Rolle von DNS-Level-Sicherheit für SASE

Viele Artikel in der Branche und mein Blog auf SASE entschlüsseln sind sehr klar über die Hauptbestandteile von SASE. Im Falle des SASE Sicherheit, die vorherrschenden Komponenten, die besprochen werden, sind Secure Web Gateway (SWG), Cloud Zugriffssicherheitsbroker (CASB), Zero Trust Network Access (ZTNA) und Firewall der nächsten Generation (NGFW). Zu den Sicherheitsfunktionen dieser Komponenten gehören IP-Adresse, Domäne, URL, File-Reputation-basierte Zugriffskontrolle, Anti-Malware, Data Loss Prevention, Intrusion Prevention, zusätzlich zu richtlinienbasierten Zugriffskontrollen auf verschiedenen Ebenen, einschließlich L3/L4-Zugriffskontrollen, URL kategoriebasierte Zugriffskontrollen, Software as a Service-Zugriffskontrollen auf Funktionsebene usw.

Da das Hypertext Transfer Protocol (HTTP) das am häufigsten verwendete Protokoll für Internet, Software as a Service und sogar Ent isterpDer Anwendungszugriff steigt, Sicherheitsfunktionen werden im Zusammenhang mit dem Hypertext Transfer Protocol in vielen Artikeln beschrieben.

In diesem Artikel liegt der Schwerpunkt auf dem Domain Name System (DNS) Protokoll und Bedrohungsschutz, der über erreicht werden kann DNS Proxys. Wir bei Aryaka glauben, dass SASE umfasst DNS-basierte Sicherheit.

Was ist DNS?

DNS ist ein System, das transslatestet für Menschen lesbare Domänennamen in IP-Adressen. Computer kommunizieren untereinander über IP-Adressen, aber Domänennamen sind für Menschen einfacher zu merken und zu verwenden. Wenn ein Benutzer einen Domänennamen in seinen Browser eingibt, um auf eine Website oder einen Dienst zuzugreifen, sendet der Browser eine DNS Anfrage an a DNS Resolver, um die mit dem Domänennamen verknüpfte IP-Adresse nachzuschlagen. Der Resolver sucht die IP-Adresse in einer verteilten Datenbank namens DNS Hierarchie und sendet sie an den Browser zurück, der dann mithilfe der IP-Adresse eine Verbindung zum Server aufbaut, auf dem sich die Website oder der Dienst befindet.

Sicherheit über DNS und DNS Sicherheit

Der Begriff "DNS Der Begriff „Sicherheit“ bezieht sich typischerweise auf Maßnahmen zum Schutz des erperhebt euch DNS Infrastruktur, einschließlich maßgeblicher DNS Server und DNS Resolver. „Sicherheit durch DNS„bezieht sich auf die Verwendung von DNS Protokoll für Bedrohungsschutz und Zugriffskontrolle, typischerweise über transparent DNS Proxys. Seit SASE Wir sind davon überzeugt, dass wir mehrere Netzwerksicherheitsdienste zu einem einzigen konsolidieren SASE muss sowohl „Sicherheit über DNS" und "DNS „Sicherheit“-Funktionen.

Beide Funktionalitäten können durch realisiert werden SASE über das DNS Proxy-Mechanismus. Der SD-WAN Teil von SASE kann das abfangen DNS Verkehr und übergeben Sie es an a DNS Proxy zur Ausführung verschiedener Sicherheitsfunktionen. A DNS Proxy muss auch als einfacher (nicht rekursiver) Proxy fungieren DNS Resolver zum Senden der DNS Anfragen an den Upstream DNS Resolver/Server.

Gemeinsame Merkmale von SASE DNS Proxy

Gewährleistung der Privatsphäre: DNS Von Clients wie nativen Clientanwendungen/Browsern generierte Abfragen werden nicht verschlüsselt. Dadurch kann jede Zwischeneinheit, die Zugriff auf den Datenverkehr hat, sehen, welche Websites von den Benutzern besucht werden. Dieser Mangel an Privatsphäre kann es Man-in-the-Middle-Angreifern erleichtern, das Online-Verhalten der Benutzer zu verfolgen. Seit DNS Proxy in SASE Kann auf dem Bild vorher kommen DNS Abfragen gehen von Ent auserpErhebt sich die logische Grenze, kann es die Privatsphäre des Online-Verhaltens der Benutzer schützen DNS-over-TLS und DNS-über-HTTP mit Upstream DNS Resolver. Der DNS Proxy-Abfangvorgänge DNS Anfragen von Kunden entgegennehmen und weiterleiten können DNS-over-HTTPS/TLS zum Upstream DNS Resolver.

Gewährleistung der Integrität und Authentifizierung von DNS Antworten: DNS Das System basiert auf Vertrauen. DNS Kunden und DNS Resolver vertrauen dem DNS Antwort, die sie vom Upstream erhalten DNS Server und Resolver. Wenn der Upstream DNS Sind Systeme kompromittiert, besteht für die Angreifer die Möglichkeit, diese zu versenden DNS Antworten mit den Site-IP-Adressen ihrer Angreifer für die echten Domänennamen. Das nennt man DNS Spoofing or DNS Cache-Poisoning-Angriffe. DNSSEC (Sicher DNS) Verbesserungen an DNS Das Protokoll ist eine der Lösungen, die es zu stoppen gilt DNS Spoofing. DNSSEC schützt vor Angriffen durch digitale Signatur DNS Antwortdaten zur Hilfe DNS Kunden/Lösungen, um die Authentizität der Daten zu überprüfen und so vor Manipulation/Fälschung zu schützen DNS Daten.

Jedoch alle DNS Clients und Resolver sind nicht leistungsfähig DNSSEC. DNS Proxys, die im Weg stehen DNS Kunden und Upstream DNS Server können die Validierung der Daten mithilfe von überprüfen DNSSEC-Funktionalität.

Schutz vor DNS Überschwemmungsangriffe: Ich fand das Artikel um DDoS-Angriffe sehr umfassend zu beschreiben DNS Infrastruktur, insbesondere DNS Verstärkung & DNS Reflexionsattacken, die das Opfer überfordern können. Dazu gehört sowohl die Infrastruktur, auf der DNS Server/Resolver laufen ebenso wie die DNS Service selbst. Eine andere Art von Angriff zielt darauf ab, die Ressourcen (CPU und Speicher) zu erschöpfen. Beispiele für diesen Typ sind NXDOMAIN-Flood-Angriffe und Water-Torture-Angriffe, bei denen der Angreifer das sendet DNS Abfragen mit nicht vorhandenen Domänen und Unterdomänen mit zufälligen Bezeichnungen.

SASE mit seinem L3/L4-Firewall-Dienst verhindern kann DNS Antworten, die das Opfer nicht erreichten, falls nicht DNS Abfrage nach ihnen, wodurch die Reflexionsangriffe effektiv gestoppt werden. Zusätzlich, SASE Mit seinem generischen Ratenbegrenzungsdienst kann die Anzahl der Abfragen pro Quell-IP/Subnetz begrenzt und so die Flut von Abfragen eingedämmt werden DNS Dienste (Resolver und Server).

Für den intelligenten Schutz vor Flood-Angriffen, einschließlich NXDOMAIN-Floods und Water-Torture-Angriffen, ist ein SASE-DNS-Proxy erforderlich. Der SASE-DNS-Proxy mildert diese Angriffe durch Ratenbegrenzung auf DNS-Protokollebene und die Erkennung zufälliger Labels mithilfe abnormaler Methoden zur Erkennung von Domänennamen.

Schutz vor DNS basierende Exploits: Schwachstellen und Fehlkonfigurationen des DNS Die Infrastruktur kann von Angreifern zur Kompromittierung ausgenutzt werden DNS Dienstleistungen. Einmal DNS Wenn der Dienst kompromittiert ist, können Angreifer ihn fälschen DNS Antworten mit ihren eigenen IP-Adressen. Einige Beispiele für Pufferüberlauf-Schwachstellen sind die Bind9-TKEY-Schwachstelle und die Schwachstelle „Inverse Query Overflow“. Einige Exploits können erkannt werden, indem die Einhaltung der relevanten RFCs überprüft wird. In einigen Fällen hält sich die Exploit-Nutzlast jedoch an RFCs und nutzt dabei Schwachstellen bei der Implementierung aus DNS Dienstleistungen.

SASE Die Sicherheit umfasst typischerweise IDPS (Intrusion Detection and Protection System), das zur Erkennung bekannter Exploits verwendet werden kann. Für den Zero-Day-Schutz ist es wichtig, dass SASE DNS Proxy prüft die Protokollkonformität und nutzt die Anomalieerkennung, um Anomalien zu identifizieren DNS Nutzlastinhalt im Vergleich zu dem, was normalerweise beobachtet wird.

Zugriffskontrolle und Verhinderung des Besuchs von Websites mit schlechtem Ruf durch Benutzer: Wie im Abschnitt „Was ist DNSIm obigen Abschnitt ist die Abfrage des Domainnamens der erste Schritt, wenn ein Benutzer eine Website besucht. Über-DNS Sicherheit kann eine wichtige Rolle dabei spielen, Benutzer daran zu hindern, auf Websites zuzugreifen, die Malware und Phishing-Inhalte hosten. Viele Anbieter von Bedrohungsinformationen stellen Reputationswerte für IP-Adressen und Domänennamen bereit. Diese Intelligenz kann zum Blockieren genutzt werden DNS Anfragen nach Maliciouns Domainnamen und verhindern DNS Antworten, die fehlerhafte IP-Adressen enthalten.

Die Funktionalität eines SASE DNS Proxy ermöglicht die Implementierung dieser erstklassigen Anti-Malware- und Anti-Phishing-Sicherheit für Benutzer. SASE DNS Proxys lassen sich mit mehreren Threat-Intelligence-Anbietern integrieren, um regelmäßig die IP-/Domänen-Reputationsdatenbank und den Filter abzurufen DNS Fragen und Antworten, die Mali betreffenciouns IP-Adressen und Domänennamen. Es ist jedoch wichtig zu beachten, dass es in den Threat-Intelligence-Feeds zu Fehlalarmen kommen kann. Daher ist es wichtig, sicherzustellen, dass Ihre SASE Der Anbieter bietet die Möglichkeit, Ausnahmen zu erstellen.

Zusätzlich SASE DNS Proxy ermöglicht Administratoren das Filtern benutzerdefinierter Domänennamen und IP-Adressen, wodurch verhindert werden kann, dass Benutzer auf Websites zugreifen, die nicht mit dem ent übereinstimmenerpDie Interessen von Rise.

Schutz vor kompromittiertem Upstream DNS Dientsleistungen: Wie bereits erwähnt, DNSSEC kann das Problem lösen DNS Antwortgültigkeit und verhindern DNS Antworten mit gefälschten IP-Adressen. Allerdings nicht alle DNS Dienstleistungen umsetzen DNSSEK. Erkennen DNS Spoofing von Nicht-DNSSEC-basierte Kompromittierung DNS Dienste sind von entscheidender Bedeutung, um zu verhindern, dass Benutzer auf Phishing- und Malware-Websites zugreifen. Eine Technik besteht darin, mehrere Upstreams zu nutzen DNS Resolver, vergleichen Sie die Antworten von jedem Resolver und leiten Sie diese nur weiter DNS Antwort, wenn die Ergebnisse konsistent sind.

Die Funktionalität eines SASE DNS Proxy ermöglicht die gegenseitige Überprüfung mehrerer DNS Antworten von verschiedenen Upstream-Anbietern DNS Resolver. Es prüft die Konsistenz der Antworten und antwortet nur, wenn die Überprüfung erfolgreich war. Da dieser Ansatz zu zusätzlicher Latenz führen kann DNS Anfragen aufgrund der Notwendigkeit, auf Antworten von mehreren Upstream-Mitarbeitern zu warten DNS Bei Resolvern ist es üblich, mehrere zu senden DNS Abfragen und Durchführung einer Gegenüberprüfung nur dann, wenn die Threat-Intelligence-Datenbank keine Antwort für die abgefragten Domänennamen hat.

Kompromissindikatoren (IoC): Sicherheitsanalyse von DNS Der Datenverkehr kann wertvolle Erkenntnisse und Indikatoren für Gefährdungen liefern. Einige der Erkenntnisse und IoCs, die SASE DNS Sicherheit kann Folgendes bieten:

  • VerdächtigcioUS-Domainnamen mithilfe von Threat-Intelligence-Feeds.
  • Erkennung von DNS Spoofing-Versuche durch DNS Antwortanalyse, wie im Abschnitt „Schutz vor kompromittiertem Upstream“ beschrieben DNS Dienstleistungen“ und andere Techniken.
  • Identifizierung von Unregelmäßigkeiten und Unerwartetem DNS Antwortcodes wie NXDOMAIN und SERVFAIL.
  • Erkennung ungewöhnlicher Abfragemuster, wie z. B. ein hohes Volumen an Anfragen an eine bestimmte Domain oder wiederholt fehlgeschlagene Abfragen.
  • Erkennung von Domain Generation Algorithms (DGAs), die typischerweise von Malware zur Kommunikation mit Command-and-Control-Centern verwendet werden.
  • Identifizierung von Fast-Flux-Netzwerken, in denen sich mit einer Domäne verknüpfte IP-Adressen schnell ändern. Dieses Verhalten wird häufig auf Websites beobachtet, die Malware hosten.

SASE DNS Proxy, IDPS und Firewalls spielen nicht nur eine wichtige Rolle bei der Risikominderung für Benutzer, sondern auch bei der Bereitstellung wertvoller Erkenntnisse durch die von ihnen generierten Protokolle SASE System funktionieren.

Zusammenfassung

Aus unserer Sicht, DNS-basierte Sicherheit dient als erste Verteidigungslinie für Benutzer und Benutzer DNS Infrastruktur, as DNS wird konsultiert, bevor tatsächliche Datentransaktionen stattfinden. Für eine wirksame Sicherheit ist es entscheidend, Angriffe möglichst frühzeitig zu erkennen. Während DNS-basierte Sicherheit wird in vielen aktuellen Publikationen möglicherweise nicht besonders hervorgehoben SASE/SSE-Literatur, davon sind wir fest überzeugt SASE/SSE-Dienste sollten integriert werden DNS-basierte Sicherheit.

Schauen Sie sich frühere Blogbeiträge an SASE und Sicherheitsthemen hier.

  • CTO Insights-Blog

    Die Aryaka Die CTO Insights-Blogserie bietet Vordenker für Netzwerk, Sicherheit und SASE Themen. Für Aryaka Produktspezifikationen beziehen sich auf Aryaka Datenblätter.

Über den Autor

Srini Addepalli
Srini Addepalli ist ein Sicherheits- und Edge-Computing-Experte mit mehr als 25 Jahren Erfahrung. Srini verfügt über mehrere Patente in Netzwerk- und Sicherheitstechnologien. Er hat einen BE (Hons)-Abschluss in Elektrotechnik und Elektronik von BITS, Pilani in India.
CTO-Einblicke

2023 EnterpRise Network Transformation Report

Bericht herunterladen >>

Einheitlicher SASE Whitepaper

Herunterladen Whitepaper >>

Strategische Roadmap für EnterpAufstieg Networking

Bericht herunterladen >>