Найти тему
ITShaman
560 подписчиков

Что такое безопасность DNS? Все, что нужно знать

28
10 мин
Оглавление

Безопасность DNS защищает систему доменных имен (DNS) от злоумышленников, стремящихся перенаправить трафик на вредоносные сайты. Так как большая часть ИТ-трафика в настоящее время поступает в Интернет или проходит через него, DNS играет все более важную – и уязвимую – роль.

Почему безопасность DNS важна

Безопасность DNS очень важна, поскольку все компьютеры используют DNS при попытке взаимодействия с веб-сайтами и приложениями, размещенными в Интернете. DNS преобразует доменные имена URL, такие как itshaman.ru, в понятные машинам IP-адреса, например 146.75.93.91, которые будут использоваться маршрутизаторами для установления соединений.

Протокол DNS был разработан для использования в защищенной сети внутри брандмауэра и по умолчанию обменивается данными в виде обычного текста. Протокол DNS устанавливается на серверах и обычно сохраняет наиболее часто запрашиваемые сайты, такие как Google com, Outlook.com и т.д., в кэше DNS для более эффективной доставки информации пользователям.

Современная компьютерная среда включает филиалы, удаленных работников и мобильные устройства, которые должны обращаться к DNS-серверам из-за пределов межсетевого экрана. Этот дополнительный и незащищенный трафик может привести к тому, что традиционные DNS-серверы будут с трудом соответствовать стандартам безопасности, предъявляемым любой организацией для предотвращения атак.

Хакеры пытаются нарушить работу DNS следующим образом:

  • Перехват текстовых сообщений DNS с целью шпионажа
  • Отравление кэша DNS ложной информацией для перенаправления сообщений на вредоносные сайты
  • Компрометация DNS-серверов для перенаправления трафика на вредоносные сайты
  • Отказ в предоставлении услуг DNS с помощью распределенных атак типа «отказ в обслуживании» (DDoS) для уничтожения сообщений

Без функционирующего решения DNS организации не смогут получить доступ к веб-ресурсам или предоставить клиентам услуги через Интернет. Кроме того, некоторые злоумышленники используют нарушение работы DNS для маскировки более опасных кибератак, таких как кража данных, подготовка к выкупу или установка «черных ходов» в другие ресурсы. Чтобы предотвратить DNS-атаку, организациям необходимо обеспечить безопасность DNS-процессов как для локальных, так и для удаленных пользователей.

5 распространенных DNS-атак

Хакеры постоянно проверяют обнаруженные DNS-системы, поскольку эти системы касаются всех пользователей в сети. К наиболее распространенным атакам на DNS относятся:

  • DNS cache poisoning взлом локального DNS-сервера с целью замены IP-адресов легитимных сайтов в кэше на вредоносные IP-адреса, которые будут передаваться пользователям для последующих DNS-запросов
  • DNS domain lock-up DDoS атаки перегружают легитимные DNS-серверы, злоупотребляя DNS-протоколом с помощью:Медленные TCP-соединения = блокировка домена DDoS
    Переполнение запросов = флуд DDoS
    Несуществующие записи = NXDOMAIN (несуществующий домен) DDoS
    Запросы с поддельными IP-адресами = отражение-усиление DDoS
    Несуществующие поддомены URL = поддомен DDoS
  • DNS hijacking перенаправление запросов на вредоносный DNS-сервер путем подмены информации в DNS-записи с помощью вредоносного ПО, скомпрометированного оборудования (DNS-сервера, маршрутизатора и т.д.) или взломанной учетной записи регистратора доменов DNS spoofing выдача себя за легитимный сайт с целью сбора учетных данных посетителей.
  • DNS spoofing выдает себя за легитимный сайт для сбора учетных данных, заражения посетителей вредоносным ПО и других атак; Эта атака часто выигрывает от успешно проведенных атак DNS poisoning, которые перенаправляют кэшированные DNS-запросы на поддельный сайт
  • DNS tunneling доставляет пользователям вредоносное ПО, запускает ботнеты, такие как DNS Beaconing, или осуществляет утечку данных через доверенный, но скомпрометированный DNS-коммуникатор на порту 53 или через зашифрованные DNS-запросы по протоколам SSH TCP или HTTP

Как работает защита DNS

Безопасность DNS защищает от компрометации с помощью уровней защиты и фильтрации, аналогично тому, как межсетевые экраны нового поколения (NGFW) защищают потоки коммуникационных данных. Типичные меры безопасности включают:

  • Шифрование каналов связи с использованием аутентифицированной и зашифрованной связи DNS через TLS (DoT) или DNS через HTTPS (DoH).
  • Запись логов DNS и анализ логов для проверки признаков компрометации или злонамеренного доступа и связи
  • Скрытие основных DNS-серверов от публичного или низкоуровневого доступа безопасности и использование вторичных DNS-серверов для обработки запросов от конечных пользователей.
  • Усиление протоколов с помощью фильтров. Вместо этого использовать вторичные DNS-серверы для обработки запросов конечных пользователей.
  • Усиление протоколов с помощью дополнительных протоколов DNS Security Extension (DNSSEC) или DNSCrypt для аутентификации и шифрования DNS-коммуникаций с заведомо исправными DNS-ресурсами.
  • Фильтрация репрессий блокирует или перенаправляет DNS-запросы на заведомо вредоносные домены и IP-адреса напрямую с помощью белых/черных списков или через рекурсивные DNS-службы.
  • Защита от нагрузки на серверы снижает эффективность DDoS-атак с помощью типичных методов усиления серверов, таких как выделенные серверы, балансировка нагрузки, резервирование и увеличение мощности серверов, предоставляющих услуги DNS.
  • Инспекция трафика для DNS больше не предполагает, что протокол является доверенным, и проверяет наличие вредоносных программ и другого вредоносного трафика в трафике DNS-запросов с помощью NGFW или брандмауэров DNS.

Использование сильного сочетания этих решений для защиты DNS может обеспечить дополнительную защиту всей организации от вредоносных программ, фишинга и бот-сетей. Среди этих вариантов одним из наиболее важных является DNSSEC, который должен быть внедрен в организациях любого размера.

Что такое расширения безопасности DNS (DNSSEC)?

Протоколы Domain Name System Security Extension (DNSSEC) обеспечивают аутентификацию трафика DNS, добавляя поддержку ответов с криптографической подписью. DNSSEC может быть внедрен без особых затрат и, как правило, является первым шагом, предпринятым для повышения безопасности DNS. Большинство коммерческих решений по обеспечению безопасности DNS включают DNSSEC в качестве основного предложения для всех клиентов.

DNSSEC предлагает функции и преимущества, которые непосредственно устраняют основные недостатки протокола DNS, но их легко спутать с другими решениями DNS, поскольку они имеют схожее название. Чтобы прояснить суть DNSSEC, мы рассмотрим его возможности и преимущества, а также сравним его с DNS Security, DNS Crypt и Encrypted DNS.

Особенности DNSSEC и преимущества

Когда незащищенный DNS-сервер делает запрос на преобразование URL в IP-адрес, он посылает запрос. Когда ответ получен, определить его подлинность может быть затруднительно. DNSSEC добавляет аутентификацию происхождения данных и защиту целостности данных за счет публикации открытых ключей шифрования вместе с IP-адресом и каталогом URL.

Функции DNSSEC включают:

  • Аутентифицированный отказ в существовании (DoE) предоставляет авторизованную информацию DNS-резольверам – DNS-серверам, отвечающим за преобразование доменных имен в IP-адреса, – о том, что домен не существует, чтобы запросы к этому домену могли быть быстро разрешены
  • Аутентифицированный NODATA предоставляет авторизованную информацию DNS-резольверам о том, что домен существует, но запрашиваемые данные, например, IPv6-адрес, для этого домена не существуют
  • Зоны DNS публикуют открытые ключи шифрования для проверки доменов и адресов, опубликованных регистраторами доменов в данной зоне
  • Резольверы DNS проверяют подписи для доменов, подписанных DNSSEC, чтобы убедиться в подлинности и точности адресов

Эти функции напрямую защищают от:

  • Отравления кэша DNS, поскольку доставленные результаты DNS могут быть сверены с цифровой подписью для проверки подлинности
  • Атак DDoS на NXDOMAIN и субдомены DNS, поскольку аутентифицированные результаты DoE и NODATA могут более эффективно устранять несуществующие запросы

DNS Security vs. DNSSEC vs. DNSCrypt vs. Encrypted DNS

Хотя DNSSEC обеспечивает мощную защиту, он не обеспечивает всеобъемлющей безопасности или защиты. DNS-сервер или служба, использующая только протоколы DNSSEC, по-прежнему отправляет запросы в виде обычного текста и остается уязвимой для других типов DNS-атак.

Чтобы понять, как другие компоненты безопасности DNS дополняют DNSSEC, давайте сравним термины
DNSCrypt, Encrypted DNS и DNS Security:

  • DNSSEC обеспечивает аутентификацию источника и проверку целостности DNS-запросов.
  • DNSCrypt использует криптографию с эллиптическими кривыми для обеспечения бесплатного сквозного шифрования между серверами и конечными точками DNS-запросов
  • Encrypted DNS использует аутентифицированные и зашифрованные протоколы для DNS-запросов через DNS over TLS (DoT) или DNS over HTTPS (DoH)
  • DNS Security является общим термином, который охватывает все методы, используемые для защиты безопасности DNS, начиная с конкретных протоколов (DNSSEC, DNSCrypt и др.), шифрования, методов, используемых для повышения безопасности DNS-серверов, и услуг, приобретаемых для защиты DNS

Можно ли предотвратить DNS-атаки?

Атаки на DNS можно предотвратить или уменьшить их последствия. Более подробно об этом говорится в нашей статье «Как предотвратить DNS-атаки», но в целом различные решения будут более эффективны против одних типов DNS-атак и менее эффективны против других.

Например, DNSSEC повышает устойчивость к отравлению DNS-кэша, но не решает проблему DNS-туннелирования или каких-либо DDoS-атак на DNS. Аналогичным образом, межсетевой экран, выполняющий проверку пакетов DNS, будет напрямую бороться с DNS-туннелированием и некоторыми DDoS-атаками, но не сможет защитить от отравления DNS-кэша.

Как и в случае всех уязвимостей кибербезопасности, безопасность лучше всего повышать с помощью многоуровневой защиты, усовершенствованных протоколов и лучших практик сетевой безопасности, таких как регулярное исправление, управление доступом и мониторинг атак. Каждая ИТ-среда индивидуальна, поэтому конкретные средства защиты, обеспечивающие наилучшие решения для каждой организации, могут быть разными; однако все решения для предотвращения DNS-атак должны обеспечивать защиту от DDoS-атак, проверку результатов DNS и мониторинг DNS-трафика.

3 лучших решения для защиты DNS

С практической точки зрения, организация может многого добиться, сосредоточив усилия на обеспечении безопасности DNS на существующем DNS-сервере без больших инвестиций в сервисы и инструменты. Однако DNS играет настолько важную роль в нашей зависящей от Интернета ИТ-инфраструктуре, что дополнительные инвестиции могут значительно снизить риски атак в масштабах всей организации.

При выборе решения по обеспечению безопасности необходимо учитывать следующие основные моменты:

  • Защита процесса DNS для защиты от получения компрометирующей DNS-информации
  • Защита DNS-сервера для сохранения целостности DNS-данных и защиты от DNS DDoS-атак
  • Защита DNS-трафика от атак DNS-туннелирования, использующих DNS-трафик как прикрытие для других действий

Три лучших решения непосредственно решают эти задачи:

  • Службы рекурсивного DNS-поиска (Google Public DNS, Quad9 и др.) обеспечивают целостность процесса DNS путем предоставления авторитетных и аутентифицированных источников DNS.
  • Облачная фильтрация и защита DNS (Cisco Umbrella, Palo Alto DNS Security, NS1 и др.) защищает процесс DNS аналогично сервисам поиска, но при этом блокирует известные вредоносные источники, что помогает защитить DNS-трафик и изолировать DNS-сервер от DDoS-атак.
  • Сервис DNS с собственными DNS-серверами (Google Cloud DNS, Cloudflare DNS, F5 Distributed Cloud DNS и др.) передают весь DNS провайдеру, который обеспечивает глобальный доступ и широкую защиту DNS-процессов, серверов и трафика.

В дополнение к вышеперечисленным специализированным DNS-решениям, защита DNS часто включается в качестве функции во многие другие интегрированные решения безопасности, такие как межсетевые экраны нового поколения (NGFW), защищенные веб-шлюзы (SWG), Secure Service Edge (SSE) и Secure Access Service Edge (SASE). Некоторые производители даже предлагают инструменты для интеграции DNS, протокола динамической конфигурации хоста (DHCP) и управления IP-адресами (IPAM) в интегрированное решение DDI для локальных и «облачных» серверов для управления этими фундаментальными сетевыми протоколами

Заключение

При наличии большого количества вариантов, соответствующих самым разным возможностям и бюджетам, организациям следует уже сегодня принять меры по обеспечению безопасности DNS-серверов и коммуникаций. Злоумышленники уже ищут уязвимые DNS-решения и ежедневно злоупотребляют ими.

Скромные инвестиции во время могут улучшить базовую защиту DNS, а более агрессивные инвестиции могут значительно снизить риск. В конце концов, поскольку большинство процессов теперь связано с Интернетом, безопасное решение DNS может блокировать угрозы, выходящие за рамки DNS-процессов, и обеспечивать безопасность электронной почты, конечных точек, удаленных пользователей и т.д.

Подробнее

Взгляните на эти темы
Гаджеты и электроника
Технологии и IT
Найти тему
Кибербезопасность
Общество
Умные колонки
Колонки и аудиосистемы
Графические планшеты
VR-очки
Смартфоны
Планшеты
Ноутбуки
Игровые консоли
Умные часы
Фитнес-трекеры
Камеры и фототехника
Наушники
Электронные книги
Социальные сети и мессенджеры
Языки программирования
Веб-разработка
Кибербезопасность
25,6 тыс интересуются