Посібник з безпеки DNS

Чим би не займалася компанія, безпека DNS має бути невід'ємною частиною її плану забезпечення безпеки. Служби обробки імен, що перетворюють імена мережних вузлів на IP-адреси, використовуються буквально всіма програмами та службами в мережі.

Якщо зловмисник отримає контроль над DNS організації, зможе без проблем:

• передати собі управління ресурсами, які у загальному доступі
• перенаправити вхідні електронні листи, а також веб-запити та спроби автентифікації
• створювати та підтверджувати сертифікати SSL/TLS

Цей посібник розглядає безпеку DNS з двох сторін:

1. Здійснення постійного моніторингу та контролю над DNS
2. Як нові протоколи DNS, такі як DNSSEC, DOH і DoT, здатні допомогти захистити цілісність і конфіденційність переданих DNS-запитів

Що таке безпека DNS?

До поняття безпеки DNS входять дві важливі складові:

1. Забезпечення загальної цілісності та доступності служб DNS, що перетворюють імена мережевих вузлів на IP-адреси
2. Моніторинг активності DNS для визначення можливих проблем безпеки десь у вашій мережі

Чому DNS вразлива для атак?

Технологія DNS була створена на зорі розвитку інтернету, задовго до того, як хтось взагалі почав думати про безпеку мережі. DNS працює без аутентифікації та шифрування, наосліп обробляючи запити будь-якого користувача.

У зв'язку з цим існує безліч способів обдурити користувача та підробити інформацію про те, де насправді здійснюється перетворення імен в IP-адреси.

Безпека DNS: питання та компоненти

Безпека DNS складається з кількох основних компонентів, кожен із яких потрібно взяти до уваги для забезпечення повноцінного захисту:

• Посилення безпеки серверів та процедур управління: підвищуйте рівень захищеності серверів та створіть стандартний шаблон введення в експлуатацію
• Удосконалення протоколу: впровадьте DNSSEC, DoT або DoH
• Аналітика та звітність: додайте журнал подій DNS до SIEM-системи для додаткового контексту при розслідуванні інцидентів
• Кіберрозвідка та виявлення загроз: підпишіться на активний канал отримання аналітичних даних про загрози
• Автоматизація: створіть максимально можливу кількість сценаріїв, щоб автоматизувати процеси

Вищезгадані високорівневі компоненти – це лише верхівка айсберга безпеки DNS. У наступному розділі ми докладно розглянемо більш конкретні варіанти використання та передові практики, про які вам потрібно знати.

Атаки на DNS

• підміна DNS або «отруєння» кешу: використання вразливості системи для керування кешем DNS з метою перенаправлення користувачів в інше місце
• DNS-тунелювання: в основному використовується для обходу засобів захисту від віддалених підключень
• перехоплення DNS: перенаправлення звичайного трафіку DNS на інший цільовий DNS-сервер шляхом зміни реєстратора домену
• атака NXDOMAIN: проведення DDoS-атаки на авторитетний сервер DNS шляхом надсилання неправомірних доменних запитів для отримання примусової відповіді
• фантомний домен: змушує DNS-перетворювач (DNS resolver) чекати на відповідь від неіснуючих доменів, що призводить до зниження продуктивності
• атака на випадковий субдомен: зламані хости та ботнети проводять DDoS-атаку на діючий домен, але зосереджують вогонь на хибних субдоменах, щоб змусити DNS-сервер виконувати пошук записів та захопити керування над службою
• блокування домену: є відправкою безлічі спам-відгуків для блокування ресурсів DNS-сервера
• ботнет-атака з абонентського обладнання: сукупність комп'ютерів, модемів, роутерів та інших пристроїв, які концентрують обчислювальну потужність на певному веб-сайті для його перевантаження запитами трафіку

Атаки з використанням DNS

Атаки, які будь-яким чином використовують DNS для нападу на інші системи (тобто зміна записів DNS не є кінцевою метою):

• Fast-Flux
• Поодинокі мережі Flux
• Подвійні мережі Flux
• DNS-тунелювання

Атаки на DNS

Атаки, в результаті яких з сервера DNS повертається потрібна зловмиснику IP-адреса:

• Підміна DNS або «отруєння» кешу
• Перехоплення DNS

Що таке DNSSEC?

DNSSEC – модулі безпеки служби доменних імен – використовуються для перевірки записів DNS без необхідності знати загальну інформацію щодо кожного конкретного DNS-запиту.

DNSSEC використовує ключі цифрового підпису (PKI) для підтвердження того, чи отримані результати запиту доменного імені з допустимого джерела.
Впровадження DNSSEC є не лише найкращою галузевою практикою, але також ефективно допомагає уникнути більшості атак на DNS.

Принцип роботи DNSSEC

DNSSEC працює аналогічно TLS/HTTPS, використовуючи пари відкритого та закритого ключів для цифрового підпису записів DNS. Загальний огляд процесу:

1. Записи DNS підписуються парою закритого та закритого ключів
2. Відповіді на запити DNSSEC містять запитаний запис, а також підпис та відкритий ключ
3. Потім відкритий ключ використовується для порівняння справжності запису та підпису

Безпека DNS та DNSSEC

DNSSEC це засіб для перевірки цілісності DNS-запитів. Воно не впливає на конфіденційність DNS. Іншими словами, DNSSEC може дати вам впевненість у тому, що відповіді на ваш DNS-запит не підроблено, але будь-який зловмисник може побачити ці результати у тому вигляді, в якому вони були передані вам.

DoT - DNS поверх TLS

Transport Layer Security (безпека на транспортному рівні, TLS) — це криптографічний протокол для захисту інформації, що передається по мережному з'єднанню. Як тільки між клієнтом і сервером встановлено безпечне з'єднання TLS, дані, що передаються, шифруються і ніякі посередники не зможуть їх побачити.

TLS найчастіше використовується як частина HTTPS (SSL) у вашому веб-браузері, оскільки запити надсилаються на захищені HTTP-сервери.

DNS-over-TLS (DNS поверх TLS, DoT) використовує протокол TLS для шифрування UDP-трафіку звичайних DNS-запитів.
Шифрування цих запитів у вигляді звичайного тексту допомагає захистити користувачів або програми, що виконують запити, від кількох атак.

• MitM, або «людина посередині»: без шифрування проміжна система, що знаходиться між клієнтом та авторитетним DNS-сервером, може потенційно відправити клієнту у відповідь на запит неправдиву або небезпечну інформацію
• Шпигунство та відстеження: без шифрування запитів проміжним системам легко переглядати, до яких сайтів звертається конкретний користувач або програма. Хоча з одного лише DNS не можна буде дізнатися конкретну сторінку, що відвідується на сайті, простого знання запитуваних доменів достатньо для формування профілю системи або окремої людини

Джерело: Каліфорнійського університету Ірвін

DoH - DNS поверх HTTPS

DNS-over-HTTPS (DNS поверх HTTPS, DoH) - це експериментальний протокол, що просувається спільно Mozilla і Google. Його цілі схожі на протокол DoT — посилення конфіденційності людей в інтернеті шляхом шифрування запитів і відповідей DNS.

Стандартні запити DNS передаються через UDP. Запити та відповіді можна відстежувати за допомогою таких інструментів, як Wireshark. DoT шифрує ці запити, але вони, як і раніше, ідентифікуються як досить виразний трафік UDP в мережі.

DoH використовує інший підхід і передає зашифровані запити на перетворення імен мережних вузлів через HTTPS-з'єднання, які виглядають по мережі як будь-який інший веб-запит.

Ця відмінність має дуже важливі наслідки як системних адміністраторів, так майбутнього перетворення імен.

1. DNS-фільтрація – це найпоширеніший спосіб фільтрації веб-трафіку для захисту користувачів від фішингових атак, сайтів, що розповсюджують шкідливі програми, або іншої потенційно небезпечної інтернет-активності в корпоративній мережі. Протокол DoH обходить ці фільтри, потенційно піддаючи користувачів та мережу вищого ризику.
2. У поточній моделі перетворення імен кожен пристрій мережі в тій чи іншій мірі отримує DNS-запити з одного і того ж місця (із зазначеного DNS-сервера). DoH і, зокрема, його реалізація від Firefox показують, що це може змінитися в майбутньому. Кожна програма на комп'ютері може отримувати дані з різних джерел DNS, що значно ускладнює пошук та усунення проблем, забезпечення безпеки та моделювання ризиків.

Джерело: www.varonis.com/blog/what-is-powershell

У чому різниця між DNS поверх TLS та DNS поверх HTTPS?

Почнемо з DNS поверх TLS (DoT). Основна увага приділяється тому, що оригінальний протокол DNS не змінюється, а просто безпечно передається по захищеному каналу. DoH поміщає DNS у формат HTTP перед виконанням запитів.

Оповіщення моніторингу DNS

Можливість ефективно відстежувати трафік DNS у вашій мережі щодо підозрілих аномалій має вирішальне значення для раннього виявлення злому. Використання такого інструменту, як Varonis Edge дасть вам можливість бути в курсі всіх важливих показників та створювати профілі для кожного облікового запису у вашій мережі. Ви можете налаштувати генерацію оповіщень у результаті комбінації дій, які відбуваються за певний період.

Моніторинг змін DNS, розташування облікового запису, а також фактів першого використання та отримання доступу до конфіденційних даних, а також активності в неробочий час — це лише кілька показників, які можна порівняти для складання більшої картини виявлення.

Джерело: habr.com