Hướng dẫn bảo mật DNS

Dù công ty làm gì, bảo mật DNS phải là một phần không thể thiếu trong kế hoạch bảo mật của nó. Dịch vụ tên, phân giải tên máy chủ thành địa chỉ IP, được hầu hết mọi ứng dụng và dịch vụ trên mạng sử dụng.

Nếu kẻ tấn công giành quyền kiểm soát DNS của tổ chức, hắn có thể dễ dàng:

• cho phép bạn kiểm soát các tài nguyên được chia sẻ
• chuyển hướng email đến cũng như các yêu cầu web và nỗ lực xác thực
• tạo và xác thực chứng chỉ SSL/TLS

Hướng dẫn này xem xét bảo mật DNS từ hai góc độ:

1. Thực hiện giám sát và kiểm soát liên tục qua DNS
2. Cách các giao thức DNS mới như DNSSEC, DOH và DoT có thể giúp bảo vệ tính toàn vẹn và bảo mật của các yêu cầu DNS được truyền đi

Bảo mật DNS là gì?

Khái niệm bảo mật DNS bao gồm hai thành phần quan trọng:

1. Đảm bảo tính toàn vẹn và sẵn sàng tổng thể của các dịch vụ DNS phân giải tên máy chủ thành địa chỉ IP
2. Giám sát hoạt động DNS để xác định các sự cố bảo mật có thể xảy ra ở bất kỳ đâu trên mạng của bạn

Tại sao DNS dễ bị tấn công?

Công nghệ DNS được tạo ra từ những ngày đầu của Internet, rất lâu trước khi mọi người bắt đầu nghĩ đến bảo mật mạng. DNS hoạt động mà không cần xác thực hoặc mã hóa, xử lý một cách mù quáng các yêu cầu từ bất kỳ người dùng nào.

Vì điều này, có nhiều cách để đánh lừa người dùng và làm sai lệch thông tin về nơi thực sự diễn ra quá trình phân giải tên thành địa chỉ IP.

Bảo mật DNS: Sự cố và Thành phần

Bảo mật DNS bao gồm một số cơ bản Thành phần, mỗi yếu tố trong số đó phải được tính đến để đảm bảo sự bảo vệ hoàn toàn:

• Tăng cường quy trình quản lý và bảo mật máy chủ: tăng mức độ bảo mật máy chủ và tạo mẫu vận hành tiêu chuẩn
• Cải tiến giao thức: triển khai DNSSEC, DoT hoặc DoH
• Phân tích và báo cáo: thêm nhật ký sự kiện DNS vào hệ thống SIEM của bạn để biết thêm ngữ cảnh khi điều tra sự cố
• Trí tuệ mạng và phát hiện mối đe dọa: đăng ký nguồn cấp dữ liệu thông tin về mối đe dọa đang hoạt động
• Tự động hóa: tạo càng nhiều tập lệnh càng tốt để tự động hóa các quy trình

Các thành phần cấp cao nêu trên chỉ là phần nổi của tảng băng bảo mật DNS. Trong phần tiếp theo, chúng ta sẽ đi sâu vào các trường hợp sử dụng cụ thể hơn và các phương pháp hay nhất mà bạn cần biết.

tấn công DNS

• Giả mạo DNS hoặc đầu độc bộ đệm: khai thác lỗ hổng hệ thống để thao túng bộ đệm DNS nhằm chuyển hướng người dùng đến vị trí khác
• Đường hầm DNS: chủ yếu được sử dụng để vượt qua các biện pháp bảo vệ kết nối từ xa
• Chiếm quyền điều khiển DNS: chuyển hướng lưu lượng DNS bình thường đến máy chủ DNS mục tiêu khác bằng cách thay đổi công ty đăng ký tên miền
• Tấn công NXDOMAIN: tiến hành một cuộc tấn công DDoS vào máy chủ DNS có thẩm quyền bằng cách gửi các truy vấn tên miền bất hợp pháp để nhận được phản hồi bắt buộc
• miền ảo: khiến trình phân giải DNS phải chờ phản hồi từ các miền không tồn tại, dẫn đến hiệu suất kém
• tấn công vào một tên miền phụ ngẫu nhiên: các máy chủ và mạng botnet bị xâm nhập tiến hành một cuộc tấn công DDoS vào một miền hợp lệ, nhưng tập trung tấn công vào các miền phụ giả mạo để buộc máy chủ DNS tra cứu hồ sơ và chiếm quyền kiểm soát dịch vụ
• chặn tên miền: đang gửi nhiều phản hồi thư rác để chặn tài nguyên máy chủ DNS
• Tấn công Botnet từ thiết bị thuê bao: một tập hợp các máy tính, modem, bộ định tuyến và các thiết bị khác tập trung sức mạnh tính toán vào một trang web cụ thể để làm trang đó quá tải với các yêu cầu lưu lượng truy cập

tấn công DNS

Các cuộc tấn công bằng cách nào đó sử dụng DNS để tấn công các hệ thống khác (tức là thay đổi bản ghi DNS không phải là mục tiêu cuối cùng):

• Dòng chảy nhanh
• Mạng thông lượng đơn
• Mạng thông lượng kép
• Đường hầm DNS

tấn công DNS

Các cuộc tấn công khiến địa chỉ IP mà kẻ tấn công cần được trả về từ máy chủ DNS:

• Giả mạo DNS hoặc đầu độc bộ đệm
• Chiếm quyền điều khiển DNS

DNSSEC là gì?

DNSSEC - Công cụ bảo mật dịch vụ tên miền - được sử dụng để xác thực các bản ghi DNS mà không cần biết thông tin chung cho từng yêu cầu DNS cụ thể.

DNSSEC sử dụng Khóa chữ ký số (PKI) để xác minh xem kết quả truy vấn tên miền có đến từ nguồn hợp lệ hay không.
Triển khai DNSSEC không chỉ là phương pháp hay nhất trong ngành mà còn có hiệu quả trong việc tránh hầu hết các cuộc tấn công DNS.

Cách thức hoạt động của DNSSEC

DNSSEC hoạt động tương tự như TLS/HTTPS, sử dụng cặp khóa chung và khóa riêng để ký điện tử các bản ghi DNS. Tổng quan chung về quy trình:

1. Bản ghi DNS được ký bằng cặp khóa riêng-riêng
2. Phản hồi cho các truy vấn DNSSEC chứa bản ghi được yêu cầu cũng như chữ ký và khóa chung
3. sau đó khóa công khai được sử dụng để so sánh tính xác thực của bản ghi và chữ ký

Bảo mật DNS và DNSSEC

DNSSEC là một công cụ để kiểm tra tính toàn vẹn của các truy vấn DNS. Nó không ảnh hưởng đến quyền riêng tư của DNS. Nói cách khác, DNSSEC có thể giúp bạn tin tưởng rằng câu trả lời cho truy vấn DNS của bạn không bị giả mạo nhưng bất kỳ kẻ tấn công nào cũng có thể xem những kết quả đó khi chúng được gửi cho bạn.

DoT - DNS qua TLS

Bảo mật lớp vận chuyển (TLS) là một giao thức mã hóa để bảo vệ thông tin được truyền qua kết nối mạng. Khi kết nối TLS an toàn được thiết lập giữa máy khách và máy chủ, dữ liệu được truyền sẽ được mã hóa và không trung gian nào có thể nhìn thấy được.

TLS được sử dụng phổ biến nhất như một phần của HTTPS (SSL) trong trình duyệt web của bạn vì các yêu cầu được gửi đến các máy chủ HTTP an toàn.

DNS-over-TLS (DNS over TLS, DoT) sử dụng giao thức TLS để mã hóa lưu lượng UDP của các yêu cầu DNS thông thường.
Mã hóa các yêu cầu này bằng văn bản thuần túy giúp bảo vệ người dùng hoặc ứng dụng đưa ra yêu cầu khỏi một số cuộc tấn công.

• MitM, hay "người đàn ông ở giữa": Nếu không mã hóa, hệ thống trung gian giữa máy khách và máy chủ DNS có thẩm quyền có thể gửi thông tin sai lệch hoặc nguy hiểm cho máy khách để đáp lại yêu cầu
• Gián điệp và theo dõi: Nếu không mã hóa các yêu cầu, hệ thống phần mềm trung gian có thể dễ dàng biết được người dùng hoặc ứng dụng cụ thể nào đang truy cập trang web nào. Mặc dù chỉ DNS sẽ không tiết lộ trang cụ thể đang được truy cập trên một trang web, nhưng chỉ cần biết tên miền được yêu cầu là đủ để tạo hồ sơ của một hệ thống hoặc một cá nhân.

Nguồn: Đại học California Irvine

DoH - DNS qua HTTPS

DNS-over-HTTPS (DNS over HTTPS, DoH) là một giao thức thử nghiệm được Mozilla và Google cùng quảng bá. Mục tiêu của nó tương tự như giao thức DoT—tăng cường quyền riêng tư trực tuyến của mọi người bằng cách mã hóa các yêu cầu và phản hồi DNS.

Các truy vấn DNS tiêu chuẩn được gửi qua UDP. Yêu cầu và phản hồi có thể được theo dõi bằng các công cụ như Wireshark. DoT mã hóa các yêu cầu này nhưng chúng vẫn được xác định là lưu lượng UDP khá khác biệt trên mạng.

DoH thực hiện một cách tiếp cận khác và gửi yêu cầu phân giải tên máy chủ được mã hóa qua kết nối HTTPS, giống như bất kỳ yêu cầu web nào khác qua mạng.

Sự khác biệt này có ý nghĩa rất quan trọng đối với cả quản trị viên hệ thống và tương lai của việc phân giải tên.

1. Lọc DNS là cách phổ biến để lọc lưu lượng truy cập web nhằm bảo vệ người dùng khỏi các cuộc tấn công lừa đảo, các trang web phân phối phần mềm độc hại hoặc hoạt động Internet có hại khác trên mạng công ty. Giao thức DoH bỏ qua các bộ lọc này, có khả năng khiến người dùng và mạng gặp rủi ro lớn hơn.
2. Trong mô hình phân giải tên hiện tại, mọi thiết bị trên mạng ít nhiều đều nhận được các truy vấn DNS từ cùng một vị trí (một máy chủ DNS được chỉ định). DoH, và đặc biệt là việc triển khai nó của Firefox, cho thấy điều này có thể thay đổi trong tương lai. Mỗi ứng dụng trên máy tính có thể nhận dữ liệu từ các nguồn DNS khác nhau, khiến việc khắc phục sự cố, bảo mật và lập mô hình rủi ro trở nên phức tạp hơn nhiều.

Nguồn: www.varonis.com/blog/what-is-powershell

Sự khác biệt giữa DNS qua TLS và DNS qua HTTPS là gì?

Hãy bắt đầu với DNS qua TLS (DoT). Điểm chính ở đây là giao thức DNS gốc không bị thay đổi mà chỉ được truyền an toàn qua kênh bảo mật. Mặt khác, DoH đặt DNS ở định dạng HTTP trước khi đưa ra yêu cầu.

Cảnh báo giám sát DNS

Khả năng giám sát hiệu quả lưu lượng DNS trên mạng của bạn để phát hiện những điểm bất thường đáng ngờ là rất quan trọng để phát hiện sớm hành vi vi phạm. Sử dụng một công cụ như Varonis Edge sẽ cung cấp cho bạn khả năng cập nhật tất cả các số liệu quan trọng và tạo hồ sơ cho mọi tài khoản trên mạng của bạn. Bạn có thể định cấu hình cảnh báo được tạo do kết hợp các hành động xảy ra trong một khoảng thời gian cụ thể.

Giám sát các thay đổi DNS, vị trí tài khoản, lần sử dụng đầu tiên và quyền truy cập vào dữ liệu nhạy cảm cũng như hoạt động sau giờ làm việc chỉ là một số số liệu có thể tương quan để xây dựng bức tranh phát hiện rộng hơn.

Nguồn: www.habr.com