ፕሮሆስተር > ጦማር > አስተዳደር > DNS-over-TLS (DoT) እና DNS-over-HTTPS (DoH) የመጠቀም ስጋቶችን መቀነስ

DNS-over-TLS (DoT) እና DNS-over-HTTPS (DoH) የመጠቀም ስጋቶችን መቀነስ

DNS-over-TLS (DoT) እና DNS-over-HTTPS (DoH) የመጠቀም ስጋቶችን መቀነስDoH እና DoTን የመጠቀም አደጋዎችን መቀነስ

ዶኤች እና ዶቲ ጥበቃ

የዲ ኤን ኤስ ትራፊክዎን ይቆጣጠራሉ? ድርጅቶች ኔትወርኮቻቸውን ለመጠበቅ ብዙ ጊዜ፣ ገንዘብ እና ጥረት ኢንቨስት ያደርጋሉ። ነገር ግን፣ ብዙ ጊዜ በቂ ትኩረት የማያገኝበት አንዱ አካባቢ ዲ ኤን ኤስ ነው።

ዲ ኤን ኤስ ስለሚያመጣቸው አደጋዎች ጥሩ አጠቃላይ እይታ ነው። ትክክለኛ የዝግጅት አቀራረብ በ Infosecurity ኮንፈረንስ.

DNS-over-TLS (DoT) እና DNS-over-HTTPS (DoH) የመጠቀም ስጋቶችን መቀነስጥናቱ ከተካሄደባቸው የራንሰምዌር ክፍሎች 31% የሚሆኑት ዲ ኤን ኤስ ለቁልፍ ልውውጥ ተጠቅመዋል የጥናት ግኝቶች

ጥናቱ ከተካሄደባቸው የራንሰምዌር ክፍሎች 31% የሚሆኑት ዲኤንኤስን ለቁልፍ ልውውጥ ተጠቅመዋል።

ችግሩ አሳሳቢ ነው። እንደ Palo Alto Networks Unit 42 የምርምር ላብራቶሪ መሰረት፣ 85% የሚሆነው ማልዌር የማዘዣ እና የቁጥጥር ቻናል ለመመስረት ዲ ኤን ኤስን ይጠቀማል፣ ይህም አጥቂዎች ማልዌርን በቀላሉ ወደ አውታረ መረብዎ ውስጥ እንዲያስገባ እና መረጃን እንዲሰርቁ ያስችላቸዋል። ከተመሠረተበት ጊዜ ጀምሮ፣ የዲኤንኤስ ትራፊክ በአብዛኛው ያልተመሰጠረ እና በNGFW የደህንነት ዘዴዎች በቀላሉ ሊተነተን ይችላል። 

የዲኤንኤስ ግንኙነቶችን ምስጢራዊነት ለመጨመር የታለሙ አዲስ የዲኤንኤስ ፕሮቶኮሎች መጡ። በዋና አሳሽ አቅራቢዎች እና ሌሎች የሶፍትዌር አቅራቢዎች በንቃት ይደገፋሉ። የተመሰጠረ የዲ ኤን ኤስ ትራፊክ በቅርቡ በድርጅት አውታረ መረቦች ውስጥ ማደግ ይጀምራል። በትክክል ያልተተነተነ እና በመሳሪያዎች ያልተፈታ የተመሰጠረ የዲኤንኤስ ትራፊክ ለአንድ ኩባንያ የደህንነት ስጋት ይፈጥራል። ለምሳሌ፣ እንዲህ ያለው ስጋት የኢንክሪፕሽን ቁልፎችን ለመለዋወጥ ዲ ኤን ኤስ የሚጠቀሙ ክሪፕቶሎከርስ ነው። የመረጃህን መዳረሻ ለመመለስ አጥቂዎች አሁን ብዙ ሚሊዮን ዶላር ቤዛ እየጠየቁ ነው። ጋርሚን ለምሳሌ 10 ሚሊዮን ዶላር ከፍሏል።

በትክክል ሲዋቀር NGFWs የDNS-over-TLS (DoT) አጠቃቀምን ሊከለክሉ ወይም ሊከላከሉ ይችላሉ እና የDNS-over-HTTPS (DoH) አጠቃቀምን ለመካድ በአውታረ መረብዎ ላይ ያሉ ሁሉም የዲኤንኤስ ትራፊክ እንዲተነተኑ ያስችላቸዋል።

የተመሰጠረ ዲ ኤን ኤስ ምንድን ነው?

ዲ ኤን ኤስ ምንድን ነው?

የጎራ ስም ስርዓት (ዲኤንኤስ) በሰው ሊነበቡ የሚችሉ የጎራ ስሞችን (ለምሳሌ አድራሻ) ይፈታል። www.paloaltonetworks.com ) ወደ አይፒ አድራሻዎች (ለምሳሌ 34.107.151.202)። አንድ ተጠቃሚ በድር አሳሽ ውስጥ የጎራ ስም ሲያስገባ አሳሹ የዲ ኤን ኤስ ጥያቄን ወደ ዲ ኤን ኤስ አገልጋይ ይልካል፣ ከዚያ የጎራ ስም ጋር የተያያዘውን የአይፒ አድራሻ ይጠይቃል። በምላሹ የዲ ኤን ኤስ አገልጋይ ይህ አሳሽ የሚጠቀመውን የአይፒ አድራሻ ይመልሳል።

የዲ ኤን ኤስ መጠይቆች እና ምላሾች በኔትወርኩ ላይ ግልጽ በሆነ ጽሑፍ፣ ሳይመሰጠሩ ይላካሉ፣ ይህም ለመሰለል ወይም ምላሹን ለመለወጥ እና አሳሹን ወደ ተንኮል አዘል ሰርቨሮች በማዞር ነው። የዲ ኤን ኤስ ምስጠራ የዲ ኤን ኤስ ጥያቄዎች በሚተላለፉበት ጊዜ ለመከታተል ወይም ለመለወጥ አስቸጋሪ ያደርገዋል። የዲ ኤን ኤስ ጥያቄዎችን እና ምላሾችን ማመስጠር ከባህላዊ ግልጽ ዲ ኤን ኤስ (የጎራ ስም ስርዓት) ፕሮቶኮል ጋር አንድ አይነት ተግባር ሲፈጽሙ ከማን-በመካከለኛው ጥቃቶች ይጠብቅዎታል። 

ባለፉት ጥቂት አመታት፣ ሁለት የዲኤንኤስ ምስጠራ ፕሮቶኮሎች ቀርበዋል፡-

  1. ዲኤንኤስ-በላይ-ኤችቲቲፒኤስ (DoH)

  2. DNS-over-TLS (DoT)

እነዚህ ፕሮቶኮሎች አንድ የሚያመሳስላቸው ነገር አለ፡ ሆን ብለው የዲ ኤን ኤስ ጥያቄዎችን ከማንኛውም መጠላለፍ ይደብቃሉ... እና ከድርጅቱ የጥበቃ ጠባቂዎችም ጭምር። ፕሮቶኮሎቹ በዋነኛነት TLS (የትራንስፖርት ንብርብር ደህንነት) የሚጠቀሙት በደንበኛ መጠይቆችን በሚጠይቅ እና በተለምዶ ለዲ ኤን ኤስ ትራፊክ ጥቅም ላይ ባልዋለ ወደብ ላይ የዲኤንኤስ ጥያቄዎችን በሚፈታ አገልጋይ መካከል የተመሰጠረ ግንኙነት ለመመስረት ነው።

የዲ ኤን ኤስ መጠይቆች ምስጢራዊነት የእነዚህ ፕሮቶኮሎች ትልቅ ተጨማሪ ነው። ነገር ግን፣ የኔትወርክ ትራፊክን መከታተል እና ተንኮል-አዘል ግንኙነቶችን ፈልጎ ማግኘት እና ማገድ በሚኖርባቸው የደህንነት ጠባቂዎች ላይ ችግር ይፈጥራሉ። ፕሮቶኮሎቹ በአፈፃፀማቸው ስለሚለያዩ፣ የትንታኔ ዘዴዎች በDoH እና DoT መካከል ይለያያሉ።

ዲ ኤን ኤስ በ HTTPS (DoH)

DNS-over-TLS (DoT) እና DNS-over-HTTPS (DoH) የመጠቀም ስጋቶችን መቀነስዲ ኤን ኤስ በ HTTPS ውስጥ

ዶኤች ለኤችቲቲፒኤስ ታዋቂ የሆነውን ወደብ 443 ይጠቀማል ለዚህም አርኤፍሲ ዓላማው "የዶኤች ትራፊክን ከሌሎች የኤችቲቲፒኤስ ትራፊክ ጋር በተመሳሳይ ግንኙነት ማደባለቅ" ፣ "የዲኤንኤስ ትራፊክን ለመተንተን አስቸጋሪ ያደርገዋል" እና በዚህም የኮርፖሬት መቆጣጠሪያዎችን ማለፍ ነው ይላል። ( RFC 8484 DoH ክፍል 8.1 ). የDoH ፕሮቶኮል የTLS ምስጠራን እና በተለመደው HTTPS እና HTTP/2 ደረጃዎች የቀረበውን የጥያቄ አገባብ ይጠቀማል፣የዲኤንኤስ ጥያቄዎችን እና ምላሾችን በመደበኛ HTTP ጥያቄዎች ላይ ይጨምራል።

ከ DoH ጋር የተዛመዱ አደጋዎች

መደበኛ የኤችቲቲፒኤስ ትራፊክን ከDoH ጥያቄዎች መለየት ካልቻሉ፣ በድርጅትዎ ውስጥ ያሉ መተግበሪያዎች ለDoH ጥያቄዎች ምላሽ ወደሚሰጡ የሶስተኛ ወገን አገልጋዮች ጥያቄዎችን በማዘዋወር (እና ያደርጋል) የአካባቢያዊ የዲኤንኤስ ቅንብሮችን ማለፍ ይችላሉ፣ ይህም ማንኛውንም ክትትል ያልፋል፣ ይህም ማለት የመከታተል አቅምን ያጠፋል የዲ ኤን ኤስ ትራፊክን ይቆጣጠሩ። በሐሳብ ደረጃ HTTPS ዲክሪፕት ተግባራትን በመጠቀም DoH መቆጣጠር አለብህ። 

И ጎግል እና ሞዚላ የ DoH ችሎታዎችን ተግባራዊ አድርገዋል በአሳሾቻቸው የቅርብ ጊዜ ስሪት ውስጥ እና ሁለቱም ኩባንያዎች ለሁሉም ዲ ኤን ኤስ ጥያቄዎች በነባሪነት DoH ለመጠቀም እየሰሩ ነው። ማይክሮሶፍት ዕቅዶችን እያዘጋጀ ነው። ዶኤች ወደ ኦፕሬቲንግ ሲስተማቸው በማዋሃድ ላይ። ጉዳቱ ታዋቂ የሆኑ የሶፍትዌር ኩባንያዎች ብቻ ሳይሆኑ አጥቂዎችም ባህላዊ የኮርፖሬት ፋየርዎል እርምጃዎችን ለማለፍ ዶኤች መጠቀም መጀመራቸው ነው። (ለምሳሌ የሚከተሉትን መጣጥፎች ይከልሱ፡- PsiXBot አሁን Google DoHን ይጠቀማል , PsiXBot በተዘመነ የዲ ኤን ኤስ መሠረተ ልማት መሻሻል ይቀጥላል и Godlua backdoor ትንተና .) ያም ሆነ ይህ፣ ሁለቱም ጥሩ እና ተንኮለኛው የዶኤች ትራፊክ ሳይታወቅ ይቀራሉ፣ ይህም ድርጅቱ ማልዌርን (C2)ን ለመቆጣጠር እና ሚስጥራዊነት ያለው መረጃን ለመስረቅ ዶኤችን እንደ ማስተላለፊያ ቱቦ እንዳይጠቀም ያደርገዋል።

የDoH ትራፊክ ታይነትን እና ቁጥጥርን ማረጋገጥ

ለዶኤች ቁጥጥር ምርጡ መፍትሄ እንደመሆናችን መጠን HTTPS ትራፊክን ለመበተን እና የ DoH ትራፊክን ለማገድ NGFW ን ማዋቀር እንመክራለን (የመተግበሪያ ስም፡ dns-over-https)። 

በመጀመሪያ NGFW ኤችቲቲፒኤስን ዲክሪፕት ለማድረግ መዋቀሩን ያረጋግጡ ለምርጥ ዲክሪፕት ቴክኒኮች መመሪያ.

ሁለተኛ፣ ከታች እንደሚታየው ለመተግበሪያ ትራፊክ "dns-over-https" ህግ ይፍጠሩ፡

DNS-over-TLS (DoT) እና DNS-over-HTTPS (DoH) የመጠቀም ስጋቶችን መቀነስየፓሎ አልቶ አውታረ መረቦች ዲ ኤን ኤስ ከኤችቲቲፒኤስ በላይ ለማገድ የ NGFW ደንብ

እንደ ጊዜያዊ አማራጭ (ድርጅትዎ የኤችቲቲፒኤስ ዲክሪፕት ሙሉ በሙሉ ተግባራዊ ካላደረገ) NGFW በ"dns-over-https" የመተግበሪያ መታወቂያ ላይ "የመካድ" እርምጃን ተግባራዊ ለማድረግ ሊዋቀር ይችላል፣ነገር ግን ውጤቱ የተወሰኑ በደንብ በማገድ ላይ ብቻ የተገደበ ይሆናል። የሚታወቁ የዶኤች አገልጋዮች በጎራ ስማቸው፣ ስለዚህ ያለ HTTPS ዲክሪፕት እንዴት የዶኤች ትራፊክ ሙሉ በሙሉ አይመረመርም (ተመልከት)  Applipedia ከፓሎ አልቶ አውታረ መረቦች   እና "dns-over-https" ን ይፈልጉ።

ዲኤንኤስ በTLS (DoT)

DNS-over-TLS (DoT) እና DNS-over-HTTPS (DoH) የመጠቀም ስጋቶችን መቀነስዲ ኤን ኤስ በ TLS ውስጥ

የዶኤች ፕሮቶኮል ከተመሳሳዩ ወደብ ላይ ካሉ ሌሎች ትራፊክ ጋር የመቀላቀል አዝማሚያ ቢኖረውም፣ ዶቲ በምትኩ ነባሪው ለዚያ ብቸኛ ዓላማ የተለየውን ወደብ ለመጠቀም፣ በተለይም ተመሳሳይ ወደብ በባህላዊ ያልተመሰጠረ የዲ ኤን ኤስ ትራፊክ እንዳይጠቀም ይከለክላል ( RFC 7858, ክፍል 3.1 ).

የDoT ​​ፕሮቶኮል መደበኛውን የዲ ኤን ኤስ ፕሮቶኮል መጠይቆችን የሚሸፍን ምስጠራን ለማቅረብ TLS ይጠቀማል፣ ታዋቂውን ወደብ 853 (በመጠቀም ትራፊክ) RFC 7858 ክፍል 6 ). የዶቲ ፕሮቶኮል የተነደፈው ድርጅቶች በወደብ ላይ ያለውን ትራፊክ ለመዝጋት፣ ወይም ትራፊክ ለመቀበል ቀላል ለማድረግ ነው ነገር ግን በዚያ ወደብ ላይ ዲክሪፕት ማድረግን ለማስቻል ነው።

ከዶቲ ጋር የተያያዙ አደጋዎች

ጎግል ዶቲን በደንበኛው ውስጥ ተግባራዊ አድርጓል አንድሮይድ 9 ፓይ እና በኋላ , የሚገኝ ከሆነ DoT ን በራስ ሰር ለመጠቀም ከነባሪ ቅንብር ጋር። ጉዳቱን ከገመገሙ እና ዶቲን በድርጅታዊ ደረጃ ለመጠቀም ዝግጁ ከሆኑ የኔትወርክ አስተዳዳሪዎች ለዚህ አዲስ ፕሮቶኮል በፔሪሜትር ወደብ 853 ወደ ውጭ የሚወጣ ትራፊክ በግልፅ እንዲፈቅዱ ማድረግ አለቦት።

የዶቲ ትራፊክ ታይነትን እና ቁጥጥርን ማረጋገጥ

ለዶቲ ቁጥጥር ምርጥ ልምምድ እንደመሆናችን መጠን በድርጅትዎ መስፈርቶች መሰረት ከላይ ከተጠቀሱት ማናቸውንም እንመክራለን፡

  • ሁሉንም ትራፊክ ለመዳረሻ ወደብ 853 ዲክሪፕት ለማድረግ NGFWን ያዋቅሩ። ትራፊክን በመፍታት DoT እንደ ዲ ኤን ኤስ መተግበሪያ ሆኖ ይታያል ይህም ማንኛውንም ተግባር መተግበር ይችላሉ፣ ለምሳሌ ምዝገባን ማንቃት። የፓሎ አልቶ አውታረ መረቦች ዲ ኤን ኤስ ደህንነት የዲጂኤ ጎራዎችን ወይም ነባሩን ለመቆጣጠር የዲ ኤን ኤስ መስመጥ እና ጸረ-ስፓይዌር.

  • ሌላው አማራጭ የApp-ID ሞተር በፖርት 853 ላይ ያለውን የ'dns-over-tls' ትራፊክ ሙሉ በሙሉ እንዲዘጋ ማድረግ ነው።ይህ በነባሪነት ብዙ ጊዜ ታግዷል፣ ምንም እርምጃ አያስፈልግም (በተለይ የ'dns-over-tls' መተግበሪያን ወይም የወደብ ትራፊክን ካልፈቀዱ በስተቀር) 853)።

ምንጭ: hab.com

አስተያየት ያክሉ