🥇 DNS-ওভার-TLS (DoT) এবং DNS-ওভার-HTTPS (DoH) ব্যবহারের ঝুঁকি কমানো

DoH এবং DoT ব্যবহার করার ঝুঁকি কমানো

DoH এবং DoT সুরক্ষা

আপনি কি আপনার DNS ট্রাফিক নিয়ন্ত্রণ করেন? সংস্থাগুলি তাদের নেটওয়ার্কগুলি সুরক্ষিত করার জন্য প্রচুর সময়, অর্থ এবং প্রচেষ্টা বিনিয়োগ করে। যাইহোক, একটি এলাকা যা প্রায়ই যথেষ্ট মনোযোগ পায় না তা হল DNS।

DNS যে ঝুঁকি নিয়ে আসে তার একটি ভাল ওভারভিউ Verisign উপস্থাপনা ইনফোসিকিউরিটি কনফারেন্সে।

সমীক্ষা করা 31% র্যানসমওয়্যার ক্লাস কী বিনিময়ের জন্য DNS ব্যবহার করেছে। অধ্যয়নের ফলাফল

সমীক্ষা করা 31% র্যানসমওয়্যার ক্লাস কী বিনিময়ের জন্য DNS ব্যবহার করেছে।

সমস্যাটি গুরুতর। পালো অল্টো নেটওয়ার্ক ইউনিট 42 গবেষণা ল্যাব অনুসারে, প্রায় 85% ম্যালওয়্যার একটি কমান্ড এবং নিয়ন্ত্রণ চ্যানেল স্থাপন করতে DNS ব্যবহার করে, আক্রমণকারীদের সহজেই আপনার নেটওয়ার্কে ম্যালওয়্যার ইনজেক্ট করার পাশাপাশি ডেটা চুরি করার অনুমতি দেয়। এর সূচনা থেকে, DNS ট্র্যাফিক মূলত এনক্রিপ্ট করা হয়নি এবং NGFW নিরাপত্তা ব্যবস্থা দ্বারা সহজেই বিশ্লেষণ করা যেতে পারে।

DNS সংযোগের গোপনীয়তা বাড়ানোর লক্ষ্যে DNS-এর জন্য নতুন প্রোটোকল আবির্ভূত হয়েছে। তারা সক্রিয়ভাবে শীর্ষস্থানীয় ব্রাউজার বিক্রেতা এবং অন্যান্য সফ্টওয়্যার বিক্রেতাদের দ্বারা সমর্থিত। এনক্রিপ্ট করা DNS ট্র্যাফিক শীঘ্রই কর্পোরেট নেটওয়ার্কগুলিতে বাড়তে শুরু করবে৷ এনক্রিপ্ট করা DNS ট্র্যাফিক যা সঠিকভাবে বিশ্লেষণ এবং সরঞ্জাম দ্বারা সমাধান করা হয় না একটি কোম্পানির জন্য একটি নিরাপত্তা ঝুঁকি তৈরি করে। উদাহরণস্বরূপ, এই ধরনের হুমকি হল ক্রিপ্টোলকার যা এনক্রিপশন কীগুলি বিনিময় করতে DNS ব্যবহার করে। আক্রমণকারীরা এখন আপনার ডেটাতে অ্যাক্সেস পুনরুদ্ধার করতে কয়েক মিলিয়ন ডলার মুক্তিপণ দাবি করছে। গারমিন, উদাহরণস্বরূপ, $10 মিলিয়ন প্রদান করেছে।

সঠিকভাবে কনফিগার করা হলে, NGFWs DNS-over-TLS (DoT) এর ব্যবহার অস্বীকার বা রক্ষা করতে পারে এবং DNS-over-HTTPS (DoH) এর ব্যবহার অস্বীকার করতে ব্যবহার করা যেতে পারে, আপনার নেটওয়ার্কের সমস্ত DNS ট্র্যাফিক বিশ্লেষণ করার অনুমতি দেয়।

এনক্রিপ্ট করা DNS কি?

DNS কি

ডোমেন নেম সিস্টেম (DNS) মানুষের-পাঠযোগ্য ডোমেন নামগুলি সমাধান করে (উদাহরণস্বরূপ, ঠিকানা www.paloaltonetworks.com ) থেকে IP ঠিকানা (উদাহরণস্বরূপ, 34.107.151.202)। যখন একজন ব্যবহারকারী একটি ওয়েব ব্রাউজারে একটি ডোমেন নাম প্রবেশ করে, তখন ব্রাউজারটি DNS সার্ভারে একটি DNS ক্যোয়ারী পাঠায়, সেই ডোমেন নামের সাথে সম্পর্কিত IP ঠিকানা জিজ্ঞাসা করে। প্রতিক্রিয়া হিসাবে, DNS সার্ভারটি আইপি ঠিকানা প্রদান করে যা এই ব্রাউজারটি ব্যবহার করবে।

DNS ক্যোয়ারী এবং প্রতিক্রিয়া পুরো নেটওয়ার্ক জুড়ে প্লেইন টেক্সটে পাঠানো হয়, এনক্রিপ্ট করা হয় না, এটি গুপ্তচরবৃত্তি বা প্রতিক্রিয়া পরিবর্তন করতে এবং ব্রাউজারটিকে দূষিত সার্ভারে পুনঃনির্দেশিত করে। DNS এনক্রিপশন ট্রান্সমিশনের সময় DNS অনুরোধগুলিকে ট্র্যাক করা বা পরিবর্তন করা কঠিন করে তোলে। প্রথাগত প্লেইনটেক্সট DNS (ডোমেন নেম সিস্টেম) প্রোটোকলের মতো একই কার্যকারিতা সম্পাদন করার সময় DNS অনুরোধ এবং প্রতিক্রিয়া এনক্রিপ্ট করা আপনাকে ম্যান-ইন-দ্য-মিডল আক্রমণ থেকে রক্ষা করে।

গত কয়েক বছরে, দুটি DNS এনক্রিপশন প্রোটোকল চালু করা হয়েছে:

DNS-ওভার-HTTPS (DoH)
DNS-ওভার-TLS (DoT)

এই প্রোটোকলগুলির মধ্যে একটি জিনিস মিল রয়েছে: তারা ইচ্ছাকৃতভাবে যে কোনও বাধা থেকে DNS অনুরোধগুলিকে লুকিয়ে রাখে... এবং সেইসাথে সংস্থার নিরাপত্তারক্ষীদের কাছ থেকেও। প্রোটোকলগুলি প্রাথমিকভাবে TLS (ট্রান্সপোর্ট লেয়ার সিকিউরিটি) ব্যবহার করে একটি ক্লায়েন্ট মেকিং কোয়েরি এবং একটি সার্ভারের মধ্যে একটি এনক্রিপ্টেড সংযোগ স্থাপন করতে যা সাধারণত DNS ট্র্যাফিকের জন্য ব্যবহৃত হয় না এমন একটি পোর্টের উপর DNS প্রশ্নের সমাধান করে।

ডিএনএস প্রশ্নের গোপনীয়তা এই প্রোটোকলগুলির একটি বড় প্লাস। যাইহোক, তারা নিরাপত্তারক্ষীদের জন্য সমস্যা তৈরি করে যাদের অবশ্যই নেটওয়ার্ক ট্র্যাফিক নিরীক্ষণ করতে হবে এবং দূষিত সংযোগগুলি সনাক্ত ও ব্লক করতে হবে। যেহেতু প্রোটোকলগুলি তাদের বাস্তবায়নে ভিন্ন, বিশ্লেষণের পদ্ধতিগুলি DoH এবং DoT-এর মধ্যে আলাদা হবে।

HTTPS (DoH) এর উপর DNS

HTTPS-এর ভিতরে DNS

DoH HTTPS-এর জন্য সুপরিচিত পোর্ট 443 ব্যবহার করে, যার জন্য RFC বিশেষভাবে বলে যে "একই সংযোগে অন্যান্য HTTPS ট্র্যাফিকের সাথে DoH ট্র্যাফিক মিশ্রিত করা", "DNS ট্র্যাফিক বিশ্লেষণ করা কঠিন করা" এবং এইভাবে কর্পোরেট নিয়ন্ত্রণগুলিকে ফাঁকি দেওয়া। ( RFC 8484 DoH বিভাগ 8.1 ) DoH প্রোটোকল TLS এনক্রিপশন এবং সাধারণ HTTPS এবং HTTP/2 মান দ্বারা প্রদত্ত অনুরোধ সিনট্যাক্স ব্যবহার করে, স্ট্যান্ডার্ড HTTP অনুরোধের উপরে DNS অনুরোধ এবং প্রতিক্রিয়া যোগ করে।

DoH এর সাথে সম্পর্কিত ঝুঁকি

আপনি যদি DoH অনুরোধগুলি থেকে নিয়মিত HTTPS ট্র্যাফিককে আলাদা করতে না পারেন, তাহলে আপনার প্রতিষ্ঠানের অ্যাপ্লিকেশনগুলি স্থানীয় DNS সেটিংসকে বাইপাস করতে পারে (এবং করবে) DoH অনুরোধে সাড়া দেওয়া তৃতীয় পক্ষের সার্ভারগুলিতে অনুরোধগুলি পুনঃনির্দেশ করে, যা কোনও পর্যবেক্ষণকে বাইপাস করে, অর্থাৎ, করার ক্ষমতা নষ্ট করে DNS ট্রাফিক নিয়ন্ত্রণ করুন। আদর্শভাবে, আপনাকে HTTPS ডিক্রিপশন ফাংশন ব্যবহার করে DoH নিয়ন্ত্রণ করা উচিত।

И Google এবং Mozilla DoH ক্ষমতা প্রয়োগ করেছে তাদের ব্রাউজারগুলির সর্বশেষ সংস্করণে, এবং উভয় সংস্থাই সমস্ত DNS অনুরোধের জন্য ডিফল্টরূপে DoH ব্যবহার করার জন্য কাজ করছে৷ মাইক্রোসফ্টও পরিকল্পনা তৈরি করছে তাদের অপারেটিং সিস্টেমে DoH একীভূত করার বিষয়ে। নেতিবাচক দিক হল যে শুধুমাত্র স্বনামধন্য সফ্টওয়্যার সংস্থাগুলিই নয়, আক্রমণকারীরাও ঐতিহ্যগত কর্পোরেট ফায়ারওয়াল ব্যবস্থাগুলিকে বাইপাস করার উপায় হিসাবে DoH ব্যবহার করতে শুরু করেছে৷ (উদাহরণস্বরূপ, নিম্নলিখিত নিবন্ধগুলি পর্যালোচনা করুন: PsiXBot এখন Google DoH ব্যবহার করে , PsiXBot আপডেট হওয়া DNS পরিকাঠামোর সাথে বিকশিত হতে থাকে и Godlua পিছনের দরজা বিশ্লেষণ .) উভয় ক্ষেত্রেই, ভাল এবং দূষিত উভয় DoH ট্র্যাফিক সনাক্ত করা যাবে না, যা ম্যালওয়্যার (C2) নিয়ন্ত্রণ করতে এবং সংবেদনশীল ডেটা চুরি করার জন্য একটি নালী হিসাবে DoH এর ক্ষতিকারক ব্যবহারে অন্ধ হয়ে যাবে।

DoH ট্রাফিকের দৃশ্যমানতা এবং নিয়ন্ত্রণ নিশ্চিত করা

DoH নিয়ন্ত্রণের জন্য সর্বোত্তম সমাধান হিসাবে, আমরা HTTPS ট্র্যাফিক ডিক্রিপ্ট করতে এবং DoH ট্র্যাফিক ব্লক করতে NGFW কনফিগার করার পরামর্শ দিই (অ্যাপ্লিকেশনের নাম: dns-over-https)।

প্রথমে, নিশ্চিত করুন যে এনজিএফডব্লিউ HTTPS ডিক্রিপ্ট করার জন্য কনফিগার করা হয়েছে, অনুযায়ী সেরা ডিক্রিপশন কৌশলগুলির জন্য একটি নির্দেশিকা.

দ্বিতীয়ত, অ্যাপ্লিকেশন ট্র্যাফিকের জন্য একটি নিয়ম তৈরি করুন "dns-over-https" নীচে দেখানো হিসাবে:

DNS-ওভার-HTTPS ব্লক করার জন্য Palo Alto Networks NGFW নিয়ম

একটি অন্তর্বর্তী বিকল্প হিসাবে (যদি আপনার সংস্থা সম্পূর্ণরূপে HTTPS ডিক্রিপশন প্রয়োগ না করে থাকে), NGFW-কে "dns-over-https" অ্যাপ্লিকেশন আইডিতে একটি "অস্বীকার করুন" অ্যাকশন প্রয়োগ করার জন্য কনফিগার করা যেতে পারে, তবে প্রভাবটি নির্দিষ্ট কিছু ভালভাবে ব্লক করার মধ্যে সীমাবদ্ধ থাকবে- তাদের ডোমেন নামের দ্বারা পরিচিত DoH সার্ভার, তাই কিভাবে HTTPS ডিক্রিপশন ছাড়া, DoH ট্র্যাফিক সম্পূর্ণরূপে পরিদর্শন করা যাবে না (দেখুন পালো অল্টো নেটওয়ার্কস থেকে অ্যাপ্লিপিডিয়া এবং "dns-over-https" অনুসন্ধান করুন)।

DNS ওভার TLS (DoT)

TLS এর ভিতরে DNS

যদিও DoH প্রোটোকল একই পোর্টে অন্যান্য ট্র্যাফিকের সাথে মিশে যায়, DoT পরিবর্তে সেই একমাত্র উদ্দেশ্যের জন্য সংরক্ষিত একটি বিশেষ পোর্ট ব্যবহার করতে ডিফল্ট করে, এমনকি বিশেষভাবে একই পোর্টকে প্রথাগত আনএনক্রিপ্ট করা DNS ট্র্যাফিক দ্বারা ব্যবহার করার অনুমতি দেয় না ( RFC 7858, বিভাগ 3.1 ).

DoT প্রোটোকল এনক্রিপশন প্রদানের জন্য TLS ব্যবহার করে যা সুপরিচিত পোর্ট 853 ( RFC 7858 সেকশন 6 ) DoT প্রোটোকলটি এমনভাবে ডিজাইন করা হয়েছে যাতে সংস্থাগুলিকে একটি বন্দরে ট্র্যাফিক ব্লক করা সহজ করে, বা ট্র্যাফিক গ্রহণ করে তবে সেই পোর্টে ডিক্রিপশন সক্ষম করে।

DoT এর সাথে সম্পর্কিত ঝুঁকি

গুগল তার ক্লায়েন্টে DoT প্রয়োগ করেছে Android 9 Pie এবং পরবর্তী , স্বয়ংক্রিয়ভাবে DoT ব্যবহার করার জন্য ডিফল্ট সেটিং সহ যদি উপলব্ধ থাকে। আপনি যদি ঝুঁকিগুলি মূল্যায়ন করে থাকেন এবং সাংগঠনিক স্তরে DoT ব্যবহার করতে প্রস্তুত হন, তাহলে আপনাকে নেটওয়ার্ক প্রশাসকদের এই নতুন প্রোটোকলের জন্য তাদের পরিধির মাধ্যমে পোর্ট 853-এ স্পষ্টভাবে আউটবাউন্ড ট্র্যাফিকের অনুমতি দিতে হবে।

DoT ট্রাফিকের দৃশ্যমানতা এবং নিয়ন্ত্রণ নিশ্চিত করা

DoT নিয়ন্ত্রণের জন্য একটি সর্বোত্তম অনুশীলন হিসাবে, আমরা আপনার সংস্থার প্রয়োজনীয়তার উপর ভিত্তি করে উপরের যেকোনটি সুপারিশ করি:

গন্তব্য পোর্ট 853-এর জন্য সমস্ত ট্র্যাফিক ডিক্রিপ্ট করতে NGFW কনফিগার করুন। ট্র্যাফিক ডিক্রিপ্ট করার মাধ্যমে, DoT একটি DNS অ্যাপ্লিকেশন হিসাবে উপস্থিত হবে যেখানে আপনি সাবস্ক্রিপশন সক্ষম করার মতো যেকোনো পদক্ষেপ প্রয়োগ করতে পারেন পালো অল্টো নেটওয়ার্ক ডিএনএস সিকিউরিটি ডিজিএ ডোমেইন বা বিদ্যমান একটি নিয়ন্ত্রণ করতে ডিএনএস সিনখোলিং এবং অ্যান্টি-স্পাইওয়্যার।
একটি বিকল্প হল অ্যাপ-আইডি ইঞ্জিনটি পোর্ট 853-এ 'dns-over-tls' ট্র্যাফিককে সম্পূর্ণরূপে অবরুদ্ধ করা। এটি সাধারণত ডিফল্টরূপে অবরুদ্ধ থাকে, কোনও পদক্ষেপের প্রয়োজন হয় না (যদি না আপনি 'dns-over-tls' অ্যাপ্লিকেশন বা পোর্ট ট্র্যাফিককে বিশেষভাবে অনুমতি দেন) 853)।

উত্স: www.habr.com

ডিএনএস-ওভার-টিএলএস (ডিওটি) এবং ডিএনএস-ওভার-এইচটিটিপিএস (ডিওএইচ) ব্যবহারের ঝুঁকি হ্রাস করা