Das DNS ist von zentraler Bedeutung und ein neuralgischer Punkt in zahlreichen Unternehmensnetzwerken.

Todos nós usá-lo diariamente, mas quase ninguém sabe mais sobre ele: O Domain Name System, ou DNS. A principal tarefa do DNS é traduzir fácil de lembrar URLs tais como. Www.ip-insider.de na necessidade de endereços IP de navegação. No entanto, o DNS também serve como porta de entrada para ataques.

Com o Domain Name System apresentado Paul Mockapetris, da Universidade do Sul da Califórnia (USC), em 1983, um novo conceito de nomenclatura antes com uma estrutura descentralizada. O Domain Name System é o livro de telefone para domínios:

Os tipos de usuário no domínio e envia-o como um pedido para a Internet. Isto é onde o DNS convertido no endereço IP correspondente – por exemplo um endereço de IPv4 192.0.2.42 forma ou uma IPv6 endereço, tal como 2001: DB8: 85a3: 8D3: 1319: 8a2e: 370: 7347 – e dirige o utilizador o computador direito. Este conceito tem muitas vantagens. Os domínios são muito mais fácil de lembrar e mais durável do que endereços IP. Ao mudar de prestador, por exemplo, o IP, mas o nome de domínio permanece as mesmas alterações.

Estrutura do DNS

O DNS tem uma estrutura hierárquica para o namespace em forma de árvore. Um nome de domínio é sempre lida de trás para frente. Por trás o endereço começa com o domínio de nível superior (TLD), como .com, .org ou .net. Precedido pelo domínio de segundo nível que pode ser aplicada por uma pessoa ou organização e utilizado. Antes disso é o anfitrião ou serviço como www, ftp, ou wiki. Como um separador ou ramo garfos entre os diferentes níveis servem pontos.

O DNS serve como um sumário abrangente e gerir as zonas DNS. Estas zonas representam uma parte limitada da árvore de domínio para o qual um servidor DNS é responsável. A principal zona de DNS são os TLDs, que são armazenadas sobre os chamados servidores raiz.

Depois, há os chamados servidores de nomes, estes são servidores físicos ou virtuais em duas formas diferentes: um servidor autoritária nome no qual detalhes completos de uma zona específica são, e servidores de nomes recursiva para responder às consultas DNS de usuários de Internet e resposta DNS resulta cache por um tempo.

Os servidores de nomes DNS são maciçamente afirmou: eles têm de lidar com milhares de milhões de pedidos todos os dias, porque cada vez que alguém digitar um endereço da Web em seu navegador, um servidor de nomes de domínio recebe algum lugar do mundo o pedido, localiza o IP abordar e encaminha o solicitante para o servidor correto – e tudo em apenas alguns milissegundos.

Das DNS verfügt über eine hierarchische Struktur für den Namensraum in Baumform.

O DNS tem uma estrutura hierárquica para o namespace em forma de árvore. (Foto: Infoblox)

O ADN na mira

Em 2016, o sistema de nome de domínio estava cada vez mais na mira dos hackers criminosos e, assim, reforçada na mente dos especialistas em segurança de TI. Por razões históricas, o DNS não tem um conceito de segurança abrangente – que foi concebido num momento em que os ataques eram pouco relevantes. Isso mudou nos últimos anos: As estatísticas policiais registrados para o ano de 2016 um aumento maciço de crimes cibernéticos em quase 50 por cento. Estes incluem sabotagem, fraude e espionagem e interceptação de dados. E apenas o DNS pode ser abusado de muitas maneiras cibercriminosos.

Ameaça Persistente Avançada em ascensão

Em geral, a maioria das rotas são fechados à rede corporativa através de sistemas de segurança, como firewalls. No entanto, isto não se aplica ao protocolo DNS: muitas vezes uma verificação de sintaxe só é feita. Este uso desenvolvedores de malware e hackers audível e usar o DNS como um veículo para programas maliciosos.

De acordo com estudos recentes usar mais de 90 por cento do DNS de malware como um veículo para entrar na rede protegida. Hackers também tirar partido de vulnerabilidades do sistema operacional mais recentes (ver WannyCry, aqui foi uma vulnerabilidade SMB 2 meses de idade no Windows OS explorados). domínios também usados ​​de malware muitas vezes gerado dinamicamente DNS (DGA – Domínio Generation Algorithm) para filtrar reputação para truque DNS. Ambos estão na faixa dos chamados ataques de dia zero. O problema é que as medidas de segurança, como firewalls, e-mail e web proxies não pode fazer nada contra ataques ao DNS.

malwares exploradora DNS está programado para passar despercebido em servidores e dispositivos por um longo tempo. Um ataques de malware backdoor ignorando o acesso normal para backup em um computador ou função de outra forma protegida de um programa de computador. Este malware recebe comandos de um controlador mestre e pode acessar vários dispositivos infectados e seus dados e executar outras ações – por exemplo, enviar ou spam e-mails para participar de um ataque DDoS.

Uma vez que este tipo de malware é altamente desenvolvida e foi programado para que ele possa ser ativado por um longo tempo, é um termo amplamente utilizado avançou ameaça persistente, ou malware APT. A solução ideal para proteção contra malware APT é um firewall DNS especial que tem diferenciado funções relacionadas com a pró-atividade, capacidade de resposta e adaptabilidade.

tunneling DNS – o caminho secreto para a rede corporativa

O DNA pode ser ainda utilizado, a fim de criar um firewall para passar um túnel DNS escondido na rede de uma empresa ou agência governamental e toque off dados sensíveis. Com ferramentas como o iodo de um túnel sobre o DNS pode ser estabelecida para o exterior a partir de praticamente qualquer rede. Além disso, os hackers podem injetar programas maliciosos ou instruções que desencadeiam a atividade criminal escondido por este túnel. Pode acontecer que a intrusão é detectada muito tarde ou não em todos, e os hackers podem se infiltrar em uma empresa ou uma organização sem impedimentos por um longo período de tempo.encapsulamento do DNS é difícil de detectar, porque o conteúdo do tráfego de dados por meio do protocolo de DNS não são controlados ou apenas superficialmente.

tráfego redirecionamento perigosa

Outro método de ataque ao DNS é o chamado envenenamento de cache. Neste DNS dados para fins fraudulentos no cache de um servidor de nomes recursiva é alimentado para forjar a associação entre um nome de domínio eo endereço IP associado. Isto serve para dirigir despercebida para um local hostil para realizar um ataque de phishing, por exemplo, o tráfego de dados. Outro método de ataque nesta categoria é o chamado seqüestro de DNS, na qual a resolução de consultas DNS é prejudicada, para redirecionar para um servidor DNS malicioso.

Impulsionada por ataques DDoS

Os casos mais comuns de sabotagem de computadores incluem distribuído de negação de serviço ataques (DDoS), que muitas vezes abusam do DNS como um gateway e 2016 atingiu um clímax. De outubro a dezembro de 2016, 11.500 ataques DDoS nos países de língua alemã teve lugar – um recorde absoluto. Em média, isso equivale a cerca de 126 ataques por dia.

ataques DDoS têm o objetivo principal de paralisar sites e, assim, causar danos maciços. afetou a Telekom alemã, Twitter, Netflix e Spotify, bem como numerosas agências governamentais e autoridades estavam em todo o mundo. repetidamente dispositivos da Internet das coisas foram seqüestrados para tais ataques no passado, como os ataques à Telekom.

off Inteligência graças ameaça de malware

Mas o DNA não é apenas uma potencial vulnerabilidade, ele também pode ser usado recursos de segurança avançados para tomar hoje: Desde qualquer tipo de comunicações via Internet de nomes de domínio é baseado, o DNS é um ponto de controle pode ser reconhecido pelo malware.

Com DNS resposta Zonas Política (RPZ) e inteligência de ameaças alimenta o fluxo de dados sobre o DNS pode ser controlada. Assim, você pode especificar qual nome de domínio não deve ser resolvido. O banco de dados Confiança avanço ativo Infoblox compreende actualmente mais de 4,5 milhões conhecido nome de domínio malicioso. Isto permite às empresas identificar malwares cedo ligado e desligado.

conclusão

O DNS é o ponto crucial e crítica em muitas redes corporativas. Empresas ameaçam enormes danos causados ​​pela falha do site ou a publicação de informações confidenciais – e quase ainda mais grave é o dano à reputação e os enormes custos envolvidos.

Mas ainda assim, a consciência da vulnerabilidade do DNS e a necessidade de proteção não está firmemente estabelecida. Empresas e organizações precisam investir fortemente em uma rede moderna e em proteger sua infra-estrutura de DNS para ser preparado para os perigos e os desafios de amanhã.

Anúncios