DNSトンネリングの防止策

ドメインネームシステム（DNS）は、URLをIPアドレスに変換するプロトコルです。DNSトンネリングは、企業ネットワークに対して行われるサイバー攻撃の一種で、クライアントサーバーモデルを通じて他のプログラムのデータを暗号化します。

これはDNSの悪用です。DNSサーバーは12桁のIPアドレスとドメイン名を紐付けますが、トンネリングはプロトコルを乗っ取ろうとする試みです。

DNSが機能するには、外部ネットワークへの接続と、ネットワークにアクセスできる内部DNSサーバーへのアクセスが必要です。

DNSはオンラインでの情報共有方法を決定しますが、セキュリティ面では脆弱です。ハッカーはDNSを悪意のある目的でデータ窃盗を行うための確立された経路として利用します。

ハッカーはDNSトンネリングを利用してネットワークを乗っ取ります。これは約20年前から存在しています。MortoやFeederbotといったマルウェアは、DNSトンネリングに利用されています。

トンネリングでは、ハッカーはDNSという確立された経路を利用して、悪意のある目的で企業の機密情報を入手します。多くの場合、メールアドレスはデータ侵害の貴重な情報源となります。

DNS トンネリングはどのように機能しますか?

攻撃者はまず偽のドメイン名を取得し、次に自身のサーバーへ向かうトンネリングプログラムをインストールします。

DNSリクエストは常にファイアウォールの内外を通過できるため、ハッカーは容易にコンピュータを感染させることができます。

DNSリゾルバは、トンネリングプログラムがインストールされた攻撃者の偽のドメインサーバーへクエリを送信します。

このトンネルは、悪意のある目的でデータを抽出するために利用されます。DNSリゾルバの助けにより、企業ネットワークと攻撃者の間にルートが確立されます。

間接的な接続であるため、ハッカーのコンピュータを追跡することは困難です。

ツールは、より複雑なデータ抽出手法と、事前設定されたツールキットに基づく攻撃の両方を識別できるように設計する必要があります。
データの所有を防ぐには、データ抽出先のブラックリストを作成するツールをインストールする必要があります。この作業は定期的に行う必要があります。
DNSファイアウォールは、あらゆる侵入を迅速に特定できるように設定および設計する必要があります。ファイアウォールは、情報漏洩の経路として機能します。
DNSソリューションが異常なクエリやパターンを調査するリアルタイム分析機能を提供すれば、ユーザーはより現実的なセキュリティ上の判断を下すことができます。DNSで保護されたソリューションによってネットワークの状態を追跡することは、より効率的です。

DNSツールは、有害なクエリやアクティビティを追跡し、即座に防止できる必要があります。検出は精査プロセスの一部に過ぎません。ツールは、異常なパターンを排除するように設計される必要があります。

このツールはSecure64によって導入されました。TunnelGuardは、包括的な行動分析を用いてDNSトンネルを識別・ブロックするオンボックスセキュリティサービスです。

TunnelGuardは、数回のDNSクエリを実行するだけで、被害が発生する前に検知を可能にします。

ZscalerサービスはDNSプロキシを提供します。このプロキシは、DNSトラフィックに対するファイアウォールとして利用できます。このプロキシファイアウォールを通過するすべてのトラフィックは、サービスによって追跡されます。

これらのログは処理され、DNSトンネリング検出エンジンに送信されます。検出エンジンは高度な分析を用いてリスクを特定します。

ホスト名が検出されると、その情報はZscaler Enforcement Node（ZEN）に転送され、ポリシーに従って処理されます。

大量のデータを追跡し、ネットワーク上の悪意のあるユーザーを分析および検出するために使用できます。

ブログをもっと見る