2024. május 25., szombat

Gyorskeresés

DNS-monitoring

Írta: | Kulcsszavak: security . dns . monitoring . hálózati biztonság . coreinfinity.tech

[ ÚJ BEJEGYZÉS ]

Vannak olyan infrastruktúra-elemek, amelyek nagy segítségünkre lehetnek a hálózati biztonság biztosításában. Az egyik ilyen a DNS. Tovább.

Hozzászólások

(#1) Gargouille


Gargouille
őstag

Ismét egy nagyon jó témáról írtál! Lehet érdemes lenne kiegészíteni pár konkrét megoldással is, ha valakit érdekelne, hogy a megvalósítás akkor merre induljon el.

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.

(#2) sh4d0w válasza Gargouille (#1) üzenetére


sh4d0w
félisten
LOGOUT blog

Ez merőben technikai kérdés. Forensics esetében általában pcap elemzés segíthet, (majdnem) realtime inkább network monitoring, illetve SIEM segíthet.

https://www.coreinfinity.tech

(#3) Gargouille válasza sh4d0w (#2) üzenetére


Gargouille
őstag

Igen, igen. Ha esetleg majd tervezed még a jövőben ezt a témát folytatni akkor javaslatként mondom csak, hogy érdemes lehet a DNS forgalom védelméről, titkosításáról (DoT, DoH stb.) vagy a validálásáról (DNSSEC) is írnod. Egyébként azért örülök a témaválasztásnak mert a DNS egy kulcs fontosságú elem a hálózatoknál, mégis kevés figyelmet kap általában, kicsit olyan "kőkorszakban ragadt" protokoll. :)

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.

(#4) tsiga18


tsiga18
tag

Szerintem DNS alapú védelemre (jelenleg) a legjobb a Cisco Umbrella. A tiltott oldalat/kategóriákat még a DNS kérés szakaszában képes blokkolni úgy, hogy a DNS kérésre nem a lekért oldal címét adja vissza, hanem átirányítja a klienst egy általunk kreált oldalra, ahol tudathatjuk hogy nem engedélyezett az elérés.

Van fizetős (céges), és ingyenes (butított) otthoni változata is OpenDNS néven.

Vezettem be nulláról illetve üzemeltettem ilyen rendszert, elég felhasználóbarát és könnyen átlátható mit miért csinál a rendszer.

(#5) sh4d0w válasza Gargouille (#3) üzenetére


sh4d0w
félisten
LOGOUT blog

Nem tervezem (jelenleg), hogy technikai szinten írok erről. A DNS valóban elég régi, mint ahogy a protokollok nagy része is az, de a világ annyira rá van cuppanva ezekre, hogy nagyon nehéz kiváltani őket olyanokkal, amikbe eleve bele van tervezve a biztonság.

https://www.coreinfinity.tech

(#6) sh4d0w válasza tsiga18 (#4) üzenetére


sh4d0w
félisten
LOGOUT blog

Tapasztalataimból kiindulva nem hiszem, hogy kijelenthető: egy mindenek felett. Önmagában az kérdés, hogy melyik a jó? Amelyik könnyen kezelhető, de rossz a detektálási algoritmusa, esetleg az is jó, de a korrelációs engine nem? Vagy jól detektál, jól korrelál, de egy ELK stackből kell kibányászni az adatokat, mert a kezelőfelület nem jó?

https://www.coreinfinity.tech

(#7) tsiga18 válasza sh4d0w (#6) üzenetére


tsiga18
tag

Jogos amit írsz, én a saját tapasztalaim alapján mondom, hogy a legjobbnak találom ezt.

(#8) hcl


hcl
félisten
LOGOUT blog (1)

EZ jó ötlet! El is kezdtem nézegetni, hogy OpenWrt-n hogyan lehetne ezt megoldani, lehetőleg a router szétterhelése nélkül...

@tsiga18 :Hmmmm, ez hasznos :)

[ Szerkesztve ]

Mutogatni való hater díszpinty

További hozzászólások megtekintése...
Copyright © 2000-2024 PROHARDVER Informatikai Kft.