ProHoster > Π‘Π»ΠΎΠ³ > Pagdumala > Pagmenos sa mga risgo sa paggamit sa DNS-over-TLS (DoT) ug DNS-over-HTTPS (DoH)

Pagmenos sa mga risgo sa paggamit sa DNS-over-TLS (DoT) ug DNS-over-HTTPS (DoH)

Pagmenos sa mga risgo sa paggamit sa DNS-over-TLS (DoT) ug DNS-over-HTTPS (DoH)Pagmenos sa mga risgo sa paggamit sa DoH ug DoT

Proteksyon sa DoH ug DoT

Gikontrol ba nimo ang imong trapiko sa DNS? Ang mga organisasyon namuhunan ug daghang oras, salapi, ug paningkamot aron masiguro ang ilang mga network. Bisan pa, ang usa ka lugar nga kanunay dili makakuha og igong pagtagad mao ang DNS.

Ang usa ka maayo nga pagtan-aw sa mga peligro nga gidala sa DNS mao ang Verisign nga presentasyon sa komperensya sa Infosecurity.

Pagmenos sa mga risgo sa paggamit sa DNS-over-TLS (DoT) ug DNS-over-HTTPS (DoH)31% sa mga klase sa ransomware nga gi-survey migamit sa DNS alang sa key exchange

31% sa mga klase sa ransomware nga gi-survey migamit sa DNS alang sa key exchange.

Grabe ang problema. Sumala sa laboratoryo sa panukiduki sa Palo Alto Networks Unit 42, gibana-bana nga 85% sa malware ang naggamit sa DNS aron magtukod usa ka command ug control channel, nga gitugotan ang mga tig-atake nga dali nga mag-inject sa malware sa imong network ingon man mangawat sa datos. Sukad sa pagsugod niini, ang trapiko sa DNS kadaghanan wala ma-encrypt ug dali nga masusi sa mga mekanismo sa seguridad sa NGFW. 

Ang bag-ong mga protocol alang sa DNS mitumaw nga nagtumong sa pagdugang sa pagkakompidensyal sa mga koneksyon sa DNS. Aktibo sila nga gisuportahan sa nanguna nga mga tigbaligya sa browser ug uban pang mga tigbaligya sa software. Ang naka-encrypt nga trapiko sa DNS sa dili madugay magsugod sa pagtubo sa mga network sa korporasyon. Ang naka-encrypt nga trapiko sa DNS nga dili husto nga pag-analisar ug masulbad sa mga himan naghatag peligro sa seguridad sa usa ka kompanya. Pananglitan, ang ingon nga hulga mao ang mga cryptolocker nga naggamit sa DNS aron ibaylo ang mga yawe sa pag-encrypt. Nangayo na karon ang mga tig-atake ug lukat nga pila ka milyon nga dolyar aron mabalik ang pag-access sa imong data. Pananglitan, si Garmin mibayad og $10 milyones.

Kung husto ang pag-configure, ang mga NGFW mahimong molimud o manalipod sa paggamit sa DNS-over-TLS (DoT) ug magamit sa pagdumili sa paggamit sa DNS-over-HTTPS (DoH), nga gitugotan ang tanan nga trapiko sa DNS sa imong network nga masusi.

Unsa ang naka-encrypt nga DNS?

Unsa ang DNS

Gisulbad sa Domain Name System (DNS) ang mga ngalan sa domain nga mabasa sa tawo (pananglitan, adres www.paloaltonetworks.com ) ngadto sa mga IP adres (pananglitan, 34.107.151.202). Sa diha nga ang usa ka user mosulod sa usa ka domain name sa usa ka web browser, ang browser nagpadala sa usa ka DNS pangutana ngadto sa DNS server, mangayo alang sa IP address nga may kalabutan sa nga domain name. Agig tubag, ibalik sa DNS server ang IP address nga gamiton sa kini nga browser.

Ang mga pangutana ug tubag sa DNS gipadala sa tibuuk nga network sa yano nga teksto, wala’y naka-encrypt, nga naghimo niini nga bulnerable sa pagpaniid o pagbag-o sa tubag ug pag-redirect sa browser sa mga malisyoso nga server. Ang DNS encryption nagpalisud sa mga hangyo sa DNS nga masubay o mabag-o sa panahon sa transmission. Ang pag-encrypt sa mga hangyo ug tubag sa DNS makapanalipod kanimo gikan sa mga pag-atake sa Man-in-the-Middle samtang naghimo sa parehas nga gamit sa tradisyonal nga plaintext DNS (Domain Name System) protocol. 

Sa milabay nga pipila ka tuig, duha ka DNS encryption protocol ang gipaila:

  1. DNS-over-HTTPS (DoH)

  2. DNS-over-TLS (DoT)

Kini nga mga protocol adunay usa ka butang nga managsama: sila tinuyo nga nagtago sa mga hangyo sa DNS gikan sa bisan unsang interception ... ug gikan usab sa mga security guard sa organisasyon. Ang mga protocol nag-una nga naggamit sa TLS (Transport Layer Security) aron magtukod usa ka naka-encrypt nga koneksyon tali sa usa ka kliyente nga naghimo og mga pangutana ug usa ka server nga nagsulbad sa mga pangutana sa DNS sa usa ka pantalan nga dili kasagarang gigamit alang sa trapiko sa DNS.

Ang pagkakompidensyal sa mga pangutana sa DNS usa ka dako nga dugang sa kini nga mga protocol. Bisan pa, nagbutang sila og mga problema alang sa mga guwardiya sa seguridad nga kinahanglan mag-monitor sa trapiko sa network ug makamatikod ug makapugong sa mga malisyoso nga koneksyon. Tungod kay ang mga protocol managlahi sa ilang pagpatuman, ang mga pamaagi sa pagtuki magkalahi tali sa DoH ug DoT.

DNS sa HTTPS (DoH)

Pagmenos sa mga risgo sa paggamit sa DNS-over-TLS (DoT) ug DNS-over-HTTPS (DoH)DNS sulod sa HTTPS

Gigamit sa DoH ang iladong port 443 para sa HTTPS, diin ang RFC espesipikong nag-ingon nga ang tuyo mao ang "pagsagol sa trapiko sa DoH sa ubang trapiko sa HTTPS sa samang koneksyon", "palisod sa pag-analisar sa trapiko sa DNS" ug sa ingon makalikay sa mga kontrol sa korporasyon ( RFC 8484 DoH Seksyon 8.1 ). Ang DoH protocol naggamit sa TLS encryption ug ang request syntax nga gihatag sa komon nga HTTPS ug HTTP/2 nga mga sumbanan, pagdugang sa DNS requests ug mga tubag sa ibabaw sa standard HTTP requests.

Mga risgo nga nalangkit sa DoH

Kung dili nimo mailhan ang regular nga trapiko sa HTTPS gikan sa mga hangyo sa DoH, nan ang mga aplikasyon sa sulod sa imong organisasyon mahimo (ug makalikay) sa mga setting sa lokal nga DNS pinaagi sa pag-redirect sa mga hangyo sa mga server sa ikatulo nga partido nga nagtubag sa mga hangyo sa DoH, nga naglikay sa bisan unsang pag-monitor, nga mao, makaguba sa abilidad sa kontrola ang trapiko sa DNS. Labing maayo, kinahanglan nimong kontrolon ang DoH gamit ang HTTPS decryption functions. 

И Gipatuman sa Google ug Mozilla ang mga kapabilidad sa DoH sa pinakabag-o nga bersyon sa ilang mga browser, ug ang duha ka kompanya nagtrabaho sa paggamit sa DoH sa default para sa tanang DNS request. Nagpalambo usab ang Microsoft og mga plano sa pag-integrate sa DoH sa ilang mga operating system. Ang downside mao nga dili lamang ang mga inila nga mga kompanya sa software, apan usab ang mga tig-atake nagsugod sa paggamit sa DoH ingon usa ka paagi sa pag-bypass sa tradisyonal nga corporate firewall nga mga lakang. (Pananglitan, ribyuha ang mosunod nga mga artikulo: Gigamit na karon sa PsiXBot ang Google DoH , Ang PsiXBot nagpadayon sa pag-uswag uban ang na-update nga imprastraktura sa DNS ΠΈ Godlua backdoor analysis .) Sa bisan asa nga kaso, ang maayo ug malisyosong trapiko sa DoH dili mamatikdan, nga magbiya sa organisasyon nga buta sa malisyosong paggamit sa DoH isip agianan sa pagkontrolar sa malware (C2) ug pagpangawat sa sensitibong datos.

Pagsiguro sa visibility ug pagkontrol sa trapiko sa DoH

Isip labing maayong solusyon sa pagkontrol sa DoH, among girekomendar ang pag-configure sa NGFW aron ma-decrypt ang trapiko sa HTTPS ug babagan ang trapiko sa DoH (pangalan sa aplikasyon: dns-over-https). 

Una, siguruha nga ang NGFW gi-configure aron ma-decrypt ang HTTPS, sumala sa usa ka giya sa labing maayo nga mga teknik sa pag-decryption.

Ikaduha, paghimo usa ka lagda alang sa trapiko sa aplikasyon nga "dns-over-https" sama sa gipakita sa ubos:

Pagmenos sa mga risgo sa paggamit sa DNS-over-TLS (DoT) ug DNS-over-HTTPS (DoH)Palo Alto Networks NGFW Rule sa Pag-block sa DNS-over-HTTPS

Isip usa ka interim nga alternatibo (kung ang imong organisasyon wala pa hingpit nga nagpatuman sa HTTPS decryption), ang NGFW mahimong ma-configure aron magamit ang usa ka "pagdumili" nga aksyon sa "dns-over-https" nga aplikasyon ID, apan ang epekto limitado sa pag-block sa pipila nga maayo- nailhan nga mga server sa DoH pinaagi sa ilang domain name, mao nga kung wala ang HTTPS decryption, ang trapiko sa DoH dili hingpit nga masusi (tan-awa  Applipedia gikan sa Palo Alto Networks   ug pangitaa ang "dns-over-https").

DNS sa TLS (DoT)

Pagmenos sa mga risgo sa paggamit sa DNS-over-TLS (DoT) ug DNS-over-HTTPS (DoH)DNS sulod sa TLS

Samtang ang protocol sa DoH lagmit nga magsagol sa ubang trapiko sa parehas nga pantalan, ang DoT sa baylo nag-default sa paggamit sa usa ka espesyal nga pantalan nga gitagana alang sa kana nga katuyoan, bisan sa piho nga dili pagtugot sa parehas nga pantalan nga magamit sa tradisyonal nga wala ma-encrypt nga trapiko sa DNS ( RFC 7858, Seksyon 3.1 ).

Ang DoT protocol naggamit sa TLS sa paghatag og encryption nga naglangkob sa standard DNS protocol query, uban sa trapiko gamit ang iladong port 853 ( RFC 7858 seksyon 6 ). Ang protocol sa DoT gidesinyo aron mapasayon ​​sa mga organisasyon ang pagbabag sa trapiko sa usa ka pantalan, o pagdawat sa trapiko apan mahimo ang pag-decryption sa maong pantalan.

Mga risgo nga nalangkit sa DoT

Gipatuman sa Google ang DoT sa kliyente niini Android 9 Pie ug sa ulahi , uban ang default setting aron awtomatiko nga gamiton ang DoT kung naa. Kung nasusi na nimo ang mga risgo ug andam ka nga mogamit sa DoT sa lebel sa organisasyon, nan kinahanglan nimo nga ang mga tagdumala sa network klaro nga motugot sa outbound nga trapiko sa port 853 pinaagi sa ilang perimeter para sa bag-ong protocol.

Pagsiguro sa visibility ug pagkontrol sa trapiko sa DoT

Isip labing maayong praktis para sa pagkontrol sa DoT, among girekomendar ang bisan unsa sa ibabaw, base sa mga kinahanglanon sa imong organisasyon:

  • I-configure ang NGFW aron ma-decrypt ang tanang trapiko para sa destinasyon nga pantalan 853. Pinaagi sa pag-decrypt sa trapiko, ang DoT makita isip DNS nga aplikasyon diin mahimo nimong magamit ang bisan unsang aksyon, sama sa pag-enable sa subscription Palo Alto Networks DNS Security aron makontrol ang mga domain sa DGA o ang usa nga naa na DNS Sinkholing ug anti-spyware.

  • Usa ka alternatibo mao ang pagbaton sa App-ID nga makina sa hingpit nga pag-block sa 'dns-over-tls' nga trapiko sa port 853. Kini kasagarang gibabagan pinaagi sa default, walay aksyon nga gikinahanglan (gawas kung imong gitugutan ang 'dns-over-tls' nga aplikasyon o port trapiko 853).

Source: www.habr.com

Idugang sa usa ka comment