ProHoster > Blog > podávání > Minimalizace rizik používání DNS-over-TLS (DoT) a DNS-over-HTTPS (DoH)

Minimalizace rizik používání DNS-over-TLS (DoT) a DNS-over-HTTPS (DoH)

Minimalizace rizik používání DNS-over-TLS (DoT) a DNS-over-HTTPS (DoH)Minimalizace rizik používání DoH a DoT

Ochrana DoH a DoT

Řídíte svůj provoz DNS? Organizace investují spoustu času, peněz a úsilí do zabezpečení svých sítí. Jednou z oblastí, které však často není věnována dostatečná pozornost, je DNS.

Dobrý přehled rizik, která DNS přináší, je Prezentace Verisign na konferenci Infosecurity.

Minimalizace rizik používání DNS-over-TLS (DoT) a DNS-over-HTTPS (DoH)31 % dotázaných tříd ransomwaru používalo k výměně klíčů DNS

31 % dotázaných tříd ransomwaru používalo k výměně klíčů DNS.

Problém je vážný. Podle výzkumné laboratoře Palo Alto Networks Unit 42 používá přibližně 85 % malwaru DNS k vytvoření příkazového a řídicího kanálu, což útočníkům umožňuje snadno vložit malware do vaší sítě a také ukrást data. Od svého založení byl provoz DNS z velké části nešifrovaný a lze jej snadno analyzovat bezpečnostními mechanismy NGFW. 

Objevily se nové protokoly pro DNS zaměřené na zvýšení důvěrnosti připojení DNS. Aktivně je podporují přední výrobci prohlížečů a další výrobci softwaru. Šifrovaný provoz DNS začne brzy růst v podnikových sítích. Šifrovaný provoz DNS, který není řádně analyzován a vyřešen pomocí nástrojů, představuje pro společnost bezpečnostní riziko. Takovou hrozbou jsou například kryptolockery, které využívají DNS k výměně šifrovacích klíčů. Útočníci nyní požadují výkupné ve výši několika milionů dolarů za obnovení přístupu k vašim datům. Například Garmin zaplatil 10 milionů dolarů.

Při správné konfiguraci mohou NGFW odmítnout nebo chránit použití DNS-over-TLS (DoT) a lze je použít k odmítnutí použití DNS-over-HTTPS (DoH), což umožňuje analyzovat veškerý provoz DNS ve vaší síti.

Co je šifrovaný DNS?

Co je DNS

Systém DNS (Domain Name System) řeší lidská jména domén (například adresy www.paloaltonetworks.com ) na IP adresy (například 34.107.151.202). Když uživatel zadá název domény do webového prohlížeče, prohlížeč odešle DNS dotaz serveru DNS s dotazem na IP adresu spojenou s tímto názvem domény. Jako odpověď DNS server vrátí IP adresu, kterou tento prohlížeč použije.

Dotazy a odpovědi DNS jsou odesílány po síti jako prostý text, nešifrované, takže je zranitelný vůči špehování nebo změně odpovědi a přesměrování prohlížeče na škodlivé servery. Šifrování DNS ztěžuje sledování nebo změnu požadavků DNS během přenosu. Šifrování požadavků a odpovědí DNS vás chrání před útoky typu Man-in-the-Middle a zároveň poskytuje stejnou funkcionalitu jako tradiční protokol DNS (Domain Name System) v prostém textu. 

Během několika posledních let byly představeny dva šifrovací protokoly DNS:

  1. DNS-over-HTTPS (DoH)

  2. DNS-over-TLS (DoT)

Tyto protokoly mají jedno společné: záměrně skrývají požadavky DNS před jakýmkoli zachycením... a také před bezpečnostními strážemi organizace. Protokoly primárně používají TLS (Transport Layer Security) k navázání šifrovaného spojení mezi klientem, který provádí dotazy, a serverem, který řeší dotazy DNS přes port, který se normálně nepoužívá pro provoz DNS.

Velkou výhodou těchto protokolů je důvěrnost DNS dotazů. Představují však problémy pro ostrahu, která musí monitorovat síťový provoz a detekovat a blokovat škodlivá připojení. Protože se protokoly liší ve své implementaci, budou se metody analýzy mezi DoH a DoT lišit.

DNS přes HTTPS (DoH)

Minimalizace rizik používání DNS-over-TLS (DoT) a DNS-over-HTTPS (DoH)DNS uvnitř HTTPS

DoH používá známý port 443 pro HTTPS, pro který RFC konkrétně uvádí, že záměrem je „smíchat provoz DoH s jiným provozem HTTPS na stejném připojení“, „ztížit analýzu provozu DNS“ a obejít tak podnikové kontroly. ( RFC 8484 DoH sekce 8.1 ). Protokol DoH používá šifrování TLS a syntaxi požadavků poskytovanou běžnými standardy HTTPS a HTTP/2 a přidává požadavky a odpovědi DNS nad standardní požadavky HTTP.

Rizika spojená s DoH

Pokud nedokážete odlišit běžný provoz HTTPS od požadavků DoH, pak aplikace ve vaší organizaci mohou (a budou) obcházet místní nastavení DNS přesměrováním požadavků na servery třetích stran, které odpovídají na požadavky DoH, což obchází jakékoli monitorování, to znamená, že ničí možnost řídit provoz DNS. V ideálním případě byste měli ovládat DoH pomocí funkcí dešifrování HTTPS. 

И Google a Mozilla implementovaly funkce DoH v nejnovější verzi svých prohlížečů a obě společnosti pracují na tom, aby standardně používaly DoH pro všechny požadavky DNS. Plány rozvíjí i Microsoft o integraci DoH do jejich operačních systémů. Nevýhodou je, že nejen renomované softwarové společnosti, ale i útočníci začali využívat DoH jako prostředek k obcházení tradičních firemních firewallových opatření. (Prostudujte si například následující články: PsiXBot nyní používá Google DoH , PsiXBot se nadále vyvíjí s aktualizovanou infrastrukturou DNS и Godluova analýza zadních vrátek .) V obou případech zůstane dobrý i škodlivý provoz DoH neodhalen, takže organizace bude slepá vůči škodlivému použití DoH jako kanálu pro kontrolu malwaru (C2) a krádež citlivých dat.

Zajištění viditelnosti a kontroly provozu DoH

Jako nejlepší řešení pro kontrolu DoH doporučujeme nakonfigurovat NGFW tak, aby dešifroval provoz HTTPS a blokoval provoz DoH (název aplikace: dns-over-https). 

Nejprve se ujistěte, že je NGFW nakonfigurováno pro dešifrování HTTPS, podle průvodce nejlepšími dešifrovacími technikami.

Za druhé vytvořte pravidlo pro provoz aplikace „dns-over-https“, jak je uvedeno níže:

Minimalizace rizik používání DNS-over-TLS (DoT) a DNS-over-HTTPS (DoH)Palo Alto Networks pravidlo NGFW pro blokování DNS-over-HTTPS

Jako prozatímní alternativa (pokud vaše organizace plně neimplementovala dešifrování HTTPS) lze NGFW nakonfigurovat tak, aby aplikovala akci „zamítnout“ na ID aplikace „dns-over-https“, ale účinek bude omezen na blokování určitých dobře- známé servery DoH podle názvu domény, takže bez dešifrování HTTPS nelze provoz DoH plně zkontrolovat (viz  Applipedia od Palo Alto Networks   a vyhledejte „dns-over-https“).

DNS přes TLS (DoT)

Minimalizace rizik používání DNS-over-TLS (DoT) a DNS-over-HTTPS (DoH)DNS uvnitř TLS

Zatímco protokol DoH má tendenci se mísit s jiným provozem na stejném portu, DoT místo toho ve výchozím nastavení používá speciální port vyhrazený pro tento jediný účel, a to dokonce výslovně zakazuje použití stejného portu tradičním nešifrovaným provozem DNS ( RFC 7858, oddíl 3.1 ).

Protokol DoT používá TLS k zajištění šifrování, které zapouzdřuje standardní dotazy protokolu DNS, přičemž provoz využívá známý port 853 ( RFC 7858 část 6 ). Protokol DoT byl navržen tak, aby organizacím usnadnil blokování provozu na portu nebo přijímání provozu, ale umožnil na tomto portu dešifrování.

Rizika spojená s DoT

Google implementoval DoT ve svém klientovi Android 9 Pie a novější , s výchozím nastavením automaticky používat DoT, pokud je k dispozici. Pokud jste vyhodnotili rizika a jste připraveni používat DoT na organizační úrovni, pak musíte mít administrátory sítě, aby explicitně povolili odchozí provoz na portu 853 přes jejich perimetr pro tento nový protokol.

Zajištění viditelnosti a kontroly provozu DoT

Jako osvědčený postup pro kontrolu DoT doporučujeme na základě požadavků vaší organizace kteroukoli z výše uvedených možností:

  • Nakonfigurujte NGFW k dešifrování veškerého provozu pro cílový port 853. Po dešifrování provozu se DoT zobrazí jako aplikace DNS, na kterou můžete použít jakoukoli akci, například povolit předplatné Zabezpečení DNS sítí Palo Alto ovládat domény DGA nebo existující DNS Sinkholing a anti-spyware.

  • Alternativou je nechat modul App-ID zcela blokovat provoz 'dns-over-tls' na portu 853. To je obvykle ve výchozím nastavení blokováno, není vyžadována žádná akce (pokud výslovně nepovolíte aplikaci nebo port 'dns-over-tls' provoz 853).

Zdroj: www.habr.com

Přidat komentář