DNS Security: ป้องกันภัย DNS Attack ในองค์กรด้วย DNSSEC และ DoH
DNS หรือ Domain Name System เป็นระบบพื้นฐานที่แปลงชื่อเว็บไซต์ให้เป็น IP address ทุกครั้งที่คุณเปิดเว็บ ส่ง email หรือใช้ application ใดก็ตาม DNS ทำงานอยู่เบื้องหลังเสมอ แต่สิ่งที่หลายองค์กรมองข้ามคือ DNS Security เพราะระบบ DNS ถูกออกแบบมาตั้งแต่ยุค 1980s โดยไม่ได้คิดเรื่องความปลอดภัยเลย ทำให้เป็นเป้าหมายหลักของ attacker ในยุคปัจจุบัน
จากรายงานของ IDC พบว่า 87% ขององค์กรทั่วโลกเคยประสบเหตุ DNS attack อย่างน้อยหนึ่งครั้ง และค่าเสียหายเฉลี่ยต่อครั้งอยู่ที่ประมาณ 950,000 ดอลลาร์ ภัยคุกคามผ่าน DNS มีหลายรูปแบบ ตั้งแต่ DNS spoofing, cache poisoning, DNS tunneling ไปจนถึง DDoS attack ที่กำหนดเป้าไปที่ DNS server โดยเฉพาะ
บทความนี้จะอธิบายทุกแง่มุมของ DNS Security ตั้งแต่ประเภทของภัยคุกคาม เทคโนโลยีป้องกันอย่าง DNSSEC และ DNS over HTTPS (DoH) ไปจนถึงวิธี implement ระบบ Protective DNS ในองค์กรไทย พร้อมตารางเปรียบเทียบ solution ยอดนิยม
ทำความเข้าใจภัยคุกคามผ่าน DNS ที่พบบ่อย
ก่อนจะป้องกันได้ ต้องเข้าใจก่อนว่า attacker ใช้ DNS เป็นช่องทางโจมตีอย่างไรบ้าง ภัยคุกคามผ่าน DNS มีหลากหลายรูปแบบ แต่ละแบบมีผลกระทบและวิธีป้องกันที่แตกต่างกัน
DNS Spoofing และ Cache Poisoning
DNS Spoofing คือการปลอมแปลง DNS response เพื่อหลอกให้เหยื่อเข้าเว็บไซต์ปลอม ตัวอย่างเช่น เมื่อพนักงานพิมพ์ bank.com attacker สามารถแทรก DNS response ปลอมที่ชี้ไปยัง IP ของเว็บไซต์ phishing ที่หน้าตาเหมือน bank.com ทุกประการ พนักงานใส่ username/password โดยไม่รู้ตัวว่ากำลังส่งข้อมูลให้ attacker
ส่วน Cache Poisoning เป็นการโจมตีที่ร้ายกาจกว่า เพราะ attacker แทรกข้อมูล DNS ปลอมเข้าไปใน cache ของ DNS resolver ทำให้ทุกคนที่ใช้ resolver นั้นได้รับ IP ปลอมไปพร้อมกัน ผลกระทบจึงกระจายวงกว้างกว่ามาก การโจมตีลักษณะนี้ตรวจจับยากเพราะดูเหมือน DNS ทำงานปกติ
DNS Tunneling
DNS Tunneling เป็นเทคนิคที่ attacker ใช้ DNS protocol ในการส่งข้อมูลออกจากเครือข่ายโดยไม่ถูกตรวจจับ เนื่องจาก DNS traffic มักได้รับอนุญาตให้ผ่าน firewall เสมอ (port 53) attacker จึง encode ข้อมูลที่ต้องการขโมยใส่ใน DNS query เช่น subdomain ยาวๆ ที่จริงแล้วเป็นข้อมูลที่ถูก encode ไว้ เครื่องมือ malware หลายตัว ใช้ DNS tunneling สำหรับ command and control (C2) communication เพราะ firewall แทบไม่เคย block DNS
DDoS Attack กำหนดเป้า DNS
การโจมตี DDoS ที่เล็งไปที่ DNS server ขององค์กรสามารถทำให้ทุก service ล่มพร้อมกัน เพราะเมื่อ DNS ไม่ทำงาน ไม่มีใครสามารถ resolve ชื่อเว็บไซต์ได้ แม้ web server จะยังทำงานอยู่ก็ตาม DNS amplification attack เป็นรูปแบบที่พบบ่อยที่สุด โดย attacker ส่ง query ขนาดเล็กแต่ได้ response ขนาดใหญ่กว่าหลายเท่า แล้วส่ง response ไปหา target ทำให้ bandwidth เต็ม
DNSSEC: ป้องกันการปลอมแปลง DNS ด้วยลายเซ็นดิจิทัล
DNSSEC (Domain Name System Security Extensions) เป็น extension ของ DNS ที่เพิ่มความสามารถในการตรวจสอบความถูกต้องของ DNS response ด้วยการใช้ digital signatures
DNSSEC ทำงานอย่างไร
DNSSEC ใช้ public-key cryptography ในการลงลายเซ็นดิจิทัลให้กับ DNS records ทุก record เมื่อ DNS resolver ได้รับ response สามารถตรวจสอบลายเซ็นว่าข้อมูลมาจาก authoritative server จริงและไม่ถูกดัดแปลงระหว่างทาง chain of trust เริ่มจาก root zone ลงมาผ่าน TLD จนถึง domain ขององค์กร ถ้าลายเซ็นไม่ตรง resolver จะปฏิเสธ response นั้นทันที
ขั้นตอนการ implement DNSSEC
การเปิดใช้ DNSSEC สำหรับ domain ขององค์กรมีขั้นตอนหลักดังนี้ ขั้นแรก สร้าง Zone Signing Key (ZSK) และ Key Signing Key (KSK) ขั้นที่สอง sign DNS zone ด้วย keys ดังกล่าว ขั้นที่สาม upload DS record ไปยัง registrar เพื่อสร้าง chain of trust ขั้นที่สี่ ทดสอบด้วย tools อย่าง DNSViz หรือ Verisign DNSSEC Debugger สิ่งสำคัญคือต้องมีระบบ key rotation อัตโนมัติ เพราะ DNSSEC keys ต้องเปลี่ยนเป็นประจำ
ข้อจำกัดของ DNSSEC
DNSSEC ป้องกัน data integrity ได้ดี แต่ไม่ได้เข้ารหัส DNS query ทำให้ attacker ยังสามารถ sniff ดูว่าผู้ใช้เข้าเว็บอะไรบ้าง นอกจากนี้ DNSSEC เพิ่มขนาดของ DNS response อาจถูกใช้ใน amplification attack ได้ และ key management อาจซับซ้อน ถ้า key หมดอายุแล้วไม่ได้ rotate domain อาจ resolve ไม่ได้เลย นี่คือเหตุผลที่ต้องใช้ DNSSEC ร่วมกับเทคโนโลยีอื่น
DNS over HTTPS (DoH) และ DNS over TLS (DoT)
เพื่อแก้ปัญหาเรื่อง privacy ที่ DNSSEC ทำไม่ได้ จึงมี DNS over HTTPS (DoH) และ DNS over TLS (DoT) ขึ้นมาเพื่อเข้ารหัส DNS query ทั้งหมด
DoH คืออะไร ต่างจาก DoT อย่างไร
DoH ส่ง DNS query ผ่าน HTTPS (port 443) ทำให้ DNS traffic ดูเหมือน web traffic ปกติ ไม่สามารถแยกออกจาก HTTPS traffic อื่นได้ ข้อดีคือ privacy สูงมาก แม้ ISP หรือ network admin ก็ไม่สามารถดูว่า user เข้าเว็บอะไร ส่วน DoT ส่ง DNS ผ่าน TLS (port 853) ซึ่งมี dedicated port ทำให้ network admin สามารถ identify และ control ได้ง่ายกว่า
การ Deploy DoH/DoT ในองค์กร
สำหรับองค์กร การ deploy DoH ต้องพิจารณาให้ดี เพราะ DoH อาจ bypass DNS filtering ที่องค์กรตั้งไว้เพื่อ block malicious sites ทางออกคือ deploy internal DoH resolver ให้พนักงานใช้ resolver ขององค์กรที่รองรับ DoH แทนการใช้ public DoH เช่น Google (8.8.8.8) หรือ Cloudflare (1.1.1.1) วิธีนี้ได้ทั้ง encryption และยังควบคุม DNS policy ได้อยู่
ตารางเปรียบเทียบ DNS Security Solutions
| Solution | ป้องกัน Spoofing | เข้ารหัส Query | ป้องกัน Tunneling | ป้องกัน DDoS | ความยากในการ Deploy |
|---|---|---|---|---|---|
| DNSSEC | ใช่ (digital signature) | ไม่ | ไม่ | ไม่ | กลาง |
| DoH / DoT | ไม่โดยตรง | ใช่ | ไม่ | ไม่ | ต่ำ |
| DNS Firewall (RPZ) | บางส่วน | ไม่ | บางส่วน | ไม่ | กลาง |
| Protective DNS (เช่น Cisco Umbrella) | ใช่ | ใช่ | ใช่ | ใช่ | ต่ำ |
| Anycast DNS | ไม่ | ไม่ | ไม่ | ใช่ | สูง |
Protective DNS: ป้องกัน DNS แบบครบวงจร
Protective DNS เป็นแนวทางที่รวมเทคโนโลยีหลายตัวเข้าด้วยกันเพื่อปกป้อง DNS อย่างครบถ้วน โดยทำงานเป็น DNS resolver ที่มี intelligence ในตัว สามารถ block malicious domains, detect DNS tunneling และป้องกัน data exfiltration ได้พร้อมกัน
วิธีทำงานของ Protective DNS
Protective DNS ทำหน้าที่เป็น recursive resolver ที่มี threat intelligence feed เมื่อ user พยายาม resolve domain ที่อยู่ใน blocklist เช่น domain ที่เป็น phishing, malware C2 หรือ botnet ระบบจะ block การเข้าถึงทันที พร้อมแจ้งเตือน security team นอกจากนี้ยังวิเคราะห์ DNS traffic patterns เพื่อตรวจจับ DNS tunneling จาก query ที่มี entropy สูงผิดปกติ หรือ subdomain ยาวผิดปกติ
Solution ยอดนิยมสำหรับองค์กรไทย
Cisco Umbrella (เดิมชื่อ OpenDNS) เป็น leader ในตลาดนี้ ใช้งานง่ายแค่ชี้ DNS ขององค์กรไปที่ Umbrella resolver ก็ได้ protection ทันที Cloudflare Gateway เป็นทางเลือกที่คุ้มค่ากว่าสำหรับ SMB Infoblox BloxOne เหมาะสำหรับองค์กรที่ต้องการ on-premises deployment ส่วน PDNS จาก CISA (US government) เป็น free service ที่องค์กรรัฐบาลสามารถใช้ได้
วางแผน DNS Security สำหรับองค์กร
การสร้างระบบ DNS Security ที่แข็งแกร่งต้องทำเป็นขั้นตอน เริ่มจากสิ่งที่ทำได้ง่ายและมีผลกระทบมากก่อน
Quick Wins (สัปดาห์แรก)
เริ่มจากการเปลี่ยนมาใช้ Protective DNS resolver แทน ISP DNS ที่ใช้อยู่ เปิด DNS logging เก็บ query log ทั้งหมดเพื่อ visibility ตรวจสอบว่า DNS server ขององค์กรมี patch ล่าสุดหรือไม่ ปิด recursion สำหรับ authoritative DNS server ที่ไม่จำเป็นต้องรับ query จากภายนอก เพียงเท่านี้ก็ลดความเสี่ยงได้กว่า 60% แล้ว
Medium-term (1-3 เดือน)
Deploy DNSSEC สำหรับ domain ขององค์กร implement Response Policy Zones (RPZ) บน internal DNS server เพื่อ block known malicious domains ตั้งค่า DNS rate limiting เพื่อป้องกัน DDoS deploy DNS monitoring ที่ alert เมื่อมี anomaly เช่น spike ของ NXDOMAIN responses หรือ query ไปยัง newly registered domains
Long-term (3-6 เดือน)
Deploy internal DoH resolver สำหรับพนักงาน implement DNS analytics platform ที่ใช้ machine learning ตรวจจับ DGA (Domain Generation Algorithm) ที่ malware ใช้สร้าง C2 domains ทำ redundant DNS infrastructure ด้วย Anycast เพื่อรองรับ DDoS integrate DNS security เข้ากับ SIEM/SOAR สำหรับ automated incident response
ทิ้งท้าย: DNS Security คือพื้นฐานที่ขาดไม่ได้
DNS Security เป็นหนึ่งในมาตรการป้องกันที่คุ้มค่าที่สุด เพราะ DNS เป็นจุดที่ traffic ทั้งหมดต้องผ่าน การป้องกันที่ DNS layer จึงสามารถ block ภัยคุกคามได้ตั้งแต่ต้นทาง ก่อนที่ malicious content จะถึงเครื่องผู้ใช้ องค์กรที่ยังไม่ได้ทำ DNS security ควรเริ่มทันที อย่างน้อยที่สุดคือเปลี่ยนมาใช้ Protective DNS resolver ซึ่งทำได้ภายในไม่กี่นาที
การผสมผสาน DNSSEC, DoH/DoT และ Protective DNS เข้าด้วยกันจะให้ความปลอดภัยด้าน DNS ที่ครบถ้วน ปกป้ององค์กรจากภัยคุกคามที่หลากหลาย ไม่ว่าจะเป็น phishing, malware, data exfiltration หรือ DDoS
อ่านเพิ่มเติมเรื่อง Zero Trust Network และ MFA ที่ siamlancard.com รวมถึงเนื้อหา IT Security จาก icafeforex.com และ siam2r.com
