無論公司做什麼,安全 應成為其安全計劃的一個組成部分。 名稱服務將網絡主機名解析為 IP 地址,幾乎被網絡上的每個應用程序和服務使用。
如果攻擊者獲得了組織 DNS 的控制權,他們可以輕鬆地:
- 讓您自己控制公共領域的資源
- 重定向傳入的電子郵件以及網絡請求和身份驗證嘗試
- 創建並驗證 SSL/TLS 證書
本指南從兩個角度著眼於 DNS 安全:
- 持續監控和控制 DNS
- DNSSEC、DOH 和 DoT 等新 DNS 協議如何幫助保護所傳輸 DNS 請求的完整性和機密性
什麼是 DNS 安全?
DNS 安全概念有兩個重要組成部分:
- 確保將網絡主機名解析為 IP 地址的 DNS 服務的整體完整性和可用性
- 監控 DNS 活動以識別網絡上任何位置的潛在安全問題
為什麼DNS容易受到攻擊?
DNS 技術是在互聯網早期創建的,早在人們考慮網絡安全之前。 DNS 的運行無需身份驗證和加密,盲目處理來自任何用戶的請求。
在這方面,有很多方法可以欺騙用戶並偽造有關名稱到 IP 地址的解析實際執行位置的信息。
DNS 安全問題和組件
DNS 安全由幾個基本組成 組件,必須考慮每一項以確保充分保護:
- 加強服務器和管理程序的安全: 提高服務器安全性並創建標準調試模板
- 協議改進: 實施 DNSSEC、DoT 或 DoH
- 分析和報告: 將 DNS 事件日誌添加到您的 SIEM 系統,以在調查事件時提供更多上下文
- 網絡情報和威脅檢測: 訂閱主動威脅情報源
- 自動化: 創建盡可能多的腳本來自動化流程
上述高級組件只是 DNS 安全的冰山一角。 在下一節中,我們將仔細研究您需要了解的更具體的用例和最佳實踐。
DNS 攻擊
- : 利用系統漏洞操縱 DNS 緩存,將用戶重定向到另一個位置
- : 主要用於繞過遠程連接保護
- DNS攔截: 通過更改域名註冊商將正常 DNS 流量重定向到另一個目標 DNS 服務器
- NXDOMAIN 攻擊: 通過發送非法域查詢來獲取強制響應,對權威 DNS 服務器進行 DDoS 攻擊
- 幻象域: 導致 DNS 解析器等待來自不存在的域的響應,從而導致性能不佳
- 對隨機子域的攻擊: 被黑的主機和殭屍網絡 DDoS 活動域,但重點攻擊虛假子域,以迫使 DNS 服務器查找記錄並控制服務
- 域名攔截: 正在發送大量垃圾郵件響應來阻止 DNS 服務器資源
- 來自用戶設備的殭屍網絡攻擊: 計算機、調製解調器、路由器和其他設備的集合,這些設備將處理能力集中在特定網站上,使其因流量請求而超載
DNS 攻擊
以某種方式使用 DNS 來攻擊其他系統的攻擊(即更改 DNS 記錄不是最終目標):
- 快速通量
- 單通量網絡
- 雙通量網絡
DNS 攻擊
從 DNS 服務器返回攻擊者所需的 IP 地址的攻擊:
- DNS 欺騙或緩存中毒
- DNS攔截
什麼是 DNSSEC?
DNSSEC - 域名服務安全模塊 - 用於驗證 DNS 記錄,而無需了解每個特定 DNS 請求的一般信息。
DNSSEC 使用數字簽名密鑰 (PKI) 來驗證域名查詢的結果是否來自有效來源。
實施DNSSEC不僅是行業最佳實踐,而且可以有效避免大多數DNS攻擊。
DNSSEC 的工作原理
DNSSEC 的工作原理與 TLS/HTTPS 類似,使用公鑰/私鑰對對 DNS 記錄進行數字簽名。 該過程的總體概述:
- DNS 記錄使用私鑰和私鑰對進行簽名
- 對 DNSSEC 查詢的響應包含所請求的條目以及簽名和公鑰
- 然後 用於比較記錄和簽名的真實性
DNS 安全和 DNSSEC
DNSSEC 是一個用於檢查 DNS 查詢完整性的工具。 它不會影響 DNS 隱私。 換句話說,DNSSEC 可以讓您確信您的 DNS 查詢的答案不是欺騙性的,但任何攻擊者都可以看到發送給您的結果。
DoT - 基於 TLS 的 DNS
傳輸層安全性 (TLS) 是一種加密協議,用於保護通過網絡連接傳輸的信息。 一旦客戶端和服務器之間建立了安全的 TLS 連接,傳輸的數據就會被加密,任何中間人都無法看到它。
最常用作 Web 瀏覽器中 HTTPS (SSL) 的一部分,因為請求會發送到安全 HTTP 服務器。
DNS-over-TLS(DNS over TLS,DoT)使用 TLS 協議來加密正常 DNS 查詢的 UDP 流量。
以純文本形式加密這些請求有助於保護髮出請求的用戶或應用程序免受多種攻擊。
- MitM,即“中間人”:如果沒有加密,客戶端和權威 DNS 服務器之間的中間系統可能會向客戶端發送虛假或危險信息以響應請求
- 間諜活動和跟踪:如果沒有請求加密,中間系統很容易看到特定用戶或應用程序正在訪問哪些站點。 雖然僅通過 DNS 無法獲知站點上訪問的特定頁面,但僅了解所請求的域就足以形成系統或個人的配置文件。
來源:
DoH - 基於 HTTPS 的 DNS
DNS-over-HTTPS(DNS over HTTPS,DoH)是由 Mozilla 和 Google 聯合推動的實驗性協議。 其目標與 DoT 協議類似 - 通過加密 DNS 請求和響應來增強互聯網上人們的隱私。
標準 DNS 查詢通過 UDP 發送。 可以使用以下工具跟踪請求和響應 。 DoT 對這些請求進行加密,但它們仍然被識別為網絡上相當不同的 UDP 流量。
DoH 採用不同的方法,通過 HTTPS 連接發送加密的主機名解析請求,這與網絡上的任何其他 Web 請求類似。
這種區別對於系統管理員和未來的名稱解析都有非常重要的影響。
- DNS 過濾是過濾 Web 流量的常用方法,可保護用戶免受網絡釣魚攻擊、惡意軟件站點或企業網絡上其他潛在有害的 Internet 活動的侵害。 DoH 協議繞過這些過濾器,可能使用戶和網絡面臨更高的風險。
- 在當前的名稱解析模型中,網絡上的每個設備在某種程度上都會從同一位置(從指定的 DNS 服務器)接收 DNS 請求。 DoH,特別是 Firefox 的實現,表明這種情況將來可能會發生變化。 計算機上的每個應用程序都可以從不同的 DNS 源獲取數據,這使得故障排除、安全性和風險建模變得更加困難。
來源:
基於 TLS 的 DNS 和基於 HTTPS 的 DNS 有什麼區別?
讓我們從基於 TLS 的 DNS (DoT) 開始。 這裡的重點是原始DNS協議沒有被修改,而只是通過安全通道安全地傳輸。 DoH 在發出請求之前將 DNS 轉換為 HTTP 格式。
DNS監控警報
能夠有效監控網絡上的 DNS 流量是否存在可疑異常對於及早發現違規行為至關重要。 使用 Varonis Edge 這樣的工具將使您能夠掌握所有重要指標並為網絡上的每個帳戶創建配置文件。 您可以設置由於一段時間內發生的操作組合而生成的警報。
監控 DNS 更改、帳戶位置、首次使用和訪問敏感數據以及非工作時間活動只是可以比較以構建更廣泛的檢測情況的幾個指標。
來源: www.habr.com