DoH እና DoTን የመጠቀም አደጋዎችን መቀነስ
ዶኤች እና ዶቲ ጥበቃ
የዲ ኤን ኤስ ትራፊክዎን ይቆጣጠራሉ? ድርጅቶች ኔትወርኮቻቸውን ለመጠበቅ ብዙ ጊዜ፣ ገንዘብ እና ጥረት ኢንቨስት ያደርጋሉ። ነገር ግን፣ ብዙ ጊዜ በቂ ትኩረት የማያገኝበት አንዱ አካባቢ ዲ ኤን ኤስ ነው።
ዲ ኤን ኤስ ስለሚያመጣቸው አደጋዎች ጥሩ አጠቃላይ እይታ ነው።
ጥናቱ ከተካሄደባቸው የራንሰምዌር ክፍሎች 31% የሚሆኑት ዲ ኤን ኤስ ለቁልፍ ልውውጥ ተጠቅመዋል የጥናት ግኝቶች
ጥናቱ ከተካሄደባቸው የራንሰምዌር ክፍሎች 31% የሚሆኑት ዲኤንኤስን ለቁልፍ ልውውጥ ተጠቅመዋል።
ችግሩ አሳሳቢ ነው። እንደ Palo Alto Networks Unit 42 የምርምር ላብራቶሪ መሰረት፣ 85% የሚሆነው ማልዌር የማዘዣ እና የቁጥጥር ቻናል ለመመስረት ዲ ኤን ኤስን ይጠቀማል፣ ይህም አጥቂዎች ማልዌርን በቀላሉ ወደ አውታረ መረብዎ ውስጥ እንዲያስገባ እና መረጃን እንዲሰርቁ ያስችላቸዋል። ከተመሠረተበት ጊዜ ጀምሮ፣ የዲኤንኤስ ትራፊክ በአብዛኛው ያልተመሰጠረ እና በNGFW የደህንነት ዘዴዎች በቀላሉ ሊተነተን ይችላል።
የዲኤንኤስ ግንኙነቶችን ምስጢራዊነት ለመጨመር የታለሙ አዲስ የዲኤንኤስ ፕሮቶኮሎች መጡ። በዋና አሳሽ አቅራቢዎች እና ሌሎች የሶፍትዌር አቅራቢዎች በንቃት ይደገፋሉ። የተመሰጠረ የዲ ኤን ኤስ ትራፊክ በቅርቡ በድርጅት አውታረ መረቦች ውስጥ ማደግ ይጀምራል። በትክክል ያልተተነተነ እና በመሳሪያዎች ያልተፈታ የተመሰጠረ የዲኤንኤስ ትራፊክ ለአንድ ኩባንያ የደህንነት ስጋት ይፈጥራል። ለምሳሌ፣ እንዲህ ያለው ስጋት የኢንክሪፕሽን ቁልፎችን ለመለዋወጥ ዲ ኤን ኤስ የሚጠቀሙ ክሪፕቶሎከርስ ነው። የመረጃህን መዳረሻ ለመመለስ አጥቂዎች አሁን ብዙ ሚሊዮን ዶላር ቤዛ እየጠየቁ ነው። ጋርሚን ለምሳሌ 10 ሚሊዮን ዶላር ከፍሏል።
በትክክል ሲዋቀር NGFWs የDNS-over-TLS (DoT) አጠቃቀምን ሊከለክሉ ወይም ሊከላከሉ ይችላሉ እና የDNS-over-HTTPS (DoH) አጠቃቀምን ለመካድ በአውታረ መረብዎ ላይ ያሉ ሁሉም የዲኤንኤስ ትራፊክ እንዲተነተኑ ያስችላቸዋል።
የተመሰጠረ ዲ ኤን ኤስ ምንድን ነው?
ዲ ኤን ኤስ ምንድን ነው?
የጎራ ስም ስርዓት (ዲኤንኤስ) በሰው ሊነበቡ የሚችሉ የጎራ ስሞችን (ለምሳሌ አድራሻ) ይፈታል።
የዲ ኤን ኤስ መጠይቆች እና ምላሾች በኔትወርኩ ላይ ግልጽ በሆነ ጽሑፍ፣ ሳይመሰጠሩ ይላካሉ፣ ይህም ለመሰለል ወይም ምላሹን ለመለወጥ እና አሳሹን ወደ ተንኮል አዘል ሰርቨሮች በማዞር ነው። የዲ ኤን ኤስ ምስጠራ የዲ ኤን ኤስ ጥያቄዎች በሚተላለፉበት ጊዜ ለመከታተል ወይም ለመለወጥ አስቸጋሪ ያደርገዋል። የዲ ኤን ኤስ ጥያቄዎችን እና ምላሾችን ማመስጠር ከባህላዊ ግልጽ ዲ ኤን ኤስ (የጎራ ስም ስርዓት) ፕሮቶኮል ጋር አንድ አይነት ተግባር ሲፈጽሙ ከማን-በመካከለኛው ጥቃቶች ይጠብቅዎታል።
ባለፉት ጥቂት አመታት፣ ሁለት የዲኤንኤስ ምስጠራ ፕሮቶኮሎች ቀርበዋል፡-
-
ዲኤንኤስ-በላይ-ኤችቲቲፒኤስ (DoH)
-
DNS-over-TLS (DoT)
እነዚህ ፕሮቶኮሎች አንድ የሚያመሳስላቸው ነገር አለ፡ ሆን ብለው የዲ ኤን ኤስ ጥያቄዎችን ከማንኛውም መጠላለፍ ይደብቃሉ... እና ከድርጅቱ የጥበቃ ጠባቂዎችም ጭምር። ፕሮቶኮሎቹ በዋነኛነት TLS (የትራንስፖርት ንብርብር ደህንነት) የሚጠቀሙት በደንበኛ መጠይቆችን በሚጠይቅ እና በተለምዶ ለዲ ኤን ኤስ ትራፊክ ጥቅም ላይ ባልዋለ ወደብ ላይ የዲኤንኤስ ጥያቄዎችን በሚፈታ አገልጋይ መካከል የተመሰጠረ ግንኙነት ለመመስረት ነው።
የዲ ኤን ኤስ መጠይቆች ምስጢራዊነት የእነዚህ ፕሮቶኮሎች ትልቅ ተጨማሪ ነው። ነገር ግን፣ የኔትወርክ ትራፊክን መከታተል እና ተንኮል-አዘል ግንኙነቶችን ፈልጎ ማግኘት እና ማገድ በሚኖርባቸው የደህንነት ጠባቂዎች ላይ ችግር ይፈጥራሉ። ፕሮቶኮሎቹ በአፈፃፀማቸው ስለሚለያዩ፣ የትንታኔ ዘዴዎች በDoH እና DoT መካከል ይለያያሉ።
ዲ ኤን ኤስ በ HTTPS (DoH)
ዲ ኤን ኤስ በ HTTPS ውስጥ
ዶኤች ለኤችቲቲፒኤስ ታዋቂ የሆነውን ወደብ 443 ይጠቀማል ለዚህም አርኤፍሲ ዓላማው "የዶኤች ትራፊክን ከሌሎች የኤችቲቲፒኤስ ትራፊክ ጋር በተመሳሳይ ግንኙነት ማደባለቅ" ፣ "የዲኤንኤስ ትራፊክን ለመተንተን አስቸጋሪ ያደርገዋል" እና በዚህም የኮርፖሬት መቆጣጠሪያዎችን ማለፍ ነው ይላል። (
ከ DoH ጋር የተዛመዱ አደጋዎች
መደበኛ የኤችቲቲፒኤስ ትራፊክን ከDoH ጥያቄዎች መለየት ካልቻሉ፣ በድርጅትዎ ውስጥ ያሉ መተግበሪያዎች ለDoH ጥያቄዎች ምላሽ ወደሚሰጡ የሶስተኛ ወገን አገልጋዮች ጥያቄዎችን በማዘዋወር (እና ያደርጋል) የአካባቢያዊ የዲኤንኤስ ቅንብሮችን ማለፍ ይችላሉ፣ ይህም ማንኛውንም ክትትል ያልፋል፣ ይህም ማለት የመከታተል አቅምን ያጠፋል የዲ ኤን ኤስ ትራፊክን ይቆጣጠሩ። በሐሳብ ደረጃ HTTPS ዲክሪፕት ተግባራትን በመጠቀም DoH መቆጣጠር አለብህ።
И
የDoH ትራፊክ ታይነትን እና ቁጥጥርን ማረጋገጥ
ለዶኤች ቁጥጥር ምርጡ መፍትሄ እንደመሆናችን መጠን HTTPS ትራፊክን ለመበተን እና የ DoH ትራፊክን ለማገድ NGFW ን ማዋቀር እንመክራለን (የመተግበሪያ ስም፡ dns-over-https)።
በመጀመሪያ NGFW ኤችቲቲፒኤስን ዲክሪፕት ለማድረግ መዋቀሩን ያረጋግጡ
ሁለተኛ፣ ከታች እንደሚታየው ለመተግበሪያ ትራፊክ "dns-over-https" ህግ ይፍጠሩ፡
የፓሎ አልቶ አውታረ መረቦች ዲ ኤን ኤስ ከኤችቲቲፒኤስ በላይ ለማገድ የ NGFW ደንብ
እንደ ጊዜያዊ አማራጭ (ድርጅትዎ የኤችቲቲፒኤስ ዲክሪፕት ሙሉ በሙሉ ተግባራዊ ካላደረገ) NGFW በ"dns-over-https" የመተግበሪያ መታወቂያ ላይ "የመካድ" እርምጃን ተግባራዊ ለማድረግ ሊዋቀር ይችላል፣ነገር ግን ውጤቱ የተወሰኑ በደንብ በማገድ ላይ ብቻ የተገደበ ይሆናል። የሚታወቁ የዶኤች አገልጋዮች በጎራ ስማቸው፣ ስለዚህ ያለ HTTPS ዲክሪፕት እንዴት የዶኤች ትራፊክ ሙሉ በሙሉ አይመረመርም (ተመልከት)
ዲኤንኤስ በTLS (DoT)
ዲ ኤን ኤስ በ TLS ውስጥ
የዶኤች ፕሮቶኮል ከተመሳሳዩ ወደብ ላይ ካሉ ሌሎች ትራፊክ ጋር የመቀላቀል አዝማሚያ ቢኖረውም፣ ዶቲ በምትኩ ነባሪው ለዚያ ብቸኛ ዓላማ የተለየውን ወደብ ለመጠቀም፣ በተለይም ተመሳሳይ ወደብ በባህላዊ ያልተመሰጠረ የዲ ኤን ኤስ ትራፊክ እንዳይጠቀም ይከለክላል (
የDoT ፕሮቶኮል መደበኛውን የዲ ኤን ኤስ ፕሮቶኮል መጠይቆችን የሚሸፍን ምስጠራን ለማቅረብ TLS ይጠቀማል፣ ታዋቂውን ወደብ 853 (በመጠቀም ትራፊክ)
ከዶቲ ጋር የተያያዙ አደጋዎች
ጎግል ዶቲን በደንበኛው ውስጥ ተግባራዊ አድርጓል
የዶቲ ትራፊክ ታይነትን እና ቁጥጥርን ማረጋገጥ
ለዶቲ ቁጥጥር ምርጥ ልምምድ እንደመሆናችን መጠን በድርጅትዎ መስፈርቶች መሰረት ከላይ ከተጠቀሱት ማናቸውንም እንመክራለን፡
-
ሁሉንም ትራፊክ ለመዳረሻ ወደብ 853 ዲክሪፕት ለማድረግ NGFWን ያዋቅሩ። ትራፊክን በመፍታት DoT እንደ ዲ ኤን ኤስ መተግበሪያ ሆኖ ይታያል ይህም ማንኛውንም ተግባር መተግበር ይችላሉ፣ ለምሳሌ ምዝገባን ማንቃት።
የፓሎ አልቶ አውታረ መረቦች ዲ ኤን ኤስ ደህንነት የዲጂኤ ጎራዎችን ወይም ነባሩን ለመቆጣጠርየዲ ኤን ኤስ መስመጥ እና ጸረ-ስፓይዌር. -
ሌላው አማራጭ የApp-ID ሞተር በፖርት 853 ላይ ያለውን የ'dns-over-tls' ትራፊክ ሙሉ በሙሉ እንዲዘጋ ማድረግ ነው።ይህ በነባሪነት ብዙ ጊዜ ታግዷል፣ ምንም እርምጃ አያስፈልግም (በተለይ የ'dns-over-tls' መተግበሪያን ወይም የወደብ ትራፊክን ካልፈቀዱ በስተቀር) 853)።
ምንጭ: hab.com