4. @BGASecurity
DNS Neden Önemli?
Ø İnternetin en tepel yapı taşlarından biridir. İnternetin omurgası denebilir.
Ø DNS tarafında yaşanılan aksaklıklar tüm hizmetleri etkileyebilir. (Web, Mail vs.)
Ø Günümüzde yaygın kullanılan bazı saldırılar için DNS tarafında da alınması gereken
önlemler bulunuyor.
Ø Önlem alınmadığı takdirde manipülasyona oldukça müsait bir protokoldür. Bundan dolayı
çeşitli atak vektörlerinin gerek tespiti gerek engellenmesi için DNS Güvenliği önemlidir.
7. @BGASecurity
DNS Flood Attack
Ø DNS sunucularını durdurmayı, hizmet kesintisi oluşturmayı hedefleyen atak türüdür.
Ø Genellikle spoof IP adresleri kullanılarak gerçekleştirilir.
Ø Normal trafikten ayırt edilmesi zor olabilir.
Ø Tespiti noktasında dns trafiğinin gerçek zamanlı
izlenmesi fayda sağlar.
Ø Yüksek hacimli trafiği karşılayabilen ve yüksek oranda
dağıtık yapıda konumlandırılmış dns sistemi kullanılabilir.
8. @BGASecurity
DNS Amplification (DDoS)
Ø Amaç dns flood’da olduğu gibi hizmet kesinti oluşturmaktır.
Ø Bu saldırı tipinde yapılan dns isteğine gelen yanıtın boyutunun büyük olması ile hedefe
kat kat (50x) arttırılmış bir trafik gönderilebilmektedir.
Ø Normal trafikten ayırt edilmesi zor olabilir.
Ø Paketler UDP olduğu için source ip verify yok.
Ø Tespiti ve engellenmesi konusunda ise ISP tarafında
“DDOS blackhole routing” çözümler arasındadır.
Ø Davranışsal analizler ile engellenebilir. (DFAS yöntemi)
10. @BGASecurity
Bogus Domain Attack
Ø Olmayan alan adları sorularak sunucunun daha fazla yorulması, kaynak tüketmesi
hedeflenmektedir.
Ø Diğer atak türleri ile kombin edilerek kullanılır.
Ø Amaç diğer saldırılarda olduğu gibi hizmet kesintisi oluşturmaktır.
Ø Tespiti ve engellenmesi için DNS trafiği analiz edilerek NXDOMAIN, NXRRset, veya
SRVFAIL sorgularını çok fazla yapan kaynak IP adresleri geçici süreliğine engellenebilir.
Ø Hizmet kesintisini en aza indirmek için “cache refresh” yapıldığından emin olunmalıdır.
13. @BGASecurity
DNS-based Exploits
Ø DNS servisinde, protokolde veya ilgili işletim sisteminde bulunan hata veya kusurların
istirmar edilmesi ile yapılan saldırılar.
Ø Tespiti ve önlenmesi konusunda;
Ø IPS/IDS sistemlerinin aktif olarak kullanılması
Ø Düzenli zafiyet taramalarının yapılması (hem servise hemde işletim sistemine yönelik)
Ø Güncellemelerin takibi ve zamanında yapılması
Ø …
14. @BGASecurity
Zero-Day Vulnerability
Ø Zero-day ataklar için doğrudan alınabilecek bir çözüm bulunmamaktadır.
Ø Bu tür ataklardan en az etki ile sıyrılabilmek için envanteriniz de yer alan sistemler için
yayınlanan güncel güvenlik haberlerini takip etmek faydalı olacaktır.
15. @BGASecurity
Protocol Anomalies
Ø Hizmeti durdurmayı hedefleyen hatalı yapılandırılmış DNS sorgularına dayalı saldırı
yöntemi
Ø Burada saldırgan belirli bir bilinen saldırı metodu uygulamaktan ziyade hedefe gönderdiği
paket içerikleri ile oynayarak servis yanıt vermesini engelleyici, crash olmasını sağlamaya
yönelik istekler yollayabilir.
Ø Burada yapılan aktiviteler için belirli bir patern olmadığı için tepsiti konusunda
davranışsal analiz yapılarak ortaya çıkartılabilir.
16. @BGASecurity
DNS Rebinding
Ø Malicious web sayfaları üzerinden bulaştırılan zararlı JavaScript ‘ler ile kurbanın
bulunduğu yerel ağdaki diğer cihazların (özellike Webcam, IOT devices gibi) keşfi
hedeflenmektedir.
Ø Bu keşif sonrası ilgili cihazlara uzaktan erişim sağlanmaya çalışılır.
Ø Erişim sağlanabilen bu cihazlar saldırganın botnet ağına dahil olur ve saldırgan tarafından
ihtiyaç duyulduğu anda saldırganın amacına yönelik hizmet edebilir.
19. @BGASecurity
DNS Tunneling
Ø DNS trafiği içerisinden farklı protokollere ait veri taşımak için kullanılır.
Ø DNS tunnel içerisinden TCP, SSH, HTTP gibi erişimler sağlanabilir.
Ø Engellenmesi veya tespiti için IPS/IDS, DNS Firewall, NGFW gibi çözümler kullanılabilir.
Fakat bu çözümlerde genellikle imza bazlı kontrol gerçekleştirdiği için bypass edilebilirler.
20. @BGASecurity
DNS over TLS (DOT)
Ø DNS over TLS (DOT), temel olarak DNS sorgularının güvenli olarak yapılabilmesini sağlar.
HTTP ‘nin TLS ile HTTPS olması gibi diyebiliriz.
Ø Yani UDP protokolü üzerinden yapılan DNS sorgularına TLS ile şifreleme ekler.
Ø Böylece DNS isteklerinin saldırganlar tarafından araya girilerek değiştirilmesinin önüne
geçilmiş olunur.
Ø Yaygın olarak kullanımı ise DNS over HTTPS (DOT) olarak işletim sistemleri ve tarayıcılar
üzerinde ön tanımlı olarak gelmeye/kullanılmaya başlamıştır.
Ø DOT için ayrılmış dedike bir port bulunduğundan (tcp/853) kullanımının tespiti ve
engellenmesi kolay olabilir.
Unencrypted Encrypted
22. @BGASecurity
DNS over HTTPS (DOH)
Ø DNS over HTTPS (DOH), DOT’un bir alternatifidir. DNSSEC ile karıştırılmamalıdır.
Ø DOH ile dns sorguları şifrelenir ve dns sorguları UDP yerine HTTPS protokolü ile yapılır.
Ø Kullanım amacı DOT da olduğu gibi saldırganların dns trafiğini manipüle etmesinin önüne
geçmektir.
Ø Güncel web tarayıcıları ve işletim sistemleri artık DOH ‘u ön tanımlı olarak desteklemektedir.
24. @BGASecurity
DNS over HTTPS (DOH) - Engelleme
Ø DOH ’un engellenmesi için Application Control/Whitelisting uygulamaları kullanılabilir.
Ø DNS Firewall ürünleri engelleyebilir.
Ø Manuel (RPZ vs. ile) engelleme yapmak mümkündür fakat başa çıkılması zordur.
Ø Bypass için hosts dosyasına kayıt girilebilir. Bundan dolayı hosts dosyasında değişiklik
yapılması kısıtlanmalı ve değişiklikler (File Auditing, FIM vb. ile) takip edilmelidir.
30. @BGASecurity
DNS Hijacking - 1
Ø Endpoint üzerinde tanımlı DNS adreslerinde değişiklik yapılabilir.
Ø Sisteme bulaşan zararlı bir uygulama tarafından yapılabilir.
Ø Engellenmesi için;
Ø Endpointler üzerinde DNS değişikliğinin kısıtlanması
Ø Endpoint sistemlerin zararlı uygulamalardan korunması için gerekli bileşenlerin
bulunması (AV, EPP vs.) ve güncel olduğunun kontrolü
Ø DNS sorgularının sadece local DNS suncuuları üzerinden yapılmasına izin verilmesi
32. @BGASecurity
DNS Hijacking - 3
Ø Yerel DNS Sunucusu ele geçirilerek yapılabilir.
Ø Ele geçirilen sistemde ki DNS kayıtları değiştirilerek yapılan isteklere istenilen yanıtın
dönülmesi sağlanabilir.
Ø Engellenmesi için;
Ø Yerel DNS sunucularına erişimlerin kontrolü
Ø Bu DNS sunucuları üzerinde yapılan DNS kayıtlarıyla ilgili aktivitelerin incelenmesi
(SIEM üzerinde bununla ilgili alarm mekanizması olmalı.)
Ø Bu sistemlerin güncellemelerinin düzenli yapılması
Ø Düzenli zafiyet taramalarının yapılması
Ø …
33. @BGASecurity
DNS Hijacking - 4
Ø Saldırgan endpoint ile DNS sunucu arasına sızılarak (mitm) DNS trafiğini manipüle ederek
dns kayıtlarını değiştirebilir.
Ø Engellenmesi için;
Ø Man in the middle (mitm) saldırılarının engellenebilmesi için L2 seviyesinde
önlemler alınması gerekir.
Ø Kimlik doğrulama çözümlerinin kullanılması
Ø DNSSEC kullanımı
39. @BGASecurity
Roksit DNS Firewall – Secure DNS
Ø DNS kullanan rararlı yazılımlara karşı koruma
Ø Ransomware, Malware, Phishing, Botnet aktivitelerine karşı koruma
Ø DNS Tunneling engelleme
Ø DNS over HTTPS engelleme
Ø DNS sorgularına kategorize eder ve uygulanan filtrelere göre saldırganların yapmayı
hedeflediği aktiviteleri DNS seviyesinde engeller.
41. @BGASecurity
Roksit DNS Firewall – DNS & Threat Visibility
Ø Yoğun DNS loglarının anlık olarak incelenip sorguların sınıflandırılması.
Ø Roksit tehdit istihbarat servisi ile bütünleşik çalışma
Ø Zararlı sorgu yapan kullanıcı/enfekte cihaz tespiti
Ø Kural tabanlı SIEM entegrasyonu
Ø SIEM EPS ihtiyacı azaltarak maliyet avantajı (1:1000 oranında)
Ø Aktif sistemleri etkilemeyen, ajansız, sıfır kesinti
43. @BGASecurity
Roksit DNS Firewall – Threat Hunter
Ø Zararlı domain > Secure DNS
Ø Enfekte kullanıcı > DNS and Threat Visibilty
Ø Trafiği oluşturan uygulama, process,dll > Threat Hunter
Ø Aktif threat tespiti
Ø Ajansız Çözüm
Ø DNS tabanlı ve imza olmadan
Ø Next Generation Firewall/IPS entegrasyonu