Minimizà i risichi di utilizà DoH è DoT
Prutezzione DoH è DoT
Cuntrolla u vostru trafficu DNS? L'urganisazioni investenu assai tempu, soldi è sforzu per assicurà e so rete. Tuttavia, una zona chì spessu ùn riceve abbastanza attenzione hè DNS.
Una bona visione generale di i risichi chì DNS porta hè à a cunferenza Infosecurity.
U 31% di e classi di ransomware indagati anu utilizatu DNS per u scambiu di chjave
U 31% di e classi di ransomware indagati anu utilizatu DNS per u scambiu di chjave.
U prublema hè seriu. Sicondu u laboratoriu di ricerca Palo Alto Networks Unit 42, circa 85% di u malware usa DNS per stabilisce un canale di cummandu è cuntrollu, chì permette à l'attaccanti di injectà facilmente malware in a vostra reta è di robba dati. Dapoi u so principiu, u trafficu DNS hè statu largamente micca criptatu è pò esse facilmente analizatu da i meccanismi di sicurezza NGFW.
Novi protokolli per DNS sò emersi destinati à aumentà a cunfidenziale di e cunnessione DNS. Sò attivamente supportati da i principali venditori di navigatori è altri venditori di software. U trafficu DNS criptatu prestu cumincià à cresce in e rete corporative. U trafficu DNS criptatu chì ùn hè micca analizatu bè è risoltu da l'arnesi pone un risicu di sicurità per una cumpagnia. Per esempiu, una tale minaccia hè cryptolockers chì utilizanu DNS per scambià e chjave di criptografia. L'attaccanti dumandanu avà un riscattu di parechji milioni di dollari per restaurà l'accessu à i vostri dati. Garmin, per esempiu, hà pagatu $ 10 milioni.
Quandu sò cunfigurati bè, i NGFW ponu nigà o prutegge l'usu di DNS-over-TLS (DoT) è ponu esse usatu per nigà l'usu di DNS-over-HTTPS (DoH), chì permette di analizà tuttu u trafficu DNS in a vostra reta.
Chì ghjè u DNS criptatu?
Cosa hè DNS
U Sistema di Nomi di Dominiu (DNS) risolve i nomi di domini leghjite da l'omu (per esempiu, indirizzu ) à l'indirizzi IP (per esempiu, 34.107.151.202). Quandu un utilizatore inserisce un nome di duminiu in un navigatore web, u navigatore manda una dumanda DNS à u servitore DNS, dumandendu l'indirizzu IP assuciatu à quellu nome di duminiu. In risposta, u servitore DNS torna l'indirizzu IP chì stu navigatore hà da utilizà.
E dumande è e risposte DNS sò mandate à traversu a reta in testu chjaru, senza criptu, facendu vulnerabile à spionà o cambià a risposta è redirige u navigatore à servitori maliziusi. A criptografia DNS rende difficiuli per e dumande DNS per esse tracciate o cambiate durante a trasmissione. L'encrypting DNS dumande è risposti vi prutege da l'attacchi Man-in-the-Middle mentre realizanu a listessa funziunalità cum'è u protocolu DNS (Domain Name System).
In l'ultimi anni, dui protokolli di criptografia DNS sò stati introdotti:
-
DNS-over-HTTPS (DoH)
-
DNS-over-TLS (DoT)
Questi protokolli anu una cosa in cumunu: ocultanu deliberatamente e dumande DNS da ogni intercepzione ... è ancu da i guardiani di sicurezza di l'urganizazione. I protokolli utilizanu principalmente TLS (Transport Layer Security) per stabilisce una cunnessione criptata trà un cliente chì face dumande è un servitore chì risolve e dumande DNS nantu à un portu chì ùn hè micca normalment utilizatu per u trafficu DNS.
A cunfidenziale di e dumande DNS hè un grande plus di sti protokolli. Tuttavia, ponenu prublemi per i guardiani di sicurità chì devenu monitorà u trafficu di a rete è detectà è bluccà e cunnessione maliziusi. Perchè i protokolli sò diffirenti in a so implementazione, i metudi di analisi differiscenu trà DoH è DoT.
DNS sopra HTTPS (DoH)
DNS in HTTPS
DoH usa u portu ben cunnisciutu 443 per HTTPS, per quale u RFC specificamente dice chì l'intenzione hè di "mischjà u trafficu DoH cù l'altru trafficu HTTPS nantu à a listessa cunnessione", "rendemu difficiule di analizà u trafficu DNS" è cusì evità i cuntrolli corporativi. ( ). U protocolu DoH usa a criptografia TLS è a sintassi di dumanda furnita da i standard HTTPS è HTTP / 2 cumuni, aghjunghjendu dumande DNS è risposte in cima à e richieste HTTP standard.
Rischi assuciati cù DoH
Se ùn pudete micca distinguishà u trafficu HTTPS regulare da e dumande DoH, allora l'applicazioni in a vostra urganizazione ponu (è vi) sguassate i paràmetri DNS lucali reindirizzendu e richieste à i servitori di terzu chì rispundenu à e dumande DoH, chì sguassate ogni monitoraghju, vale à dì, distrugge a capacità di cuntrullà u trafficu DNS. Ideale, duvete cuntrullà DoH utilizendu funzioni di decrittazione HTTPS.
И in l'ultima versione di i so navigatori, è e duie cumpagnie travaglianu per utilizà DoH per automaticamente per tutte e dumande DNS. nantu à l'integrazione di DoH in i so sistemi operativi. U svantaghju hè chì micca solu l'imprese di software reputable, ma ancu l'attaccanti anu cuminciatu à aduprà DoH cum'è un mezzu per sguassate e misure tradiziunali di firewall corporativu. (Per esempiu, rivisite l'articuli seguenti: , и .) In ogni casu, u trafficu DoH bonu è maliziusu ùn sarà micca rilevatu, lascendu l'urganizazione cecu à l'usu maliziusu di DoH cum'è un cunduttu per cuntrullà u malware (C2) è arrubbanu dati sensittivi.
Assicurendu a visibilità è u cuntrollu di u trafficu DoH
Cum'è a megliu suluzione per u cuntrollu DoH, ricumandemu di cunfigurà NGFW per decrypt u trafficu HTTPS è bluccà u trafficu DoH (nome di l'applicazione: dns-over-https).
Prima, assicuratevi chì NGFW hè cunfiguratu per decrypt HTTPS, secondu .
Siconda, crea una regula per u trafficu di l'applicazione "dns-over-https" cum'è mostra quì sottu:
Palo Alto Networks NGFW Regula per bluccà DNS-over-HTTPS
Comu alternativa interim (se a vostra urganizazione ùn hà micca implementatu cumplettamente a decifrazione HTTPS), NGFW pò esse cunfiguratu per applicà una azzione "nega" à l'ID di l'applicazione "dns-over-https", ma l'effettu serà limitatu à bluccà certi bè- servitori DoH cunnisciuti da u so nome di duminiu, cusì cumu senza decifrazione HTTPS, u trafficu DoH ùn pò micca esse inspeccionatu cumplettamente (vede è cercate "dns-over-https").
DNS sopra TLS (DoT)
DNS in TLS
Mentre chì u protocolu DoH tende à mischjà cù l'altru trafficu nantu à u stessu portu, DoT invece usa un portu speciale riservatu à quellu solu scopu, ancu disattivendu specificamente u stessu portu da esse utilizatu da u trafficu DNS tradiziunale micca criptatu ( ).
U protocolu DoT usa TLS per furnisce una criptografia chì incapsula e dumande standard di protokollu DNS, cù u trafficu chì usa u portu ben cunnisciutu 853 ( ). U protokollu DoT hè statu cuncepitu per fà più faciule per l'urganisazioni per bluccà u trafficu in un portu, o accettà u trafficu ma permette a decifrazione in quellu portu.
Rischi assuciati cù DoT
Google hà implementatu DoT in u so cliente , cù u paràmetru predeterminatu per aduprà automaticamente DoT se dispunibule. Se avete valutatu i risichi è sò pronti à utilizà DoT à u livellu di l'urganisazione, allora avete bisognu à avè l'amministratori di a rete esplicitamente permettenu u trafficu in uscita in u portu 853 attraversu u so perimetru per stu novu protokollu.
Assicurendu a visibilità è u cuntrollu di u trafficu DoT
Cum'è una bona pratica per u cuntrollu DoT, ricumandemu qualsiasi di e sopra, basatu annantu à i bisogni di a vostra urganizazione:
-
Configurate NGFW per decrypt tuttu u trafficu per u portu di destinazione 853. Per decrypting u trafficu, DoT appariscerà cum'è una applicazione DNS à quale pudete applicà qualsiasi azzione, cum'è attivà l'abbonamentu. per cuntrullà i domini DGA o un esistenti è anti-spyware.
-
Una alternativa hè di avè u mutore di App-ID bluccà cumplettamente u trafficu "dns-over-tls" in u portu 853. Questu hè generalmente bluccatu per automaticamente, ùn hè micca necessariu d'azzione (salvo chì ùn permettenu specificamente l'applicazione "dns-over-tls" o u trafficu portu). 853).
Source: www.habr.com