DoH və DoT istifadə risklərinin minimuma endirilməsi
DoH və DoT qorunması
DNS trafikinizə nəzarət edirsiniz? Təşkilatlar öz şəbəkələrini qorumaq üçün çox vaxt, pul və səy sərf edirlər. Bununla belə, tez-tez kifayət qədər diqqət çəkməyən bir sahə DNS-dir.
DNS-in gətirdiyi risklərə yaxşı bir baxışdır Infosecurity konfransında.
Sorğuda iştirak edən ransomware siniflərinin 31%-i açar mübadiləsi üçün DNS-dən istifadə edib.Tədqiqatın nəticələri
Sorğuda iştirak edən ransomware siniflərinin 31%-i açar mübadiləsi üçün DNS-dən istifadə edir.
Problem ciddidir. Palo Alto Networks Unit 42 tədqiqat laboratoriyasına görə, zərərli proqramların təqribən 85%-i əmr və idarəetmə kanalı yaratmaq üçün DNS-dən istifadə edir ki, bu da təcavüzkarların şəbəkənizə asanlıqla zərərli proqram yeritməsinə, eləcə də məlumatları oğurlamasına imkan verir. Yarandığı gündən bəri DNS trafiki əsasən şifrələnməmişdir və NGFW təhlükəsizlik mexanizmləri ilə asanlıqla təhlil edilə bilər.
DNS bağlantılarının məxfiliyini artırmağa yönəlmiş yeni DNS protokolları ortaya çıxdı. Onlar aparıcı brauzer satıcıları və digər proqram təminatçıları tərəfindən fəal şəkildə dəstəklənir. Şifrələnmiş DNS trafiki tezliklə korporativ şəbəkələrdə artmağa başlayacaq. Alətlər tərəfindən düzgün təhlil edilməyən və həll edilməyən şifrəli DNS trafiki şirkət üçün təhlükəsizlik riski yaradır. Məsələn, belə bir təhlükə şifrələmə açarlarının mübadiləsi üçün DNS-dən istifadə edən kriptolokerlərdir. Təcavüzkarlar indi məlumatlarınıza girişi bərpa etmək üçün bir neçə milyon dollar pul tələb edirlər. Məsələn, Garmin 10 milyon dollar ödəyib.
Düzgün konfiqurasiya edildikdə, NGFW-lər DNS-over-TLS (DoT) istifadəsini inkar edə və ya qoruya bilər və şəbəkənizdəki bütün DNS trafikini təhlil etməyə imkan verən DNS-over-HTTPS (DoH) istifadəsini rədd etmək üçün istifadə edilə bilər.
Şifrələnmiş DNS nədir?
DNS nədir
Domen Adı Sistemi (DNS) insan tərəfindən oxuna bilən domen adlarını həll edir (məsələn, ünvan ) IP ünvanlarına (məsələn, 34.107.151.202). İstifadəçi veb-brauzerə domen adını daxil etdikdə, brauzer DNS serverinə DNS sorğusu göndərir və həmin domen adı ilə əlaqəli IP ünvanını soruşur. Cavab olaraq, DNS server bu brauzerin istifadə edəcəyi IP ünvanını qaytarır.
DNS sorğuları və cavabları şəbəkə üzrə düz mətnlə, şifrələnməmiş şəkildə göndərilir ki, bu da onu casusluğa və ya cavabı dəyişdirməyə və brauzeri zərərli serverlərə yönləndirməyə həssas edir. DNS şifrələməsi ötürülmə zamanı DNS sorğularının izlənilməsini və ya dəyişdirilməsini çətinləşdirir. DNS sorğularının və cavablarının şifrələnməsi ənənəvi açıq mətn DNS (Domain Name System) protokolu ilə eyni funksiyanı yerinə yetirərkən sizi Ortadakı Adam hücumlarından qoruyur.
Son bir neçə il ərzində iki DNS şifrələmə protokolu təqdim edilmişdir:
-
DNS-over-HTTPS (DoH)
-
TLS üzərindən DNS (DoT)
Bu protokolların bir ortaq cəhəti var: onlar DNS sorğularını hər hansı müdaxilədən... və həmçinin təşkilatın mühafizəçilərindən bilərəkdən gizlədirlər. Protokollar adətən DNS trafiki üçün istifadə edilməyən port üzərindən sorğular edən müştəri ilə DNS sorğularını həll edən server arasında şifrələnmiş əlaqə yaratmaq üçün ilk növbədə TLS (Nəqliyyat Layeri Təhlükəsizliyi) istifadə edir.
DNS sorğularının məxfiliyi bu protokolların böyük üstünlüyüdür. Bununla belə, onlar şəbəkə trafikinə nəzarət etməli və zərərli əlaqələri aşkar edib bloklamalı olan təhlükəsizlik işçiləri üçün problemlər yaradır. Protokollar icrasına görə fərqləndiyinə görə, analiz üsulları DoH və DoT arasında fərqlənəcək.
HTTPS üzərindən DNS (DoH)
HTTPS daxilində DNS
DoH HTTPS üçün tanınmış port 443-dən istifadə edir, bunun üçün RFC xüsusi olaraq bildirir ki, məqsəd "eyni bağlantıda DoH trafikini digər HTTPS trafiki ilə qarışdırmaq", "DNS trafikini təhlil etməyi çətinləşdirmək" və bununla da korporativ nəzarətdən yayınmaqdır. ( ). DoH protokolu TLS şifrələməsindən və ümumi HTTPS və HTTP/2 standartları tərəfindən təmin edilən sorğu sintaksisindən istifadə edir, standart HTTP sorğularının üzərinə DNS sorğuları və cavabları əlavə edir.
DoH ilə əlaqəli risklər
Əgər siz müntəzəm HTTPS trafikini DoH sorğularından fərqləndirə bilmirsinizsə, o zaman təşkilatınız daxilindəki proqramlar sorğuları DoH sorğularına cavab verən üçüncü tərəf serverlərinə yönləndirmək yolu ilə yerli DNS parametrlərindən yan keçə bilər (və edəcək) ki, bu da istənilən monitorinqi aşan, yəni, DNS trafikinə nəzarət edin. İdeal olaraq, HTTPS deşifrə funksiyalarından istifadə edərək DoH-a nəzarət etməlisiniz.
И brauzerlərinin ən son versiyasında və hər iki şirkət bütün DNS sorğuları üçün standart olaraq DoH istifadə etməyə çalışır. DoH-in əməliyyat sistemlərinə inteqrasiyası haqqında. İşin mənfi tərəfi odur ki, təkcə nüfuzlu proqram təminat şirkətləri deyil, həm də təcavüzkarlar DoH-dan ənənəvi korporativ firewall tədbirlərindən yan keçmək vasitəsi kimi istifadə etməyə başlayıblar. (Məsələn, aşağıdakı məqalələri nəzərdən keçirin: , и .) İstənilən halda, həm yaxşı, həm də zərərli DoH trafiki aşkar edilməyəcək və təşkilat zərərli proqrama (C2) nəzarət etmək və həssas məlumatları oğurlamaq üçün DoH-dan zərərli istifadəyə qarşı kor olacaq.
DoH trafikinin görünməsinin və nəzarətinin təmin edilməsi
DoH nəzarəti üçün ən yaxşı həll yolu olaraq, HTTPS trafikinin şifrəsini açmaq və DoH trafikini bloklamaq üçün NGFW-ni konfiqurasiya etməyi tövsiyə edirik (tətbiq adı: dns-over-https).
Əvvəlcə NGFW-nin HTTPS-in şifrəsini açmaq üçün konfiqurasiya edildiyinə əmin olun .
İkincisi, aşağıda göstərildiyi kimi "dns-over-https" tətbiq trafiki üçün bir qayda yaradın:
Palo Alto Şəbəkələrinin NGFW Qaydası HTTPS üzərindən DNS-i bloklayır
Müvəqqəti alternativ olaraq (əgər təşkilatınız HTTPS şifrəsinin açılmasını tam həyata keçirməyibsə), NGFW "https üzərindən dns" tətbiq identifikatoruna "inkar et" əməliyyatını tətbiq etmək üçün konfiqurasiya oluna bilər, lakin effekt müəyyən yaxşıların bloklanması ilə məhdudlaşacaq. DoH serverləri öz domen adlarına görə məlumdur, buna görə də HTTPS şifrəsi olmadan DoH trafiki tam yoxlanıla bilməz (bax. və "dns-over-https" üçün axtarış edin).
TLS üzərindən DNS (DoT)
TLS daxilində DNS
DoH protokolu eyni portdakı digər trafiklə qarışmağa meylli olsa da, DoT əvəzində defolt olaraq yalnız bu məqsəd üçün ayrılmış xüsusi portdan istifadə edir, hətta eyni portun ənənəvi şifrələnməmiş DNS trafiki tərəfindən istifadə edilməsinə xüsusi icazə vermir ( ).
DoT protokolu, məşhur 853 portundan istifadə edən trafiklə standart DNS protokol sorğularını əhatə edən şifrələməni təmin etmək üçün TLS-dən istifadə edir. ). DoT protokolu təşkilatların limanda trafiki bloklamasını və ya trafiki qəbul etmələrini asanlaşdırmaq, lakin həmin portda şifrənin açılmasını təmin etmək üçün nəzərdə tutulmuşdur.
DoT ilə əlaqəli risklər
Google öz müştərisində DoT tətbiq etdi , varsa, avtomatik olaraq DoT istifadə etmək üçün standart parametrlə. Əgər riskləri qiymətləndirmisinizsə və təşkilati səviyyədə DoT-dən istifadə etməyə hazırsınızsa, o zaman şəbəkə administratorlarına bu yeni protokol üçün öz perimetrləri vasitəsilə 853-cü portda gedən trafikə açıq şəkildə icazə verməlisiniz.
DoT trafikinin görünməsinin və nəzarətinin təmin edilməsi
DoT nəzarəti üçün ən yaxşı təcrübə olaraq, təşkilatınızın tələblərinə əsasən yuxarıda göstərilənlərdən hər hansı birini tövsiyə edirik:
-
NGFW-ni təyinat portu 853 üçün bütün trafikin şifrəsini açmaq üçün konfiqurasiya edin. Trafikin şifrəsini açmaqla DoT abunəni aktivləşdirmək kimi istənilən əməliyyatı tətbiq edə biləcəyiniz DNS proqramı kimi görünəcək. DGA domenlərinə və ya mövcud birinə nəzarət etmək və anti-casus proqram.
-
Alternativ, App-ID mühərrikinin 853-cü portda "dns-over-tls" trafikini tamamilə bloklamasıdır. Bu, adətən defolt olaraq bloklanır, heç bir tədbir tələb olunmur (xüsusən "dns-over-tls" tətbiqinə və ya port trafikinə icazə verməyincə 853).
Mənbə: www.habr.com