Minimitzar els riscos d'utilitzar DoH i DoT
Protecció DoH i DoT
Controleu el vostre trànsit DNS? Les organitzacions inverteixen molt de temps, diners i esforços per assegurar les seves xarxes. Tanmateix, una àrea que sovint no rep prou atenció és el DNS.
Una bona visió general dels riscos que comporta el DNS és a la conferència d'Infoseguretat.
El 31% de les classes de ransomware enquestades utilitzaven DNS per a l'intercanvi de claus
El 31% de les classes de ransomware enquestades utilitzaven DNS per a l'intercanvi de claus.
El problema és greu. Segons el laboratori d'investigació de la Unitat 42 de Palo Alto Networks, aproximadament el 85% del programari maliciós utilitza DNS per establir un canal de comandament i control, cosa que permet als atacants injectar fàcilment programari maliciós a la vostra xarxa i robar dades. Des dels seus inicis, el trànsit DNS ha estat en gran part sense xifrar i es pot analitzar fàcilment mitjançant els mecanismes de seguretat de NGFW.
Han sorgit nous protocols per a DNS amb l'objectiu d'augmentar la confidencialitat de les connexions DNS. Els principals proveïdors de navegadors i altres proveïdors de programari els donen suport activament. El trànsit DNS xifrat començarà a créixer aviat a les xarxes corporatives. El trànsit DNS xifrat que les eines no s'analitza i no resol adequadament suposa un risc de seguretat per a una empresa. Per exemple, aquesta amenaça són els criptolockers que utilitzen DNS per intercanviar claus de xifratge. Els atacants ara demanen un rescat de diversos milions de dòlars per restaurar l'accés a les vostres dades. Garmin, per exemple, va pagar 10 milions de dòlars.
Quan es configuren correctament, els NGFW poden denegar o protegir l'ús de DNS-over-TLS (DoT) i es poden utilitzar per denegar l'ús de DNS-over-HTTPS (DoH), permetent que s'analitzi tot el trànsit DNS de la vostra xarxa.
Què és el DNS xifrat?
Què és el DNS
El sistema de noms de domini (DNS) resol els noms de domini llegibles pels humans (per exemple, l'adreça ) a adreces IP (per exemple, 34.107.151.202). Quan un usuari introdueix un nom de domini en un navegador web, el navegador envia una consulta DNS al servidor DNS, demanant l'adreça IP associada amb aquest nom de domini. En resposta, el servidor DNS retorna l'adreça IP que utilitzarà aquest navegador.
Les consultes i respostes de DNS s'envien a través de la xarxa en text sense xifrar, cosa que fa que sigui vulnerable a l'espionatge o canvi de resposta i redirigeix el navegador a servidors maliciosos. El xifratge DNS dificulta el seguiment o el canvi de les sol·licituds de DNS durant la transmissió. El xifrat de sol·licituds i respostes de DNS us protegeix dels atacs Man-in-the-Middle alhora que realitza la mateixa funcionalitat que el protocol tradicional DNS (Domain Name System) de text sense format.
Durant els últims anys, s'han introduït dos protocols de xifratge DNS:
-
DNS sobre HTTPS (DoH)
-
DNS sobre TLS (DoT)
Aquests protocols tenen una cosa en comú: amaguen deliberadament les peticions DNS de qualsevol intercepció... i també dels guàrdies de seguretat de l'organització. Els protocols utilitzen principalment TLS (Transport Layer Security) per establir una connexió xifrada entre un client que fa consultes i un servidor que resol consultes DNS a través d'un port que normalment no s'utilitza per al trànsit DNS.
La confidencialitat de les consultes DNS és un gran avantatge d'aquests protocols. No obstant això, plantegen problemes als guàrdies de seguretat que han de supervisar el trànsit de la xarxa i detectar i bloquejar connexions malicioses. Com que els protocols difereixen en la seva implementació, els mètodes d'anàlisi diferiran entre DoH i DoT.
DNS sobre HTTPS (DoH)
DNS dins HTTPS
DoH utilitza el conegut port 443 per a HTTPS, per al qual la RFC estableix específicament que la intenció és "barrejar el trànsit DoH amb altres trànsit HTTPS a la mateixa connexió", "dificultar l'anàlisi del trànsit DNS" i, per tant, eludir els controls corporatius. ( ). El protocol DoH utilitza el xifratge TLS i la sintaxi de sol·licitud proporcionada pels estàndards comuns HTTPS i HTTP/2, afegint sol·licituds i respostes DNS a les sol·licituds HTTP estàndard.
Riscos associats amb DoH
Si no podeu distingir el trànsit HTTPS normal de les sol·licituds de DoH, les aplicacions de la vostra organització poden (i ho faran) obviar la configuració de DNS local redirigint les sol·licituds a servidors de tercers que responen a les sol·licituds de DoH, la qual cosa evita qualsevol supervisió, és a dir, destrueix la capacitat de controlar el trànsit DNS. Idealment, hauríeu de controlar DoH mitjançant funcions de desxifrat HTTPS.
И a l'última versió dels seus navegadors, i ambdues empreses estan treballant per utilitzar DoH de manera predeterminada per a totes les sol·licituds de DNS. per integrar DoH als seus sistemes operatius. L'inconvenient és que no només les empreses de programari de bona reputació, sinó també els atacants han començat a utilitzar DoH com a mitjà per evitar les mesures tradicionals del tallafoc corporatiu. (Per exemple, reviseu els articles següents: , и .) En qualsevol cas, tant el trànsit DoH bo com el maliciós passarà desapercebut, deixant l'organització cega davant l'ús maliciós de DoH com a conducte per controlar el programari maliciós (C2) i robar dades sensibles.
Garantir la visibilitat i el control del trànsit DoH
Com a millor solució per al control DoH, us recomanem que configureu NGFW per desxifrar el trànsit HTTPS i bloquejar el trànsit DoH (nom de l'aplicació: dns-over-https).
En primer lloc, assegureu-vos que NGFW estigui configurat per desxifrar HTTPS, segons .
En segon lloc, creeu una regla per al trànsit d'aplicacions "dns-over-https" com es mostra a continuació:
Regla NGFW de Palo Alto Networks per bloquejar DNS sobre HTTPS
Com a alternativa provisional (si la vostra organització no ha implementat completament el desxifrat HTTPS), NGFW es pot configurar per aplicar una acció de "denegació" a l'identificador de l'aplicació "dns-over-https", però l'efecte es limitarà a bloquejar certs bé- servidors de DoH coneguts pel seu nom de domini, de manera que sense desxifrar HTTPS, el trànsit de DoH no es pot inspeccionar completament (vegeu i cerqueu "dns-over-https").
DNS sobre TLS (DoT)
DNS dins de TLS
Tot i que el protocol DoH acostuma a barrejar-se amb un altre trànsit al mateix port, DoT, en canvi, fa servir per defecte un port especial reservat per a aquest únic propòsit, fins i tot prohibint específicament que el mateix port sigui utilitzat pel trànsit DNS tradicional sense xifrar ( ).
El protocol DoT utilitza TLS per proporcionar un xifratge que encapsula consultes de protocol DNS estàndard, amb trànsit que utilitza el conegut port 853 ( ). El protocol DoT es va dissenyar per facilitar a les organitzacions bloquejar el trànsit en un port o acceptar trànsit però habilitar el desxifrat en aquest port.
Riscos associats al DoT
Google ha implementat DoT al seu client , amb la configuració predeterminada per utilitzar automàticament DoT si està disponible. Si heu avaluat els riscos i esteu preparats per utilitzar DoT a nivell organitzatiu, haureu de fer que els administradors de xarxa permetin explícitament el trànsit de sortida al port 853 a través del seu perímetre per a aquest nou protocol.
Garantir la visibilitat i el control del trànsit DoT
Com a pràctica recomanada per al control DoT, recomanem qualsevol de les anteriors, en funció dels requisits de la vostra organització:
-
Configureu NGFW per desxifrar tot el trànsit del port de destinació 853. En desxifrar el trànsit, DoT apareixerà com una aplicació DNS a la qual podeu aplicar qualsevol acció, com ara activar la subscripció. per controlar dominis DGA o un existent i anti-spyware.
-
Una alternativa és que el motor d'ID d'aplicació bloquegi completament el trànsit "dns-over-tls" al port 853. Normalment es bloqueja per defecte, no cal fer cap acció (tret que permeteu específicament l'aplicació o el port "dns-over-tls" trànsit 853).
Font: www.habr.com