Clever Geek Handbook

Guia de segurança DNS





O que quer que uma empresa faça, a segurança do DNS deve ser parte integrante de seu plano de segurança. Os serviços de nomenclatura, que traduzem nomes de host em endereços IP, são usados ​​literalmente por todos os aplicativos e serviços na rede.



Se um invasor obtiver o controle do DNS da organização, ele pode facilmente:

  • transferir o controle sobre os recursos que são de domínio público
  • redirecionar e-mails recebidos, bem como solicitações da web e tentativas de autenticação
  • criar e validar certificados SSL / TLS


Este guia analisa a segurança do DNS de duas perspectivas:

  1. Monitoramento e controle contínuo de DNS
  2. Como os novos protocolos DNS, como DNSSEC, DOH e DoT podem ajudar a proteger a integridade e a confidencialidade das consultas DNS transmitidas




O que é segurança DNS?







Existem duas partes importantes para a segurança DNS:



  1. Garantir a integridade geral e disponibilidade dos serviços DNS que traduzem nomes de host em endereços IP
  2. Monitore a atividade do DNS para identificar possíveis problemas de segurança em qualquer lugar da sua rede




Por que o DNS é vulnerável a ataques?



A tecnologia DNS foi criada nos primórdios da Internet, muito antes de alguém sequer pensar em segurança de rede. O DNS funciona sem autenticação ou criptografia, lidando cegamente com as solicitações de qualquer usuário.



Nesse sentido, há muitas maneiras de enganar o usuário e falsificar informações sobre onde a tradução de nomes em endereços IP é realmente realizada.



Problemas e componentes de segurança DNS







A segurança do DNS consiste em vários componentes principais , cada um dos quais deve ser levado em consideração para garantir a proteção completa:

  • Endureça servidores e procedimentos de gerenciamento: aprimore a segurança do servidor e crie um modelo de comissionamento padrão
  • Aprimoramento de protocolo: Implementar DNSSEC, DoT ou DoH
  • Análise e relatórios: adicione um log de eventos DNS a um sistema SIEM para contexto adicional ao investigar incidentes
  • Inteligência cibernética e detecção de ameaças: inscreva-se em um canal ativo de inteligência contra ameaças
  • Automação: crie tantos scripts quanto possível para automatizar processos


Os componentes de alto nível acima são apenas a ponta do iceberg de segurança do DNS. Na próxima seção, examinaremos mais detalhadamente os casos de uso mais específicos e as práticas recomendadas que você precisa conhecer.



Ataques DNS







  • Falsificação de DNS ou envenenamento de cache : exploração de uma vulnerabilidade do sistema para gerenciar o cache de DNS para redirecionar usuários para um local diferente
  • Tunelamento de DNS : usado principalmente para contornar proteções contra conexões remotas
  • Sequestro de DNS: redirecionando o tráfego regular de DNS para outro servidor DNS de destino alterando o registrador de domínio
  • Ataque NXDOMAIN: conduzir um ataque DDoS em um servidor DNS autoritativo enviando solicitações de domínio inadequadas para obter uma resposta forçada
  • : DNS- (DNS resolver) ,
  • : DDoS- , , DNS-
  • : - DNS-
  • - : , , , -


DNS



Ataques que de alguma forma usam DNS para atacar outros sistemas (ou seja, alterar os registros DNS não é o objetivo final):



Ataques DNS



Ataques que retornam o endereço IP necessário ao invasor do servidor DNS:

  • Spoofing de DNS ou envenenamento de cache
  • Sequestro de DNS


O que é DNSSEC?









DNSSEC - Módulos de Segurança do Serviço de Nomes de Domínio - são usados ​​para validar registros DNS sem a necessidade de saber informações gerais para cada solicitação DNS específica.



DNSSEC usa chaves de assinatura digital (PKIs) para confirmar se os resultados de uma consulta de nome de domínio são de uma fonte válida.

Implementar DNSSEC não é apenas uma prática recomendada do setor, mas também evita efetivamente a maioria dos ataques DNS.



Como funciona o DNSSEC



O DNSSEC funciona de maneira semelhante ao TLS / HTTPS, usando pares de chaves públicas e privadas para assinar digitalmente os registros DNS. Visão geral do processo:

  1. Os registros DNS são assinados com um par de chaves privadas e privadas
  2. As respostas DNSSEC contêm a entrada solicitada, bem como a assinatura e a chave pública
  3. A chave pública é então usada para comparar a autenticidade da entrada e da assinatura




Segurança DNS e DNSSEC







DNSSEC é uma ferramenta para verificar a integridade de consultas DNS. Isso não afeta a confidencialidade do DNS. Em outras palavras, o DNSSEC pode dar a você a confiança de que a resposta à sua consulta DNS não é falsificada, mas qualquer invasor pode ver esses resultados conforme eles foram enviados a você.



DoT - DNS sobre TLS



O Transport Layer Security (TLS) é um protocolo criptográfico para proteger as informações transmitidas em uma conexão de rede. Depois que uma conexão TLS segura é estabelecida entre o cliente e o servidor, os dados transmitidos são criptografados e não podem ser vistos por nenhum intermediário.



TLS é mais comumente usado como parte de HTTPS (SSL) em seu navegador da Web, pois as solicitações são enviadas para servidores HTTP seguros.



DNS sobre TLS (DNS sobre TLS, DoT) usa o protocolo TLS para criptografar o tráfego UDP para solicitações regulares de DNS.

A criptografia dessas solicitações em texto simples ajuda a proteger os usuários ou aplicativos que fazem as solicitações de vários ataques.

  • MitM, ou "man in the middle" : sem criptografia, o sistema intermediário entre o cliente e o servidor DNS autorizado pode enviar informações falsas ou perigosas para o cliente em resposta a uma solicitação
  • Espionagem e rastreamento : sem criptografar solicitações, é fácil para sistemas intermediários ver quais sites um determinado usuário ou aplicativo está acessando. Embora não seja possível descobrir uma página específica visitada em um site apenas pelo DNS, o simples conhecimento dos domínios solicitados é suficiente para formar o perfil de um sistema ou de um indivíduo






Fonte: University of California Irvine



DoH - DNS sobre HTTPS



DNS-over-HTTPS (DNS sobre HTTPS, DoH) é um protocolo experimental promovido conjuntamente pela Mozilla e pelo Google. Seus objetivos são semelhantes ao DoT, que é melhorar a privacidade das pessoas na Internet criptografando solicitações e respostas DNS.



As consultas DNS padrão são enviadas por UDP. Solicitações e respostas podem ser rastreadas usando ferramentas como o Wireshark . O DoT criptografa essas solicitações, mas elas ainda são identificadas como tráfego UDP bastante claro na rede.



O DoH adota uma abordagem diferente e envia solicitações de resolução de nome de host criptografadas por conexões HTTPS que se parecem com qualquer outra solicitação da web pela rede.



Essa diferença tem implicações muito importantes para administradores de sistema e resolução de nomes no futuro.

  1. A filtragem de DNS é um método comum de filtrar o tráfego da web para proteger os usuários de ataques de phishing, sites que espalham malware ou outras atividades potencialmente prejudiciais da Internet em uma rede corporativa. O DoH ignora esses filtros, potencialmente colocando os usuários e a rede em maior risco.
  2. No modelo atual de resolução de nomes, cada dispositivo na rede recebe solicitações DNS até certo ponto do mesmo local (de um servidor DNS especificado). DoH, e em particular sua implementação do Firefox, indica que isso pode mudar no futuro. Cada aplicativo em um computador pode recuperar dados de diferentes fontes DNS, tornando a solução de problemas, a segurança e a modelagem de risco muito mais difíceis.






Fonte: www.varonis.com/blog/what-is-powershell



Qual é a diferença entre DNS sobre TLS e DNS sobre HTTPS?



Vamos começar com DNS sobre TLS (DoT). O foco principal aqui é que o protocolo DNS original não muda, mas simplesmente é transmitido com segurança por um canal seguro. O DoH coloca o DNS no formato HTTP antes de fazer solicitações.



Alertas de monitoramento DNS







A capacidade de monitorar com eficácia o tráfego DNS em sua rede em busca de anomalias suspeitas é crítica para a detecção precoce de uma violação. Usar uma ferramenta como o Varonis Edge lhe dará a capacidade de ficar por dentro de todas as métricas importantes e criar perfis para cada conta em sua rede. Você pode personalizar a geração de alertas como resultado de uma combinação de ações que ocorrem durante um período de tempo específico.



Monitorar alterações de DNS, locais de conta, uso e acesso pela primeira vez a dados confidenciais e atividades fora do horário comercial são apenas algumas métricas que podem ser comparadas para fornecer uma imagem mais ampla da descoberta.


More articles:


All Articles