无论公司做什么,安全
如果攻击者获得了组织 DNS 的控制权,他可以轻松地:
- 让您自己控制共享资源
- 重定向传入的电子邮件以及网络请求和身份验证尝试
- 创建并验证 SSL/TLS 证书
本指南从两个角度探讨 DNS 安全性:
- 对 DNS 进行持续监控和控制
- DNSSEC、DOH 和 DoT 等新 DNS 协议如何帮助保护所传输 DNS 请求的完整性和机密性
什么是 DNS 安全?
DNS 安全的概念包括两个重要组成部分:
- 确保将主机名解析为 IP 地址的 DNS 服务的整体完整性和可用性
- 监控 DNS 活动以识别网络上任何位置可能存在的安全问题
为什么 DNS 容易受到攻击?
DNS 技术是在互联网早期创建的,早在人们开始考虑网络安全之前。 DNS 的运行无需身份验证或加密,盲目处理来自任何用户的请求。
因此,有很多方法可以欺骗用户并伪造有关名称到 IP 地址的实际解析位置的信息。
DNS 安全:问题和组成部分
DNS 安全由几个基本组成 组件,必须考虑每一项以确保完整的保护:
- 加强服务器安全和管理程序: 提高服务器安全级别,创建标准调测模板
- 协议改进: 实施 DNSSEC、DoT 或 DoH
- 分析和报告: 将 DNS 事件日志添加到您的 SIEM 系统,以在调查事件时提供更多上下文
- 网络情报和威胁检测: 订阅主动威胁情报源
- 自动化: 创建尽可能多的脚本来自动化流程
上述高级组件只是 DNS 安全的冰山一角。 在下一节中,我们将深入探讨您需要了解的更具体的用例和最佳实践。
DNS 攻击
DNS 欺骗或缓存中毒 : 利用系统漏洞操纵 DNS 缓存,将用户重定向到另一个位置DNS 隧道 : 主要用于绕过远程连接保护- DNS劫持: 通过更改域名注册商将正常 DNS 流量重定向到不同的目标 DNS 服务器
- NXDOMAIN 攻击: 通过发送非法域名查询来获取强制响应,对权威 DNS 服务器进行 DDoS 攻击
- 幻象域: 导致 DNS 解析器等待来自不存在的域的响应,从而导致性能不佳
- 对随机子域的攻击: 受感染的主机和僵尸网络对有效域发起 DDoS 攻击,但将攻击重点放在虚假子域上,以迫使 DNS 服务器查找记录并接管服务控制权
- 域名拦截: 正在发送多个垃圾邮件响应以阻止 DNS 服务器资源
- 来自用户设备的僵尸网络攻击: 计算机、调制解调器、路由器和其他设备的集合,这些设备将计算能力集中在特定网站上,以使其流量请求超载
DNS 攻击
以某种方式使用 DNS 来攻击其他系统的攻击(即更改 DNS 记录不是最终目标):
- 快速通量
- 单通量网络
- 双通量网络
DNS 隧道
DNS 攻击
导致攻击者所需的 IP 地址从 DNS 服务器返回的攻击:
- DNS 欺骗或缓存中毒
- DNS劫持
什么是 DNSSEC?
DNSSEC - 域名服务安全引擎 - 用于验证 DNS 记录,而无需了解每个特定 DNS 请求的一般信息。
DNSSEC 使用数字签名密钥 (PKI) 来验证域名查询的结果是否来自有效来源。
实施 DNSSEC 不仅是行业最佳实践,而且还可以有效避免大多数 DNS 攻击。
DNSSEC 的工作原理
DNSSEC 的工作原理与 TLS/HTTPS 类似,使用公钥和私钥对对 DNS 记录进行数字签名。 该过程的总体概述:
- DNS 记录使用私钥对进行签名
- 对 DNSSEC 查询的响应包含所请求的记录以及签名和公钥
- 然后
公钥 用于比较记录和签名的真实性
DNS 和 DNSSEC 安全
DNSSEC 是一个用于检查 DNS 查询完整性的工具。 它不会影响 DNS 隐私。 换句话说,DNSSEC 可以让您确信您的 DNS 查询的答案没有被篡改,但任何攻击者都可以看到发送给您的结果。
DoT - 基于 TLS 的 DNS
传输层安全性 (TLS) 是一种加密协议,用于保护通过网络连接传输的信息。 一旦客户端和服务器之间建立了安全的 TLS 连接,传输的数据就会被加密,任何中间人都无法看到它。
DNS-over-TLS(DNS over TLS,DoT)使用 TLS 协议对常规 DNS 请求的 UDP 流量进行加密。
以纯文本形式加密这些请求有助于保护发出请求的用户或应用程序免受多种攻击。
- MitM,即“中间人”:如果没有加密,客户端和权威 DNS 服务器之间的中间系统可能会向客户端发送虚假或危险信息以响应请求
- 间谍活动和跟踪:在不加密请求的情况下,中间件系统很容易查看特定用户或应用程序正在访问哪些站点。 尽管仅 DNS 不会显示网站上正在访问的特定页面,但仅了解所请求的域就足以创建系统或个人的配置文件
来源:
DoH - 基于 HTTPS 的 DNS
DNS-over-HTTPS(DNS over HTTPS,DoH)是由 Mozilla 和 Google 联合推动的实验性协议。 其目标与 DoT 协议类似——通过加密 DNS 请求和响应来增强人们的在线隐私。
标准 DNS 查询通过 UDP 发送。 可以使用以下工具跟踪请求和响应
DoH 采用不同的方法,通过 HTTPS 连接发送加密的主机名解析请求,这看起来就像网络上的任何其他 Web 请求。
这种差异对于系统管理员和名称解析的未来都有非常重要的影响。
- DNS 过滤是过滤 Web 流量的常用方法,可保护用户免受网络钓鱼攻击、分发恶意软件的站点或企业网络上其他潜在有害的 Internet 活动的侵害。 DoH 协议绕过这些过滤器,可能使用户和网络面临更大的风险。
- 在当前的名称解析模型中,网络上的每个设备或多或少都会从同一位置(指定的 DNS 服务器)接收 DNS 查询。 DoH,特别是 Firefox 的实现,表明这种情况将来可能会发生变化。 计算机上的每个应用程序可能会从不同的 DNS 源接收数据,从而使故障排除、安全性和风险建模变得更加复杂。
来源:
基于 TLS 的 DNS 和基于 HTTPS 的 DNS 有什么区别?
让我们从基于 TLS 的 DNS (DoT) 开始。 这里的要点是,原始的 DNS 协议没有改变,只是通过安全通道安全地传输。 另一方面,DoH 在发出请求之前将 DNS 转换为 HTTP 格式。
DNS 监控警报
有效监控网络上的 DNS 流量是否存在可疑异常的能力对于及早发现违规行为至关重要。 使用 Varonis Edge 这样的工具将使您能够掌握所有重要指标并为网络上的每个帐户创建配置文件。 您可以将警报配置为由于特定时间段内发生的操作组合而生成的警报。
监控 DNS 更改、帐户位置、首次使用和访问敏感数据以及下班后活动只是一些指标,可以将这些指标关联起来以构建更广泛的检测情况。
来源: habr.com