenir ve hiçbir aracı tarafından görülemez.

TLS İstekler güvenli HTTP sunucularına gönderildiğinden en yaygın olarak web tarayıcınızda HTTPS'nin (SSL) bir parçası olarak kullanılır.

TLS üzerinden DNS (TLS üzerinden DNS, DoT), normal DNS isteklerinin UDP trafiğini şifrelemek için TLS protokolünü kullanır.
Bu isteklerin düz metin olarak şifrelenmesi, istekte bulunan kullanıcıların veya uygulamaların çeşitli saldırılara karşı korunmasına yardımcı olur.

• MitM veya "ortadaki adam": Şifreleme olmadan, istemci ile yetkili DNS sunucusu arasındaki ara sistem, bir isteğe yanıt olarak istemciye yanlış veya tehlikeli bilgiler gönderme potansiyeline sahiptir
• Casusluk ve takip: İstekleri şifrelemeden, ara yazılım sistemlerinin belirli bir kullanıcının veya uygulamanın hangi sitelere eriştiğini görmesi kolaydır. Her ne kadar DNS tek başına bir web sitesinde ziyaret edilen belirli sayfayı ortaya çıkarmasa da, yalnızca istenen alan adlarını bilmek bir sistemin veya bireyin profilini oluşturmak için yeterlidir.

Kaynak: University of California Irvine

DoH - HTTPS üzerinden DNS

HTTPS üzerinden DNS (HTTPS üzerinden DNS, DoH), Mozilla ve Google tarafından ortaklaşa desteklenen deneysel bir protokoldür. Hedefleri DoT protokolüne benzer; DNS isteklerini ve yanıtlarını şifreleyerek insanların çevrimiçi gizliliğini artırır.

Standart DNS sorguları UDP üzerinden gönderilir. İstekler ve yanıtlar aşağıdaki gibi araçlar kullanılarak takip edilebilir: Wireshark. DoT bu istekleri şifreler ancak bunlar yine de ağdaki oldukça farklı UDP trafiği olarak tanımlanır.

DoH farklı bir yaklaşım benimsiyor ve HTTPS bağlantıları üzerinden şifrelenmiş ana bilgisayar adı çözümleme istekleri gönderiyor; bunlar, ağ üzerindeki diğer web isteklerine benziyor.

Bu farkın hem sistem yöneticileri hem de ad çözümlemesinin geleceği açısından çok önemli sonuçları vardır.

1. DNS filtreleme, kullanıcıları kimlik avı saldırılarından, kötü amaçlı yazılım dağıtan sitelerden veya kurumsal ağdaki diğer zararlı olabilecek İnternet etkinliklerinden korumak için web trafiğini filtrelemenin yaygın bir yoludur. DoH protokolü bu filtreleri atlayarak potansiyel olarak kullanıcıları ve ağı daha büyük riske maruz bırakır.
2. Geçerli ad çözümleme modelinde, ağdaki her aygıt az çok aynı konumdan (belirli bir DNS sunucusu) DNS sorgularını alır. DoH ve özellikle Firefox'un bunu uygulaması, bunun gelecekte değişebileceğini gösteriyor. Bilgisayardaki her uygulama farklı DNS kaynaklarından veri alabilir; bu da sorun gidermeyi, güvenliği ve risk modellemeyi çok daha karmaşık hale getirir.

Kaynak: www.varonis.com/blog/what-is-powershell

TLS üzerinden DNS ile HTTPS üzerinden DNS arasındaki fark nedir?

TLS (DoT) üzerinden DNS ile başlayalım. Buradaki asıl nokta, orijinal DNS protokolünün değiştirilmemesi, sadece güvenli bir kanal üzerinden güvenli bir şekilde iletilmesidir. DoH ise istekte bulunmadan önce DNS'yi HTTP formatına sokar.

DNS İzleme Uyarıları

Ağınızdaki DNS trafiğini şüpheli anormalliklere karşı etkili bir şekilde izleme yeteneği, bir ihlalin erken tespiti açısından kritik öneme sahiptir. Varonis Edge gibi bir araç kullanmak size tüm önemli ölçümlerden haberdar olmanızı ve ağınızdaki her hesap için profil oluşturmanızı sağlayacaktır. Belirli bir süre boyunca gerçekleştirilen eylemlerin birleşimi sonucunda oluşturulacak uyarıları yapılandırabilirsiniz.

DNS değişikliklerini, hesap konumlarını, ilk kez kullanımı ve hassas verilere erişimi ve mesai sonrası etkinlikleri izlemek, daha geniş bir algılama resmi oluşturmak için ilişkilendirilebilecek ölçümlerden yalnızca birkaçıdır.

Kaynak: habr.com