DNS infrastruktura čini osnovu skoro svake mrežne veze koju organizacija uspostavlja, ali su bezbednosne konfiguracije za nju na nivou saveznih uputstava ostale uglavnom nepromenjene više od dvanaest godina. NIST je objavio SP 800-81r3, “Vodič za bezbednu primenu sistema imena domena” (Secure Domain Name System Deployment Guide), koji zamenjuje verziju iz 2013. godine. Dokument pokriva tri glavne oblasti: korišćenje DNS-a kao aktivne bezbednosne kontrole, obezbeđivanje samog DNS protokola i zaštitu servera i infrastrukture koji pokreću DNS usluge. Upućen je dvema grupama: rukovodiocima i donosiocima odluka u oblasti sajber-bezbednosti, kao i operativnim timovima za mreže i bezbednost koji konfigurišu i održavaju DNS okruženja. DNS kao tačka sprovođenja bezbednosti Ažurirano uputstvo stavlja značajan naglasak na zaštitni DNS (protective DNS), termin koji dokument koristi za opisivanje DNS usluga poboljšanih bezbednosnim mogućnostima koje mogu analizirati upite i odgovore i preduzeti mere protiv pretnji. Zaštitni DNS može blokirati veze sa zlonamernim domenima, filtrirati saobraćaj po kategorijama i generisati dnevnike upita (logove) koji podržavaju digitalnu forenziku i odgovor na incidente. Dokument opisuje dva opšta modela implementacije: zaštitne DNS usluge u oblaku (cloud) i lokalne (on-premises) implementacije koristeći DNS zaštitne zidove (firewalls) ili zone politike odgovora (RPZ). Preporučuje se hibridni pristup gde god je to izvodljivo, na osnovu toga što prekid rada oblaka uz lokalnu rezervnu opciju i dalje čuva zaštitu. Cricket Liu, izvršni potpredsednik inženjeringa i glavni DNS arhitekta u kompaniji Infoblox, koja je koautor publikacije, ponudio je dodatne detalje o praksi primene RPZ-a. „Prilikom implementacije zona politike odgovora, što je jedan od najčešćih mehanizama zaštitnog DNS-a, savetujemo organizacijama da kreiraju lokalni RPZ kako bi nadjačali RPZ-ove koje bi mogli dobiti od drugih organizacija“, rekao je on. „Organizacije bi obično koristile lokalni RPZ za stavljanje svog internog prostora imena na ‘belu listu’, a zatim mogu dodati pojedinačna imena domena koja bi mogla biti greškom blokirana.“ Uputstvo preporučuje da se logovi zaštitnog DNS-a integrišu sa SIEM platformama ili platformama za analizu dnevnika, i da se podaci o DNS upitima povežu sa istorijom DHCP zakupa kako bi se IP adrese mapirale na specifične resurse tokom odgovora na incident. Šifrovani DNS menja ulogu DNS servera Publikacija posvećuje veliku pažnju šifrovanom DNS-u, pokrivajući tri protokola: DoT (DNS preko TLS-a), koji radi na TCP portu 853; DoH (DNS preko HTTPS-a), koji radi na TCP i UDP portu 443; i DoQ (DNS preko QUIC-a), koji radi na UDP portu 853. Sva tri protokola šifruju komunikaciju između klijentskih uređaja i rekurzivnih DNS servera i opciono podržavaju autentifikaciju servera. Vlada SAD zahteva od agencija federalne civilne izvršne vlasti da koriste šifrovani DNS u komunikaciji sa krajnjim tačkama agencija, gde god je to tehnički podržano. Uputstvo napominje da organizacije možda moraju da konfigurišu pretraživače i druge aplikacije koje implementiraju sopstveni šifrovani DNS kako se ne bi zaobišli lokalni serveri koji se koriste za kontrolu i logovanje. Liu je ukazao na strukturnu posledicu primene šifrovanog DNS-a koju uputstvo naglašava. „Sam DNS server postaje kritičan kada se primeni šifrovani DNS“, rekao je on. „DNS server postaje tačka detekcije i sprovođenja. Pored toga, organizacije mogu preuzeti i skladištiti pasivne DNS podatke prikupljene sa svojih DNS servera, što im omogućava da otkriju pretnje, beleže odgovore i još mnogo toga.“ Publikacija savetuje organizacijama da blokiraju neovlašćeni DoT saobraćaj koristeći pravila zaštitnog zida na TCP portu 853, i da koriste RPZ u kombinaciji sa pravilima zaštitnog zida za ograničavanje neovlašćenog DoH saobraćaja, koji je teže blokirati s obzirom na korišćenje porta 443. Alati za upravljanje mobilnim uređajima (MDM) preporučuju se za nametanje odobrenih DNS konfiguracija na krajnjim uređajima. DNSSEC uputstva ažurirana za trenutne algoritme Publikacija ažurira preporuke za potpisivanje DNSSEC-a kako bi odražavala trenutne kriptografske standarde. Predstavljena je tabela podržanih algoritama, koja pokriva RSA sa SHA-256, ECDSA P-256 i P-384, kao i Edvards-kriva algoritme Ed25519 i Ed448. Dokument navodi prednost ECDSA i algoritama Edvards-krive u odnosu na RSA, jer manje veličine ključeva i potpisa pomažu da veličine DNS odgovora ostanu u granicama koje izbegavaju potrebu za TCP protokolom. DNSSEC ključevi za potpisivanje su kategorisani kao ključevi sa preporučenim maksimalnim trajanjem od jedne do tri godine. Dokument preporučuje da periodi važenja RRSIG zapisa budu kratki, oko pet do sedam dana, kako bi se ograničio prozor tokom kojeg kompromitovani ključ može biti korišćen za lažiranje odgovora. Hardverski bezbednosni moduli (HSM) se preporučuju za čuvanje privatnih ključeva, posebno ključeva za potpisivanje ključeva (KSK), gde god je to praktično. Uputstvo preporučuje NSEC umesto NSEC3 za autentifikovano odbijanje postojanja, napominjući da računarski napor za NSEC3 generalno nije opravdan zaštitom koju pruža protiv “šetnje zonom” (zone walking). Organizacije koje su obavezne da koriste NSEC3 upućuju se na RFC 9276 za podešavanja parametara koji smanjuju rizik od napada uskraćivanjem usluge (DoS). Post-kvantni kriptografski algoritmi još uvek nisu specifikovani za DNSSEC upotrebu. Dokument napominje da bi administratori trebalo da planiraju migraciju čim specifikacije i alati postanu dostupni. Higijena autoritativnih servera i upravljanje zonama Gid opisuje nekoliko kategorija pretnji specifičnih za autoritativne DNS usluge. „Viseći“ CNAME zapisi, kod kojih CNAME pokazuje na domen koji više nije registrovan ili pod kontrolom organizacije, mogu omogućiti napadačima da preuzmu kontrolu nad rezolucijom za to ime. Nepravilne delegacije (lame delegations), gde je poddomen delegiran na servere imena koji više nisu autoritativni za njega, stvaraju sličnu izloženost i mogu omogućiti otmicu domena preko provajdera hostinga. Dokument preporučuje aktivno praćenje registracija domena radi otkrivanja sličnih domena ili onih sa slovnim greškama (typosquat). Takođe preporučuje da organizacije održavaju delegacije penzionisanih domena u “parkiranom” stanju tokom određenog vremena kako bi sprečile ponovnu registraciju od strane napadača. TTL vrednosti se preporučuju u rasponu od 1.800 sekundi (30 minuta) do 86.400 sekundi (jedan dan) za većinu DNS podataka. TTL vrednost nula je izričito zabranjena, a vrednosti ispod 30 sekundi se ne preporučuju za zapise potpisane DNSSEC-om. Šta NIST vodič pokriva o arhitekturi infrastrukture i dostupnosti Publikacija ponavlja preporuku iz ranijih verzija da autoritativne i rekurzivne funkcije budu razdvojene na serverima dostupnim preko interneta. Server imena okrenut ka internetu koji je konfigurisan za obe funkcije opisuje se kao bezbednosni rizik. NIST preporučuje postavljanje najmanje dva autoritativna servera imena na različitim mrežnim segmentima i njihovo geografsko rasprostiranje na različite fizičke lokacije. Skriveni primarni autoritativni server (hidden primary), onaj koji se ne pojavljuje u NS zapisima zone, preporučuje se kako bi se smanjila izloženost primarnog servera direktnom napadu. DNS serveri bi trebalo da rade na namenskoj infrastrukturi, odvojeno od drugih usluga, kako bi se smanjila površina napada i osigurali adekvatni resursi za logovanje, šifrovani DNS i funkcije zaštitnog DNS-a. Tamo gde potpuno razdvajanje nije praktično, kombinovanje DNS-a sa blisko povezanim osnovnim uslugama, kao što je DHCP, opisuje se kao prihvatljiva alternativa. Post navigation Pegasus predstavlja vrhunac moderne sajber-špijunaže Telekoma Srbija informacije o hakerskom napadu na baze podataka
