۱۳۹۸-۰۵-۱۹ ۱۲:۵۳
تنظیم اندازه قلم

پ

۲:۱۵
اخبار فناوری

چالش جدید برای امنیت DNS

اخیرا چندین رویداد مرتبط با امنیت DNS ، تیتر اخبار شده است که یادآور این نکته است که این بخش جدایی‌ناپذیر از اینترنت نباید مورد غفلت واقع شود.

برخلاف آنچه نقاط پایانی(endpoints)، شبکه‌ها(networks)، مراکز داده (data centers) و...می‌تواند به شرکت‌ها تعلق داشته باشد اما  DNSمی‌تواند جزء زیرساخت‌های عمومی محسوب شود و با توجه به این‌که برای محافظت از آن به ثبت‌کننده‌ها و ISP ها اعتماد می‌شود با توجه به اتفاقات اخیر ، زمان آن رسیده که در استراتژی خود برای امنیت DNS تجدیدنظر شود.
درک خطرات
سه‌نقطه وجود دارد که در آن می‌توان جستجوی DNS را ربود.اولی در نقطه پایانی کاربر است، که می‌تواند با malware که پیکربندی DNS را تحت‌الشعاع قرار می‌دهد آلوده شود.
مورد دوم از طریق Wi-Fi عمومی است ، که در آن نشست می‌تواند به‌راحتی ربوده شود. تهدید سوم برای DNS، مربوط به خود سوابق است.
با سرقت اعتبارات، مهاجمان می‌توانند به حساب‌های ویژه DNS دسترسی داشته و ترافیک را به محلی که آن‌ها کنترل می‌کنند هدایت کنند. یا در مقیاس بزرگ‌تر، آن‌ها می‌توانند به سیستم DNS حمله کرده و چندین رکورد را تغییر دهند.
این فن‌ها برای چند هدف قابل‌استفاده هستند. از آن‌ها می‌توان برای ارسال کاربر به سایت "بد" استفاده کرد که بدافزار را بارگیری می‌کند یا مدارک معتبر را سرقت می‌کند.
آن‌ها می‌توانند در برابر سرویس‌های نرم‌افزاری(به‌عنوان‌مثال یک برنامه مدیریت ارتباط با مشتری(CRM)) به‌منظور پیکربندی داده‌ها استفاده شوند. و می‌توان از آن‌ها در حمله هدفمند علیه یک سازمان خاص برای دسترسی به ایمیل‌های شرکت یا منابع شبکه خصوصی استفاده کرد.
راه‌حل
آیا راه‌حلی وجود دارد؟ به‌طور خلاصه ، بله - اما طبق معمول ، همه یک اندازه نیست. هر سازمان باید اولویت‌بندی کند ، سطح امنیت موردنیاز خود را تعیین کند و بر اساس آن‌یک یا چند محصول را پیاده‌سازی کند.
برای جلوگیری از دسترسی کاربران به دامنه‌های مخرب ، شرکت‌ها می‌توانند از یک‌راه حل امنیتی DNS استفاده کنند که اعتبار DNS را بررسی می‌کند ، دسترسی به دامنه‌های بد شناخته‌شده و دسترسی پراکسی‌ها به دامنه‌های مشکوک را مسدود می‌کند. برای اینکه این امر در لپ‌تاپ‌های خارج از شبکه محلی مؤثر واقع شود ، علاوه بر بستر محافظت نهایی Endpoint موجود ، باید یک عامل انتهایی را نیز مستقر کنند. این روش معمولاً در مواردی که جستجوی DNS یا سابقه DNS به خطر بیفتد ، از رفتن کاربران به سایت‌های بد  جلوگیری می‌کند.
هنگامی‌که نوبت به محافظت از برنامه‌های خود در برابر حمله DNS هدفمند می‌رسد ، اولین خط دفاع،استفاده از یک سرویس ثبت‌نام امن و مدیریت‌شده DNS، مانند Cloudflare یا NS1 است. آن‌ها علاوه بر اقدام برای محافظت از برنامه‌های خود در مقابل ربودن DNSSEC ، افزونه‌ای  ارائه می‌دهند که به‌صورت رمزنگاری رکوردهای DNS را امضا می‌کند تا صحت آن‌ها را تأیید کند.
با این استاندارد هنوز برخی موارد عملیاتی وجود دارد ، اما  باید بهبود پیدا کنند. بااین‌حال ، درحالی‌که آن‌ها به‌طور قابل‌توجهی خطر را کاهش می‌دهند  اما قطعاً آسیب‌پذیری‌ها را در برابر همه انواع حملات محافظت نمی‌کنند.

کلمات کلیدی :

افزودن دیدگاه جدید

700X100.gif

اخبار مرتبط