ProHoster > بلوق > إدارة > تقليل مخاطر استخدام DNS-over-TLS (DoT) و DNS-over-HTTPS (DoH)

تقليل مخاطر استخدام DNS-over-TLS (DoT) و DNS-over-HTTPS (DoH)

تقليل مخاطر استخدام DNS-over-TLS (DoT) و DNS-over-HTTPS (DoH)تقليل مخاطر استخدام DoH و DoT

حماية DoH و DoT

هل تتحكم في حركة مرور DNS الخاصة بك؟ تستثمر المنظمات الكثير من الوقت والمال والجهد في تأمين شبكاتها. ومع ذلك ، فإن أحد المجالات التي غالبًا ما يتم تجاهلها هو DNS.

نظرة عامة جيدة على المخاطر التي يجلبها DNS هي عرض Verisign في مؤتمر أمن المعلومات.

تقليل مخاطر استخدام DNS-over-TLS (DoT) و DNS-over-HTTPS (DoH)31٪ من فئات برامج الفدية التي شملها الاستطلاع استخدموا DNS لتبادل المفاتيح

31٪ من فئات برامج الفدية التي شملها الاستطلاع استخدموا DNS لتبادل المفاتيح.

المشكلة خطيرة. وفقًا لـ Palo Alto Networks Unit 42 Research Lab ، يستخدم ما يقرب من 85٪ من البرامج الضارة DNS لإنشاء قناة قيادة وتحكم ، مما يسمح للمهاجمين بالتسلل بسهولة إلى شبكتك وسرقة البيانات. منذ نشأتها ، كانت حركة مرور DNS في الغالب غير مشفرة ويمكن تحليلها بسهولة بواسطة آليات أمان NGFW. 

ظهرت بروتوكولات جديدة لـ DNS لتحسين خصوصية اتصالات DNS. يتم دعمهم بنشاط من قبل بائعي المستعرضات الرائدين وبائعي البرامج الآخرين. ستبدأ حركة مرور DNS المشفرة قريبًا في النمو في شبكات الشركات. تشكل حركة مرور DNS المشفرة التي لم يتم تحليلها بشكل صحيح ولا تسمح بها الأدوات خطرًا أمنيًا على الشركة. على سبيل المثال ، تعتبر خزائن التشفير التي تستخدم DNS لتبادل مفاتيح التشفير بمثابة تهديد. يطالب المهاجمون الآن بفدية تقدر بعدة ملايين من الدولارات لاستعادة الوصول إلى بياناتك. على سبيل المثال ، تم دفع 10 ملايين دولار لشركة Garmin.

عند تكوينه بشكل صحيح ، يمكن لـ NGFW حظر أو تأمين استخدام DNS-over-TLS (DoT) ويمكن استخدامه لحظر استخدام DNS-over-HTTPS (DoH) ، مما يسمح بتحليل كل حركة مرور DNS على شبكتك.

ما هو DNS المشفر؟

ما هو DNS

يقوم نظام اسم المجال (DNS) بترجمة أسماء المجالات التي يمكن للبشر قراءتها (على سبيل المثال ، العنوان www.paloaltonetworks.com ) إلى عناوين IP (مثل 34.107.151.202). عندما يقوم المستخدم بإدخال اسم مجال في مستعرض ويب ، يرسل المستعرض استعلام DNS إلى خادم DNS ، ويطلب عنوان IP المرتبط باسم المجال هذا. استجابةً لذلك ، يقوم خادم DNS بإرجاع عنوان IP الذي سيستخدمه هذا المتصفح.

يتم إرسال طلبات واستجابات DNS عبر الشبكة بنص عادي غير مشفر ، مما يجعلها عرضة للتجسس أو تغيير الاستجابة وإعادة توجيه المتصفح إلى خوادم ضارة. يجعل تشفير DNS من الصعب تتبع طلبات DNS أو تعديلها أثناء النقل. يحميك تشفير طلبات واستجابات DNS من هجوم Man-in-the-Middle أثناء أداء نفس الوظائف مثل بروتوكول DNS التقليدي (نظام اسم المجال). 

على مدار السنوات القليلة الماضية ، تم تنفيذ بروتوكولي تشفير DNS:

  1. DNS over-HTTPS (DoH)

  2. DNS عبر TLS (DoT)

تشترك هذه البروتوكولات في شيء واحد: فهي تخفي عن عمد طلبات DNS من أي اعتراض ... ومن حراس أمن المنظمة أيضًا. تستخدم البروتوكولات بشكل أساسي بروتوكول أمان طبقة النقل (TLS) لإنشاء اتصال مشفر بين العميل الذي يقوم بالاستعلامات والخادم الذي يحل استعلامات DNS عبر منفذ لا يُستخدم عادةً لحركة مرور DNS.

خصوصية استعلام DNS هي إضافة كبيرة لهذه البروتوكولات. ومع ذلك ، فإنها تخلق مشاكل لأفراد الأمن الذين يحتاجون إلى مراقبة حركة مرور الشبكة واكتشاف الاتصالات الضارة وحظرها. نظرًا لاختلاف البروتوكولات في تنفيذها ، ستختلف طرق التحليل بين دائرة الصحة ودائرة النقل.

DNS عبر HTTPS (DoH)

تقليل مخاطر استخدام DNS-over-TLS (DoT) و DNS-over-HTTPS (DoH)DNS داخل HTTPS

تستخدم DoH المنفذ المعروف 443 لـ HTTPS ، والذي ينص RFC على وجه التحديد على أن الهدف هو "خلط حركة مرور DoH مع حركة مرور HTTPS الأخرى على نفس الاتصال" ، و "جعل من الصعب تحليل حركة مرور DNS" ، وبالتالي التحايل على الشركة ضوابط ( RFC 8484 DoH القسم 8.1 ). يستخدم بروتوكول DoH تشفير TLS وبناء جملة الاستعلام المقدم بواسطة معايير HTTPS و HTTP / 2 الشائعة ، مع إضافة استعلامات واستجابات DNS أعلى استعلامات HTTP القياسية.

المخاطر المرتبطة بـ DoH

إذا لم تتمكن من التمييز بين حركة مرور HTTPS العادية وطلبات DoH ، فيمكن للتطبيقات داخل مؤسستك (وسوف) تجاوز إعدادات DNS المحلية عن طريق إعادة توجيه الطلبات إلى خوادم الجهات الخارجية التي تستجيب لطلبات DoH ، مما يتجاوز أي مراقبة ، أي يدمر القدرة للتحكم في حركة مرور DNS. من الناحية المثالية ، يجب عليك التحكم في DoH باستخدام وظائف فك تشفير HTTPS. 

И جوجل وموزيلا تنفذان إمكانيات DoH في أحدث إصدار من المتصفحات ، وتعمل الشركتان على استخدام DoH افتراضيًا لجميع استعلامات DNS. مايكروسوفت أيضا تضع الخطط لدمج DoH في أنظمة التشغيل الخاصة بهم. الجانب السلبي هو أنه ليس فقط شركات البرمجيات ذات السمعة الطيبة ، ولكن أيضًا المهاجمين قد بدأوا في استخدام DoH كوسيلة لتجاوز تدابير جدار الحماية التقليدية للمؤسسات. (على سبيل المثال ، راجع المقالات التالية: يستخدم PsiXBot الآن Google DoH , يستمر PsiXBot في التطور مع البنية التحتية لنظام DNS المحدث и تحليل جودلوا مستتر .) في كلتا الحالتين ، لن يتم ملاحظة حركة المرور الجيدة والسيئة في دائرة الصحة ، مما يترك المؤسسة عمياء عن الاستخدام الضار لـ DoH كقناة للتحكم في البرامج الضارة (C2) وسرقة البيانات الحساسة.

ضمان الرؤية والتحكم في حركة المرور في دائرة الصحة

كأفضل حل للتحكم في DoH ، نوصي بتكوين NGFW لفك تشفير حركة مرور HTTPS وحظر حركة مرور DoH (اسم التطبيق: dns-over-https). 

أولاً ، تأكد من تكوين NGFW لفك تشفير HTTPS ، حسب دليل أفضل الممارسات لفك التشفير.

ثانيًا ، أنشئ قاعدة مرور تطبيق "dns-over-https" كما هو موضح أدناه:

تقليل مخاطر استخدام DNS-over-TLS (DoT) و DNS-over-HTTPS (DoH)حكم Palo Alto Networks NGFW لحظر DNS-over-HTTPS

كبديل وسيط (إذا لم تنفذ مؤسستك فك تشفير HTTPS بالكامل) ، يمكن تكوين NGFW لتطبيق إجراء "رفض" على معرّف تطبيق "dns-over-https" ، لكن التأثير سيقتصر على حظر بعض البئر- خوادم DoH المعروفة باسم المجال الخاص بها ، فكيف بدون فك تشفير HTTPS ، لا يمكن فحص حركة مرور DoH بالكامل (انظر  أبليبيديا بواسطة بالو ألتو نتوركس   وابحث عن "نظام أسماء النطاقات عبر https").

DNS عبر TLS (DoT)

تقليل مخاطر استخدام DNS-over-TLS (DoT) و DNS-over-HTTPS (DoH)DNS داخل TLS

بينما يميل بروتوكول DoH إلى الاختلاط مع حركة المرور الأخرى على نفس المنفذ ، فإن DoT بدلاً من ذلك يتم تعيينه افتراضيًا لاستخدام منفذ خاص محجوز لهذا الغرض الفردي ، حتى أنه لا يسمح على وجه التحديد باستخدام نفس المنفذ لحركة مرور DNS التقليدية غير المشفرة ( RFC 7858 ، القسم 3.1 ).

يستخدم بروتوكول DoT بروتوكول TLS لتوفير التشفير الذي يغلف استعلامات بروتوكول DNS القياسي مع حركة المرور باستخدام المنفذ المعروف 853 ( RFC 7858 القسم 6 ). تم تصميم بروتوكول DoT لتسهيل قيام المؤسسات بحظر حركة المرور على أحد المنافذ ، أو الموافقة على استخدامه ، مع تمكين فك التشفير على هذا المنفذ.

المخاطر المتعلقة بدائرة النقل

نفذت Google DoT في عملائها Android 9 Pie والإصدارات الأحدث ، مع تمكين DoT تلقائيًا بشكل افتراضي ، إذا كان ذلك متاحًا. إذا قمت بتقييم المخاطر وكنت مستعدًا لاستخدام DoT على مستوى المؤسسة ، فأنت بحاجة إلى أن يسمح مسؤولو الشبكة صراحةً لحركة المرور الصادرة بمنفذ 853 عبر محيطهم لهذا البروتوكول الجديد.

ضمان الرؤية والتحكم في حركة مرور دائرة النقل

كأفضل ممارسة للتحكم في دائرة النقل ، نوصي بأي مما سبق ، بناءً على متطلبات مؤسستك:

  • قم بتكوين NGFW لفك تشفير كل حركة المرور الخاصة بمنفذ الوجهة 853. من خلال فك تشفير حركة المرور ، ستظهر DoT كتطبيق DNS يمكنك اتخاذ أي إجراء عليه ، مثل تمكين الاشتراك بالو ألتو نتوركس أمن DNS للتحكم في مجالات DGA أو الموجودة بالفعل غرق DNS ومكافحة برامج التجسس.

  • بدلاً من ذلك ، يمكنك حظر حركة مرور "dns-over-tls" تمامًا على المنفذ 853 باستخدام محرك معرف التطبيق. يتم حظر هذا عادةً افتراضيًا ، ولا يلزم اتخاذ أي إجراء (ما لم تسمح على وجه التحديد بتطبيق أو حركة مرور "dns-over-tls" على المنفذ 853) .XNUMX).

المصدر: www.habr.com

إضافة تعليق