Permalänk
Medlem

DNS-kapning router

Jag har en fråga om cyberhotet DNS-kapning och jag undrar lite över hur det fungerar. Jag läste någonstans att det kan ske "utan att man ens vet om det" och jag undrar lite vad man egentligen menar med det.

För det första, sker DNS-kapning inuti routern, alltså att någon tar sig in där och mixtrar, eller sker det någon annanstans i kedjan av kommunikation mellan min dator och en server?

F-secure skriver på sin hemsida: "Genom att använda en teknik som kallas DNS-kapning (domän­namns­server) kan hackare kringgå säkerheten hos ditt Wi‑Fi-nät­verk i hemmet". Kringgå hur? Är hela grejen med DNS-kapning att någon har tagit sig in i min router pga. dåligt/felaktigt konfigurerade säkerhetsinställningar (sådana inställningar som lämpligt SSID, rätt krypteringsmetod, lämpligt nätverkslösenord, adminlösenord mm.) och på något sätt mixtrat med inställningar för DNS för att dirigera om till skumma sidor? Eller kan en DNS-kapning ske även på något annat sätt? Dvs. så länge jag har kontroll på min router och vet att den är korrekt konfigurerad så att ingen kan ta sig in från första början, kan DNS-kapning undvikas då?

Permalänk
Medlem

Jag skulle säga att det som du skriver. Att de tar sig in i routern, till exempel via ett säkerhetshål och lägger in deras DNS istället.

Permalänk
Medlem
Visa signatur

Lian Li PC O11 D PCMR, Asus Crosshair VIII Dark hero, 5900X, 32gb 3600Mhz Corsair Vengeance rgb pro, 2 x 2gb Corsair mp 600 pro, 9X Corsair QL 120, Corsair capellix elite 150 rgb, Corsair RM 850 White, Samsung Odyssey Qled 49" '(5120 x 1440 x 240 Hz),Universal Audio Volt 2 ljudkort, Shure SM58 mic, B&W 685 monitorer, Razer black widow v3 pro, Razer Basillisk ultima, Bose NC 700 + Audio technica ATH-M40X + Hemmabyggd konsoll till skrivbordet

Permalänk
Medlem

Tack för länken, men jag tycker inte den sidan riktigt ger svar på min fråga vad min router har för roll i det hela.

Några citat från den sidan:

"Du kan också kontrollera dina DNS-inställningar regelbundet för att se till att allt ser normalt ut"
Vilka inställningar? I routern? Se till att inga manuella regler för omdirigering otillbörligen lagts till någonstans?

"Detta kan göras genom att sätta upp en falsk DNS-server som lurar båda systemen att tro att den är den legitima, eller genom att utnyttja ett säkerhetsfel i en av servrarna."
Återigen, var någonstans sätts det upp? I min router på det sätt jag beskrev ovan?

Är det jag beskrev i trådstarten ett exempel på det som beskrivs i detta stycke, och att det bara kan ske så länge någon har tagit sig in i routern?

"Rogue DNS-serverkapning Angripare hackar DNS-servrarna och ändrar konfigurationerna av riktade webbplatser så att deras IP-adresser pekar på skadliga webbplatser. . Router DNS Hijack överväger att hacka in DNS-routrar, ändra inställningarna och påverka alla användare som är anslutna till den routern."

Meningen "Router DNS Hijack överväger att hacka in DNS-routrar" är ju snudd på obegriplig... Jag fattar inte om den är ett exempel på det som min fråga handlar om.

Permalänk
Medlem

Hej Mysterium,

Vilken härlig fråga!
DNS-kapning är ett verkligt hot och något man definitivt bör ta hänsyn till om man vill öka säkerheten i sitt nätverk.
Ett Domain Name System är ett sätt att översätta text (eller mer korrekt sk. domäner) till IP-adresser. Domäner som ex. google.se översätts till 142.250.74.99, så att korrekt IP kan användas för en given tjänst. Det finns flera för- och nackdelar med att använda DNS:er, men det blir mer och mer vanligt att använda domäner i stället för IP-adresser.
En klar fördel, som man ofta missar, är att ägaren av en domän kan ändra IP-adressen för tjänsten om hen t.ex. flyttat tjänsten till en ny server.

I grunden handlar DNS-kapning om att, på något vis, ändra DNS-svaret som din dator får skickat till sig. Det kan göras på lite olika sätt och beror på hur ditt nätverk är uppbyggt. Det finns två huvudsakliga typer av DNS-kapning: 1) aktören ändrar DNS-värdena i sig, 2) aktören ändrar vart din enhet hämtar DNS-värden från.

Det finns massor av sätt att utföra DNS-kapning och det är omöjligt att vara 100% säker.
Personligen har jag en lokal DNS-server (PiHole, men ska gå över till BIND), som kör DNSSEC mot servrar uppströms.

Jag rekommenderar att läsa denna artikeln om DNSSEC, de har bra information om DNS-kapning och hur man kan skydda sig.
https://internetstiftelsen.se/domaner/domannamnsbranschen/tek...

Visa signatur

e

Permalänk
Medlem

Om du använder DHCP på din router så kan routern dela ut information om vilken DNS-server alla enheter ska använda sig av. Det är värt att nämna att om en aktör är i ditt lokala nätverk (men inte nödvändigtvis inne i routern), så kan aktören trots det svara på DHCP Discovery paket från alla hosts på ditt LAN och således ange en annan, skadlig DNS-server i Offer paketet.

Visa signatur

e

Permalänk
Medlem
Skrivet av Mysterium:

Jag har en fråga om cyberhotet DNS-kapning och jag undrar lite över hur det fungerar. Jag läste någonstans att det kan ske "utan att man ens vet om det" och jag undrar lite vad man egentligen menar med det.

För det första, sker DNS-kapning inuti routern, alltså att någon tar sig in där och mixtrar, eller sker det någon annanstans i kedjan av kommunikation mellan min dator och en server?

F-secure skriver på sin hemsida: "Genom att använda en teknik som kallas DNS-kapning (domän­namns­server) kan hackare kringgå säkerheten hos ditt Wi‑Fi-nät­verk i hemmet". Kringgå hur? Är hela grejen med DNS-kapning att någon har tagit sig in i min router pga. dåligt/felaktigt konfigurerade säkerhetsinställningar (sådana inställningar som lämpligt SSID, rätt krypteringsmetod, lämpligt nätverkslösenord, adminlösenord mm.) och på något sätt mixtrat med inställningar för DNS för att dirigera om till skumma sidor? Eller kan en DNS-kapning ske även på något annat sätt? Dvs. så länge jag har kontroll på min router och vet att den är korrekt konfigurerad så att ingen kan ta sig in från första början, kan DNS-kapning undvikas då?

Det F-Secure verkar syfta på där är specifikt att routerns DNS-inställningar ändrats.
Om den har förväntade inställningar, har ett bra lösenord, och hålls uppdaterad (utifall att det finns brister i routerns mjukvara som skulle tillåta att man ändå kan ändra inställningarna, utan lösenord) så har man väl hanterat det specifika problemet.

Skrivet av Mysterium:

Tack för länken, men jag tycker inte den sidan riktigt ger svar på min fråga vad min router har för roll i det hela.

Några citat från den sidan:

"Du kan också kontrollera dina DNS-inställningar regelbundet för att se till att allt ser normalt ut"
Vilka inställningar? I routern? Se till att inga manuella regler för omdirigering otillbörligen lagts till någonstans?

"Detta kan göras genom att sätta upp en falsk DNS-server som lurar båda systemen att tro att den är den legitima, eller genom att utnyttja ett säkerhetsfel i en av servrarna."
Återigen, var någonstans sätts det upp? I min router på det sätt jag beskrev ovan?

Är det jag beskrev i trådstarten ett exempel på det som beskrivs i detta stycke, och att det bara kan ske så länge någon har tagit sig in i routern?

"Rogue DNS-serverkapning Angripare hackar DNS-servrarna och ändrar konfigurationerna av riktade webbplatser så att deras IP-adresser pekar på skadliga webbplatser. . Router DNS Hijack överväger att hacka in DNS-routrar, ändra inställningarna och påverka alla användare som är anslutna till den routern."

Meningen "Router DNS Hijack överväger att hacka in DNS-routrar" är ju snudd på obegriplig... Jag fattar inte om den är ett exempel på det som min fråga handlar om.

Ja, det där verkar vara så illa översatt (kanske även illa formulerat från början, svårbedömt) att det knappt går att läsa.

Men de huvudsakliga andra alternativen att oroa sig över:

* Ändrade DNS-inställningar lokalt på datorn som du använder (i bred bemärkelse, kan ju vara en PC, en mobiltelefon eller något annat). Det spelar ju ingen roll att din router har "rätt inställningar" om datorn har konfigurerats med egna inställningar istället för att använda de som routern föreslår via DHCP.
(Även relaterat men ej formellt en fråga om DNS, är då om någon lagt in konstigheter i hosts-filen lokalt på datorn, med lokalt definierade kopplingar av namn till IP.)

* En "förgiftningsattack" (DNS cache poisoning) utifrån. Domäner som ej nyttjar DNSSEC (kryptografiskt signerad DNS-data som går att verifiera att den är giltig) så finns det inget vattentätt skydd mot att en utomstående part skickar fejkade DNS-svar i hopp om att deras svar hinner fram före det riktiga svaret; om de lyckas skicka ett svar som "ser ut som ett svar på frågan" men med fejkat innehåll så kommer detta användas, och kan då t.ex. skicka användare till fel IP-adress (vilket då kan användas som grund för andra typer av attacker).
En sådan attack skulle kunna ske för DNS-trafik antingen mellan din router och dess (förhoppingsvis) korrekt konfigurerade DNS-uppslagsserver, eller mellan denna DNS-uppslagsserver och t.ex. namnservern för google.com (eller vilket namn attackeraren nu vill hitta på fejksvar för).
Om man som användare aktiverat DNS-over-TLS, DNS-over-HTTPS eller liknande så säkrar det kommunikationen i det förstnämnda steget ("mellan din dator/router och dess (förhoppingsvis) korrekt konfigurerade DNS-uppslagsserver"), men ej det sistnämnda ("mellan denna DNS-uppslagsserver och t.ex. namnservern för google.com").

Visa signatur

AMD Ryzen9 5900X || Gigabyte X570 Ultra || RTX 3090 FE || Gskill Trident Z 3600 64GB || Samsung 950 Pro 512GB || Samsung 960 Pro 1024GB || XB270HU 1440p IPS G-Sync

Permalänk
Medlem
Skrivet av evil penguin:

* Ändrade DNS-inställningar lokalt på datorn som du använder (i bred bemärkelse, kan ju vara en PC, en mobiltelefon eller något annat). Det spelar ju ingen roll att din router har "rätt inställningar" om datorn har konfigurerats med egna inställningar istället för att använda de som routern föreslår via DHCP.

Var ändrar jag sådana inställningar? Är det i en mjukvarubrandvägg?

Skrivet av evil penguin:

* En "förgiftningsattack" (DNS cache poisoning) utifrån. Domäner som ej nyttjar DNSSEC (kryptografiskt signerad DNS-data som går att verifiera att den är giltig) så finns det inget vattentätt skydd mot att en utomstående part skickar fejkade DNS-svar i hopp om att deras svar hinner fram före det riktiga svaret; om de lyckas skicka ett svar som "ser ut som ett svar på frågan" men med fejkat innehåll så kommer detta användas, och kan då t.ex. skicka användare till fel IP-adress (vilket då kan användas som grund för andra typer av attacker).

Om jag uppfattar det korrekt är detta utanför min kontroll på det sättet att det inte är några direkta åtgärder jag kan vidta för att skydda mig?

Skrivet av evil penguin:

En sådan attack skulle kunna ske för DNS-trafik antingen mellan din router och dess (förhoppingsvis) korrekt konfigurerade DNS-uppslagsserver,

Hur vet jag om den är "korrekt konfigurerad"? Menar du att jag har konfigurerat routern så att den pekar på rätt DNS-server eller att DNS-servern i sig är korrekt konfigurerad (dvs. något jag inte kan påverka)?

Permalänk
Medlem

Problemet med DNSSEC är att ägaren av den domänen man surfar mot måste aktivera det? Annars hjälper det inte, som jag fattat det.
https://dnssec-analyzer.verisignlabs.com/
Swedbank blev inte grön, medan både handelsbanken och seb blev det. Känns ju viktigt att en bank satsar på det, sweclockers verkar inte ha det heller

Permalänk
Medlem
Skrivet av Mysterium:

Var ändrar jag sådana inställningar? Är det i en mjukvarubrandvägg?

Under windows så har de grundläggande inställningarna legat i TCP/IP-inställningarna och sett likadana ut sedan väldigt länge.

Här (undre delen):

(Se t.ex. https://www.tp-link.com/us/support/faq/14/ för hur du kan navigera dit i olika versioner)

I Windows 11 finns det även lite nya, mer avancerade inställningar, där det går att aktivera DNS-over-HTTPS om det är av intresse. De ligger dock inte just där, kan se var man kan gräva fram de detaljerna...

Skrivet av Mysterium:

Om jag uppfattar det korrekt är detta utanför min kontroll på det sättet att det inte är några direkta åtgärder jag kan vidta för att skydda mig?

Ja, mer eller mindre. Om du använder DNS-over-TLS eller DNS-over-HTTPS så har du tagit bort en av möjligheterna för detta, men det är ju inte heltäckande. I övrigt ligger hanteringen mer i domänägarens händer, med DNSSEC, men även då att du använder en uppslagsserver som validerar DNSSEC (de flesta stora tjänsterna gör det, men om du irrar ut i periferin eller använder någon mindre internetleverantörs egna så är det ju mer från fall till fall hur det ligger till)

Skrivet av Mysterium:

Hur vet jag om den är "korrekt konfigurerad"? Menar du att jag har konfigurerat routern så att den pekar på rätt DNS-server eller att DNS-servern i sig är korrekt konfigurerad (dvs. något jag inte kan påverka)?

Jag menade bara att det faktiskt är de inställningar som du avsåg att använda är de som är konfigurerade (i det enklaste fallet, att det är samma IP-adress till uppslagsservern som du avsåg att det skulle vara).

Visa signatur

AMD Ryzen9 5900X || Gigabyte X570 Ultra || RTX 3090 FE || Gskill Trident Z 3600 64GB || Samsung 950 Pro 512GB || Samsung 960 Pro 1024GB || XB270HU 1440p IPS G-Sync

Permalänk
Medlem

DNS-hijacking är en betydligt mindre risk nu än det var för ett antal år sedan, eftersom webbläsare numera mer eller mindre kräver användning av TLS. Om du får ett falskt svar på vad "dinbank.se" har för IP-adress så kommer din webbläsare att ansluta sig till den falska servern och kontrollera dess certifikat.

Om den falska servern inte kan identifiera sig som "dinbank.se" så kommer webbläsaren att sparka bakut med en säkerhetsvarning. Moderna webbläsare är svåra att få att ansluta över vanlig okrypterad http utan certifikatskontroll, de vill verkligen använda https/TLS och kontrollera ett cert. Det är bra att tänka tre gånger innan man väljer att ignorera sådana säkerhetsvarningar...

Man kan inte alltid lita på att TLS och dess certifikatkontroll hjälper. Det finns några hundra certifikatutfärdare i världen och webbläsare litar på cert utfärdade av dessa. Om man kan övertyga en av dessa certifikatutfärdare att utfärda ett falskt certifikat så har man lurat systemet. Det händer då och då att certifikatutfärdare antingen blir avslöjade med att ha utfärdat falska cert, slarvat med säkerheten eller visar sig ha kopplingar till inte så pålitliga organisationer. Ett stort exempel är när Symantec blev utslängda från alla webbläsare.

Andra protokoll än webbsurf kan vara mycket mer lättlurade (de har ingen certifikatskontroll), så säkerhetsmekanismer i DNS, typ DNSSEC som nämnts ovan, år viktiga både som ett skydd för dessa sämre protokoll och som ett extra lager skydd om webbsajters TLS-cert skulle visa sig vara opålitliga.

Det finns så klart även en massa andra sätt att lura användare, till exempel att ge dem en länk till en domän som liknar en legitim domän, "d1nbank.se". Mot det finns det andra sorters skydd, men inga som är perfekta.

Webbläsare använder ibland DoH, DNS-over-HTTPS. Då går webbläsaren förbi hela DNS-systemet i operativsystemet och på den lokala routern. Den ansluter till ett känt IP-nummer och validerar dess certifikat och kan sedan använda uppkopplingen för att göra DNS-uppslagningar. När detta blir standard krav i closed-source-webbläsare (Chrome, Edge mm) så blir det omöjligt för oss som gör DNS-hijacking med flit (för att hindra uppkopplingar till servrar som serverar reklam och annan malware) att fortsätta att göra det med framgång mot de webbläsarna.

Permalänk
Medlem

"kringgå säkerheten hos ditt Wi‑Fi-nät­verk"

Vilken säkerhet påstår F-Secure att 99% av LAN har?