Ohunkohun ti ile-iṣẹ ṣe, aabo DNS yẹ ki o jẹ apakan pataki ti eto aabo rẹ. Awọn iṣẹ orukọ, eyiti o yanju awọn orukọ igbalejo si awọn adirẹsi IP, jẹ lilo nipasẹ gbogbo ohun elo ati iṣẹ lori nẹtiwọọki.
Ti ikọlu ba ni iṣakoso ti DNS ti ajo kan, o le ni irọrun:
fun ara rẹ ni iṣakoso lori awọn orisun ti a pin
darí awọn imeeli ti nwọle bi daradara bi awọn ibeere wẹẹbu ati awọn igbiyanju ijẹrisi
ṣẹda ati fọwọsi awọn iwe-ẹri SSL/TLS
Itọsọna yii n wo aabo DNS lati awọn igun meji:
Ṣiṣe abojuto lemọlemọfún ati iṣakoso lori DNS
Bii awọn ilana DNS tuntun bii DNSSEC, DOH ati DoT le ṣe iranlọwọ aabo iduroṣinṣin ati aṣiri ti awọn ibeere DNS ti o tan.
Kini aabo DNS?
Ero ti aabo DNS pẹlu awọn paati pataki meji:
Ni idaniloju iṣotitọ gbogbogbo ati wiwa awọn iṣẹ DNS ti o yanju awọn orukọ ogun si awọn adirẹsi IP
Bojuto iṣẹ ṣiṣe DNS lati ṣe idanimọ awọn ọran aabo ti o ṣeeṣe nibikibi lori nẹtiwọọki rẹ
Kini idi ti DNS jẹ ipalara si awọn ikọlu?
Imọ-ẹrọ DNS ti ṣẹda ni awọn ọjọ ibẹrẹ ti Intanẹẹti, pipẹ ṣaaju ki ẹnikẹni paapaa bẹrẹ ironu nipa aabo nẹtiwọọki. DNS n ṣiṣẹ laisi ìfàṣẹsí tabi fifi ẹnọ kọ nkan, awọn ibeere ṣiṣe afọju lati ọdọ olumulo eyikeyi.
Nitori eyi, awọn ọna pupọ lo wa lati tan olumulo jẹ ati iro alaye nipa ibi ti ipinnu awọn orukọ si awọn adirẹsi IP ti waye.
Aabo DNS: Awọn ọran ati Awọn paati
Aabo DNS ni ọpọlọpọ awọn ipilẹ awọn irinše, ọkọọkan wọn gbọdọ ṣe akiyesi lati rii daju aabo pipe:
Agbara aabo olupin ati awọn ilana iṣakoso: mu ipele aabo olupin pọ si ki o ṣẹda awoṣe ifiṣẹṣẹ boṣewa
Awọn ilọsiwaju Ilana: ṣe DNSSEC, DoT tabi DoH
Awọn atupale ati ijabọ: ṣafikun akọọlẹ iṣẹlẹ DNS si eto SIEM rẹ fun afikun ọrọ nigbati o n ṣe iwadii awọn iṣẹlẹ
Imọye Cyber ati Wiwa Irokeke: ṣe alabapin si kikọ sii itetisi irokeke ewu ti nṣiṣe lọwọ
Adaṣe: ṣẹda bi ọpọlọpọ awọn iwe afọwọkọ bi o ti ṣee lati automate lakọkọ
Awọn paati ipele giga ti a mẹnuba loke jẹ ipari ti yinyin aabo DNS nikan. Ni apakan atẹle, a yoo lọ sinu awọn ọran lilo kan pato ati awọn iṣe ti o dara julọ ti o nilo lati mọ nipa.
Awọn ikọlu DNS
DNS spoofing tabi kaṣe oloro: Lilo ailagbara eto kan lati ṣe afọwọyi kaṣe DNS lati tun awọn olumulo lọ si ipo miiran
DNS tunneling: Ni akọkọ ti a lo lati fori awọn aabo asopọ latọna jijin
Gbigbe DNS: ṣiṣatunṣe ijabọ DNS deede si olupin DNS ibi-afẹde ti o yatọ nipa yiyipada Alakoso agbegbe
Ikọlu NXDOMAIN: ṣiṣe ikọlu DDoS kan lori olupin DNS ti o ni aṣẹ nipasẹ fifiranṣẹ awọn ibeere agbegbe aitọ lati gba esi ti o fi agbara mu
ašẹ Phantom: fa olupinpin DNS lati duro fun esi lati awọn ibugbe ti kii ṣe tẹlẹ, ti o mu ki iṣẹ ṣiṣe ti ko dara
kolu lori aileto subdomain: Awọn ọmọ ogun ti o gbogun ati awọn botnets ṣe ifilọlẹ ikọlu DDoS kan lori agbegbe ti o wulo, ṣugbọn dojukọ ina wọn lori awọn subdomains iro lati fi ipa mu olupin DNS lati wo awọn igbasilẹ ati gba iṣakoso iṣẹ naa.
ìdènà ašẹ: n firanṣẹ ọpọlọpọ awọn idahun àwúrúju lati dènà awọn orisun olupin DNS
Ikọlu botnet lati awọn ohun elo alabapin: ikojọpọ awọn kọnputa, awọn modem, awọn olulana ati awọn ẹrọ miiran ti o ṣojuuṣe agbara iširo lori oju opo wẹẹbu kan lati ṣaju rẹ pẹlu awọn ibeere ijabọ
Awọn ikọlu DNS
Awọn ikọlu ti o bakan lo DNS lati kọlu awọn eto miiran (ie iyipada awọn igbasilẹ DNS kii ṣe ibi-afẹde ipari):
Awọn ikọlu ti o ja si adiresi IP ti o nilo nipasẹ olukapa ti n pada lati olupin DNS:
DNS spoofing tabi kaṣe oloro
DNS hijacking
Kini DNSSEC?
DNSSEC - Awọn enjini Aabo Iṣẹ Ile-iṣẹ Orukọ - ni a lo lati fọwọsi awọn igbasilẹ DNS laisi nilo lati mọ alaye gbogbogbo fun ibeere DNS pato kọọkan.
DNSSEC nlo Awọn bọtini Ibuwọlu oni nọmba (PKIs) lati rii daju boya awọn abajade ti ibeere orukọ ìkápá kan wa lati orisun to wulo.
Ṣiṣe DNSSEC kii ṣe iṣe iṣe ti o dara julọ ti ile-iṣẹ nikan, ṣugbọn o tun munadoko lati yago fun ọpọlọpọ awọn ikọlu DNS.
Bawo ni DNSSEC ṣiṣẹ
DNSSEC ṣiṣẹ bakannaa si TLS/HTTPS, ni lilo awọn orisii bọtini ti gbogbo eniyan ati ni ikọkọ lati fowo si awọn igbasilẹ DNS oni nọmba. Akopọ gbogbogbo ti ilana naa:
Awọn igbasilẹ DNS ti wa ni fowo si pẹlu bata bọtini ikọkọ-ikọkọ
Awọn idahun si awọn ibeere DNSSEC ni igbasilẹ ti o beere gẹgẹbi ibuwọlu ati bọtini gbangba
Lẹhinna bọtini gbangba ti a lo lati fi ṣe afiwe otitọ ti igbasilẹ ati ibuwọlu kan
DNS ati Aabo DNSSEC
DNSSEC jẹ ohun elo fun ṣiṣe ayẹwo iyege ti awọn ibeere DNS. Ko ni ipa lori aṣiri DNS. Ni awọn ọrọ miiran, DNSSEC le fun ọ ni igboya pe idahun si ibeere DNS rẹ ko ti ni ipalara, ṣugbọn eyikeyi ikọlu le rii awọn abajade yẹn bi wọn ti firanṣẹ si ọ.
DoT - DNS lori TLS
Aabo Layer Transport (TLS) jẹ Ilana cryptographic kan fun aabo alaye ti o tan kaakiri lori asopọ nẹtiwọọki kan. Ni kete ti asopọ TLS ti o ni aabo ti fi idi mulẹ laarin alabara ati olupin, data ti o tan kaakiri jẹ ti paroko ko si si agbedemeji ti o le rii.
TLS ti a lo nigbagbogbo gẹgẹbi apakan HTTPS (SSL) ninu ẹrọ aṣawakiri wẹẹbu rẹ nitori awọn ibeere ni a fi ranṣẹ si awọn olupin HTTP to ni aabo.
DNS-over-TLS (DNS lori TLS, DoT) nlo ilana TLS lati encrypt awọn ijabọ UDP ti awọn ibeere DNS deede.
Piparo awọn ibeere wọnyi ni ọrọ itele ṣe iranlọwọ lati daabobo awọn olumulo tabi awọn ohun elo ṣiṣe awọn ibeere lati awọn ikọlu pupọ.
MitM, tabi "eniyan ni aarin"Laisi fifi ẹnọ kọ nkan, eto agbedemeji laarin alabara ati olupin DNS ti o ni aṣẹ le fi alaye eke tabi eewu ranṣẹ si alabara ni idahun si ibeere kan
Espionage ati titeleLaisi awọn ibeere fifi ẹnọ kọ nkan, o rọrun fun awọn ọna ṣiṣe agbedemeji lati rii iru awọn aaye wo ni olumulo kan tabi ohun elo kan n wọle. Botilẹjẹpe DNS nikan kii yoo ṣafihan oju-iwe kan pato ti o ṣabẹwo si oju opo wẹẹbu kan, mimọ mimọ awọn ibugbe ti o beere ti to lati ṣẹda profaili kan ti eto tabi ẹni kọọkan
DNS-over-HTTPS (DNS lori HTTPS, DoH) jẹ ilana idanwo ti o ni igbega lapapo nipasẹ Mozilla ati Google. Awọn ibi-afẹde rẹ jọra si ilana DoT—igbega aṣiri eniyan lori ayelujara nipa fifi ẹnọ kọ nkan awọn ibeere DNS ati awọn idahun.
Awọn ibeere DNS boṣewa ni a firanṣẹ lori UDP. Awọn ibeere ati awọn idahun le ṣe atẹle nipa lilo awọn irinṣẹ bii Wireshark. DoT encrypts wọnyi ibeere, sugbon ti won ti wa ni tun damo bi iṣẹtọ pato UDP ijabọ lori awọn nẹtiwọki.
DoH gba ọna ti o yatọ ati firanṣẹ awọn ibeere ipinnu ipinnu orukọ olupin ti paroko lori awọn asopọ HTTPS, eyiti o dabi eyikeyi ibeere wẹẹbu miiran lori nẹtiwọọki naa.
Iyatọ yii ni awọn ipa pataki pupọ mejeeji fun awọn alabojuto eto ati fun ọjọ iwaju ipinnu orukọ.
Sisẹ DNS jẹ ọna ti o wọpọ lati ṣe àlẹmọ ijabọ wẹẹbu lati daabobo awọn olumulo lati awọn ikọlu aṣiri, awọn aaye ti o pin kaakiri malware, tabi iṣẹ Intanẹẹti miiran ti o lewu lori nẹtiwọọki ajọṣepọ kan. Ilana DoH naa kọja awọn asẹ wọnyi, ni ṣiṣafihan awọn olumulo ati nẹtiwọọki si eewu nla.
Ninu awoṣe ipinnu orukọ lọwọlọwọ, gbogbo ẹrọ lori nẹtiwọọki diẹ sii tabi kere si gba awọn ibeere DNS lati ipo kanna (olupin DNS kan pato). DoH, ati ni pataki imuse Firefox ti rẹ, fihan pe eyi le yipada ni ọjọ iwaju. Ohun elo kọọkan lori kọnputa le gba data lati oriṣiriṣi awọn orisun DNS, ṣiṣe laasigbotitusita, aabo, ati awoṣe eewu pupọ diẹ sii.
Kini iyatọ laarin DNS lori TLS ati DNS lori HTTPS?
Jẹ ki a bẹrẹ pẹlu DNS lori TLS (DoT). Koko akọkọ nibi ni pe Ilana DNS atilẹba ko yipada, ṣugbọn o kan tan kaakiri ni aabo lori ikanni to ni aabo. DoH, ni apa keji, fi DNS sinu ọna kika HTTP ṣaaju ṣiṣe awọn ibeere.
Awọn titaniji Abojuto DNS
Agbara lati ṣe abojuto awọn ijabọ DNS ni imunadoko lori nẹtiwọọki rẹ fun awọn asemase ifura jẹ pataki si wiwa ni kutukutu irufin kan. Lilo ọpa bii Varonis Edge yoo fun ọ ni agbara lati duro lori gbogbo awọn metiriki pataki ati ṣẹda awọn profaili fun gbogbo akọọlẹ lori nẹtiwọọki rẹ. O le tunto awọn itaniji lati wa ni ipilẹṣẹ bi abajade ti apapọ awọn iṣe ti o waye lori akoko kan pato.
Abojuto awọn iyipada DNS, awọn ipo akọọlẹ, lilo akoko akọkọ ati iraye si data ifura, ati iṣẹ-ṣiṣe awọn wakati lẹhin jẹ awọn metiriki diẹ ti o le ni ibamu lati kọ aworan wiwa gbooro.