Minimiziranje rizika upotrebe DoH i DoT
DoH i DoT zaštita
Da li kontrolišete svoj DNS saobraćaj? Organizacije ulažu mnogo vremena, novca i truda u osiguranje svojih mreža. Međutim, jedno područje koje često ne dobija dovoljno pažnje je DNS.
Dobar pregled rizika koje nosi DNS je na konferenciji Infosecurity.
31% ispitanih klasa ransomwarea koristilo je DNS za razmjenu ključeva. Nalazi studije
31% ispitanih klasa ransomwarea koristilo je DNS za razmjenu ključeva.
Problem je ozbiljan. Prema istraživačkoj laboratoriji Palo Alto Networks Unit 42, otprilike 85% zlonamjernog softvera koristi DNS za uspostavljanje komandnog i kontrolnog kanala, omogućavajući napadačima da lako ubace zlonamjerni softver u vašu mrežu, kao i da ukradu podatke. Od svog početka, DNS saobraćaj je uglavnom bio nešifrovan i može se lako analizirati NGFW sigurnosnim mehanizmima.
Pojavili su se novi protokoli za DNS koji imaju za cilj povećanje povjerljivosti DNS veza. Aktivno ih podržavaju vodeći proizvođači pretraživača i drugi proizvođači softvera. Šifrovani DNS saobraćaj će uskoro početi da raste u korporativnim mrežama. Šifrirani DNS promet koji nije pravilno analiziran i riješen alatima predstavlja sigurnosni rizik za kompaniju. Na primjer, takva prijetnja su kriptolokatori koji koriste DNS za razmjenu ključeva za šifriranje. Napadači sada traže otkupninu od nekoliko miliona dolara kako bi povratili pristup vašim podacima. Garmin je, na primjer, platio 10 miliona dolara.
Kada su pravilno konfigurisani, NGFW-ovi mogu odbiti ili zaštititi upotrebu DNS-over-TLS (DoT) i mogu se koristiti za uskraćivanje upotrebe DNS-over-HTTPS (DoH), omogućavajući da se analizira sav DNS promet na vašoj mreži.
Šta je šifrovani DNS?
Šta je DNS
Sistem imena domena (DNS) rješava imena domena čitljive osobe (na primjer, adresu ) na IP adrese (na primjer, 34.107.151.202). Kada korisnik unese ime domene u web pretraživač, pretraživač šalje DNS upit DNS serveru, tražeći IP adresu povezanu sa tim imenom domene. Kao odgovor, DNS server vraća IP adresu koju će ovaj pretraživač koristiti.
DNS upiti i odgovori šalju se širom mreže u običnom tekstu, nešifriranom, što ga čini ranjivim na špijuniranje ili promjenu odgovora i preusmjeravanje pretraživača na zlonamjerne servere. DNS enkripcija otežava praćenje ili promjenu DNS zahtjeva tokom prijenosa. Šifriranje DNS zahtjeva i odgovora štiti vas od napada Man-in-the-Middle, dok istovremeno obavlja istu funkcionalnost kao tradicionalni DNS (sistem imena domena) protokola.
U proteklih nekoliko godina uvedena su dva DNS protokola za šifriranje:
-
DNS-over-HTTPS (DoH)
-
DNS-over-TLS (DoT)
Ovi protokoli imaju jednu zajedničku stvar: namjerno skrivaju DNS zahtjeve od bilo kakvog presretanja... kao i od zaštitara organizacije. Protokoli prvenstveno koriste TLS (Transport Layer Security) za uspostavljanje šifrovane veze između klijenta koji postavlja upite i servera koji rješava DNS upite preko porta koji se inače ne koristi za DNS promet.
Povjerljivost DNS upita je veliki plus ovih protokola. Međutim, oni predstavljaju probleme za zaštitare koji moraju pratiti mrežni promet i otkrivati i blokirati zlonamjerne veze. Budući da se protokoli razlikuju u implementaciji, metode analize će se razlikovati između DoH i DoT.
DNS preko HTTPS-a (DoH)
DNS unutar HTTPS-a
DoH koristi dobro poznati port 443 za HTTPS, za koji RFC izričito navodi da je namjera "pomiješati DoH promet s drugim HTTPS prometom na istoj vezi", "otežati analizu DNS prometa" i tako zaobići korporativne kontrole ( ). DoH protokol koristi TLS enkripciju i sintaksu zahtjeva koju obezbjeđuju uobičajeni HTTPS i HTTP/2 standardi, dodajući DNS zahtjeve i odgovore na standardne HTTP zahtjeve.
Rizici povezani sa DoH
Ako ne možete razlikovati običan HTTPS promet od DoH zahtjeva, tada aplikacije unutar vaše organizacije mogu (i hoće) zaobići lokalne DNS postavke preusmjeravanjem zahtjeva na servere trećih strana koji odgovaraju na DoH zahtjeve, što zaobilazi bilo kakvo praćenje, odnosno uništava mogućnost kontroliše DNS saobraćaj. U idealnom slučaju, trebali biste kontrolirati DoH koristeći HTTPS funkcije dešifriranja.
И u najnovijoj verziji svojih pretraživača, a obje kompanije rade na tome da koriste DoH po defaultu za sve DNS zahtjeve. o integraciji DoH u njihove operativne sisteme. Loša strana je što su ne samo renomirane softverske kompanije, već i napadači počeli da koriste DoH kao sredstvo za zaobilaženje tradicionalnih korporativnih zaštitnih zidova. (Na primjer, pregledajte sljedeće članke: , и .) U oba slučaja, i dobar i zlonamjerni DoH saobraćaj će ostati neotkriven, ostavljajući organizaciju slijepom na zlonamjernu upotrebu DoH-a kao kanala za kontrolu zlonamjernog softvera (C2) i krađu osjetljivih podataka.
Osiguravanje vidljivosti i kontrole DoH saobraćaja
Kao najbolje rješenje za DoH kontrolu, preporučujemo konfiguriranje NGFW-a za dešifriranje HTTPS prometa i blokiranje DoH prometa (naziv aplikacije: dns-over-https).
Prvo, provjerite je li NGFW konfiguriran za dešifriranje HTTPS-a, prema .
Drugo, kreirajte pravilo za promet aplikacije "dns-over-https" kao što je prikazano u nastavku:
Palo Alto Networks NGFW pravilo za blokiranje DNS-over-HTTPS-a
Kao privremena alternativa (ako vaša organizacija nije u potpunosti implementirala HTTPS dešifriranje), NGFW se može konfigurirati da primijeni akciju "odbija" na ID aplikacije "dns-over-https", ali će učinak biti ograničen na blokiranje određenih dobro- poznati DoH serveri po imenu njihove domene, pa kako bez HTTPS dešifriranja, DoH promet se ne može u potpunosti pregledati (vidi i potražite "dns-over-https").
DNS preko TLS-a (DoT)
DNS unutar TLS-a
Dok DoH protokol ima tendenciju da se miješa s drugim prometom na istom portu, DoT umjesto toga podrazumijeva korištenje posebnog porta rezerviranog za tu jedinu svrhu, čak izričito zabranjujući da isti port koristi tradicionalni nešifrirani DNS promet ( ).
DoT protokol koristi TLS za pružanje enkripcije koja inkapsulira standardne upite DNS protokola, sa prometom koji koristi dobro poznati port 853 ( ). DoT protokol je dizajniran da olakša organizacijama da blokiraju promet na portu ili prihvate promet, ali omogući dešifriranje na tom portu.
Rizici povezani sa DoT
Google je implementirao DoT u svom klijentu , sa zadanim postavkama za automatsko korištenje DoT-a ako je dostupno. Ako ste procijenili rizike i spremni ste za korištenje DoT-a na organizacijskom nivou, tada morate imati administratore mreže da eksplicitno dozvole izlazni promet na portu 853 kroz njihov perimetar za ovaj novi protokol.
Osiguravanje vidljivosti i kontrole DoT prometa
Kao najbolju praksu za DoT kontrolu, preporučujemo bilo šta od gore navedenog, na osnovu zahtjeva vaše organizacije:
-
Konfigurirajte NGFW da dešifruje sav promet za odredišni port 853. Dešifriranjem prometa, DoT će se pojaviti kao DNS aplikacija na koju možete primijeniti bilo koju radnju, kao što je omogućavanje pretplate za kontrolu DGA domena ili postojeće i anti-spyware.
-
Alternativa je da App-ID mehanizam potpuno blokira 'dns-over-tls' promet na portu 853. Ovo je obično blokirano prema zadanim postavkama, nije potrebna nikakva radnja (osim ako izričito ne dozvolite 'dns-over-tls' aplikaciju ili promet porta 853).
izvor: www.habr.com