ProHoster > Blog > διαχείριση > Ελαχιστοποίηση των κινδύνων από τη χρήση DNS-over-TLS (DoT) και DNS-over-HTTPS (DoH)

Ελαχιστοποίηση των κινδύνων από τη χρήση DNS-over-TLS (DoT) και DNS-over-HTTPS (DoH)

Ελαχιστοποίηση των κινδύνων από τη χρήση DNS-over-TLS (DoT) και DNS-over-HTTPS (DoH)Ελαχιστοποίηση των κινδύνων από τη χρήση DoH και DoT

Προστασία DoH και DoT

Ελέγχετε την κυκλοφορία DNS σας; Οι οργανισμοί επενδύουν πολύ χρόνο, χρήμα και προσπάθεια για την ασφάλεια των δικτύων τους. Ωστόσο, ένας τομέας που συχνά δεν λαμβάνει αρκετή προσοχή είναι το DNS.

Μια καλή επισκόπηση των κινδύνων που φέρνει το DNS είναι Παρουσίαση Verisign στο συνέδριο Infosecurity.

Ελαχιστοποίηση των κινδύνων από τη χρήση DNS-over-TLS (DoT) και DNS-over-HTTPS (DoH)Το 31% των τάξεων ransomware που συμμετείχαν στην έρευνα χρησιμοποιούσαν DNS για ανταλλαγή κλειδιών. Ευρήματα μελέτης

Το 31% των κλάσεων ransomware που ερωτήθηκαν χρησιμοποίησαν DNS για ανταλλαγή κλειδιών.

Το πρόβλημα είναι σοβαρό. Σύμφωνα με το ερευνητικό εργαστήριο Palo Alto Networks Unit 42, περίπου το 85% του κακόβουλου λογισμικού χρησιμοποιεί DNS για να δημιουργήσει ένα κανάλι εντολών και ελέγχου, επιτρέποντας στους εισβολείς να εισάγουν εύκολα κακόβουλο λογισμικό στο δίκτυό σας καθώς και να κλέψουν δεδομένα. Από την έναρξή της, η κίνηση DNS ήταν σε μεγάλο βαθμό μη κρυπτογραφημένη και μπορεί εύκολα να αναλυθεί από τους μηχανισμούς ασφαλείας NGFW. 

Έχουν εμφανιστεί νέα πρωτόκολλα για DNS που στοχεύουν στην αύξηση του απορρήτου των συνδέσεων DNS. Υποστηρίζονται ενεργά από κορυφαίους προμηθευτές προγραμμάτων περιήγησης και άλλους προμηθευτές λογισμικού. Η κρυπτογραφημένη κίνηση DNS θα αρχίσει σύντομα να αυξάνεται στα εταιρικά δίκτυα. Η κρυπτογραφημένη κίνηση DNS που δεν αναλύεται και δεν επιλύεται σωστά από εργαλεία ενέχει κίνδυνο ασφάλειας για μια εταιρεία. Για παράδειγμα, μια τέτοια απειλή είναι τα cryptolockers που χρησιμοποιούν DNS για την ανταλλαγή κλειδιών κρυπτογράφησης. Οι επιτιθέμενοι ζητούν τώρα λύτρα πολλών εκατομμυρίων δολαρίων για να αποκαταστήσουν την πρόσβαση στα δεδομένα σας. Η Garmin, για παράδειγμα, πλήρωσε 10 εκατομμύρια δολάρια.

Όταν ρυθμιστούν σωστά, τα NGFW μπορούν να αρνηθούν ή να προστατεύσουν τη χρήση του DNS-over-TLS (DoT) και μπορούν να χρησιμοποιηθούν για να αρνηθούν τη χρήση του DNS-over-HTTPS (DoH), επιτρέποντας την ανάλυση όλης της κίνησης DNS στο δίκτυό σας.

Τι είναι το κρυπτογραφημένο DNS;

Τι είναι το DNS

Το Σύστημα Ονομάτων Τομέα (DNS) επιλύει τα αναγνώσιμα από τον άνθρωπο ονόματα τομέα (για παράδειγμα, διεύθυνση www.paloaltonetworks.com ) σε διευθύνσεις IP (για παράδειγμα, 34.107.151.202). Όταν ένας χρήστης εισάγει ένα όνομα τομέα σε ένα πρόγραμμα περιήγησης ιστού, το πρόγραμμα περιήγησης στέλνει ένα ερώτημα DNS στον διακομιστή DNS, ζητώντας τη διεύθυνση IP που σχετίζεται με αυτό το όνομα τομέα. Σε απόκριση, ο διακομιστής DNS επιστρέφει τη διεύθυνση IP που θα χρησιμοποιήσει αυτό το πρόγραμμα περιήγησης.

Τα ερωτήματα και οι απαντήσεις DNS αποστέλλονται μέσω του δικτύου σε απλό κείμενο, μη κρυπτογραφημένα, καθιστώντας το ευάλωτο στην κατασκοπεία ή την αλλαγή της απόκρισης και την ανακατεύθυνση του προγράμματος περιήγησης σε κακόβουλους διακομιστές. Η κρυπτογράφηση DNS καθιστά δύσκολη την παρακολούθηση ή την αλλαγή των αιτημάτων DNS κατά τη μετάδοση. Η κρυπτογράφηση αιτημάτων και απαντήσεων DNS σάς προστατεύει από επιθέσεις Man-in-the-Middle ενώ εκτελεί την ίδια λειτουργικότητα με το παραδοσιακό πρωτόκολλο DNS (σύστημα ονομάτων τομέα) απλού κειμένου. 

Τα τελευταία χρόνια, δύο πρωτόκολλα κρυπτογράφησης DNS έχουν εισαχθεί:

  1. DNS-over-HTTPS (DoH)

  2. DNS-over-TLS (DoT)

Αυτά τα πρωτόκολλα έχουν ένα κοινό: κρύβουν σκόπιμα αιτήματα DNS από οποιαδήποτε υποκλοπή... και από τους φρουρούς ασφαλείας του οργανισμού επίσης. Τα πρωτόκολλα χρησιμοποιούν κυρίως TLS (Transport Layer Security) για να δημιουργήσουν μια κρυπτογραφημένη σύνδεση μεταξύ ενός πελάτη που κάνει ερωτήματα και ενός διακομιστή που επιλύει ερωτήματα DNS μέσω μιας θύρας που συνήθως δεν χρησιμοποιείται για κίνηση DNS.

Η εμπιστευτικότητα των ερωτημάτων DNS είναι ένα μεγάλο πλεονέκτημα αυτών των πρωτοκόλλων. Ωστόσο, δημιουργούν προβλήματα στους φρουρούς ασφαλείας που πρέπει να παρακολουθούν την κυκλοφορία του δικτύου και να εντοπίζουν και να αποκλείουν κακόβουλες συνδέσεις. Επειδή τα πρωτόκολλα διαφέρουν ως προς την εφαρμογή τους, οι μέθοδοι ανάλυσης θα διαφέρουν μεταξύ DoH και DoT.

DNS μέσω HTTPS (DoH)

Ελαχιστοποίηση των κινδύνων από τη χρήση DNS-over-TLS (DoT) και DNS-over-HTTPS (DoH)DNS μέσα στο HTTPS

Το Υπουργείο Υγείας χρησιμοποιεί τη γνωστή θύρα 443 για HTTPS, για την οποία το RFC δηλώνει συγκεκριμένα ότι σκοπός είναι να "αναμιχθεί η κυκλοφορία DoH με άλλη κίνηση HTTPS στην ίδια σύνδεση", να "καταστήσει δύσκολη την ανάλυση της κυκλοφορίας DNS" και έτσι να παρακάμψει τους εταιρικούς ελέγχους ( RFC 8484 DoH Ενότητα 8.1 ). Το πρωτόκολλο DoH χρησιμοποιεί κρυπτογράφηση TLS και τη σύνταξη αιτημάτων που παρέχεται από τα κοινά πρότυπα HTTPS και HTTP/2, προσθέτοντας αιτήματα DNS και αποκρίσεις πάνω από τυπικά αιτήματα HTTP.

Κίνδυνοι που σχετίζονται με το DoH

Εάν δεν μπορείτε να διακρίνετε την κανονική κίνηση HTTPS από τα αιτήματα DoH, τότε οι εφαρμογές εντός του οργανισμού σας μπορούν (και θα) παρακάμψουν τις τοπικές ρυθμίσεις DNS ανακατευθύνοντας αιτήματα σε διακομιστές τρίτων που ανταποκρίνονται σε αιτήματα DoH, γεγονός που παρακάμπτει οποιαδήποτε παρακολούθηση, δηλαδή καταστρέφει την ικανότητα έλεγχος της κυκλοφορίας DNS. Στην ιδανική περίπτωση, θα πρέπει να ελέγχετε το DoH χρησιμοποιώντας λειτουργίες αποκρυπτογράφησης HTTPS. 

И Η Google και η Mozilla έχουν εφαρμόσει δυνατότητες DoH στην πιο πρόσφατη έκδοση των προγραμμάτων περιήγησής τους, και οι δύο εταιρείες εργάζονται για να χρησιμοποιούν DoH από προεπιλογή για όλα τα αιτήματα DNS. Η Microsoft αναπτύσσει επίσης σχέδια σχετικά με την ενσωμάτωση του DoH στα λειτουργικά τους συστήματα. Το μειονέκτημα είναι ότι όχι μόνο αξιόπιστες εταιρείες λογισμικού, αλλά και οι εισβολείς έχουν αρχίσει να χρησιμοποιούν το DoH ως μέσο παράκαμψης των παραδοσιακών εταιρικών μέτρων τείχους προστασίας. (Για παράδειγμα, ανατρέξτε στα ακόλουθα άρθρα: Το PsiXBot χρησιμοποιεί πλέον το Google DoH , Το PsiXBot συνεχίζει να εξελίσσεται με ενημερωμένη υποδομή DNS и Ανάλυση κερκόπορτας Godlua .) Σε κάθε περίπτωση, τόσο η καλή όσο και η κακόβουλη επισκεψιμότητα DoH θα μείνει απαρατήρητη, αφήνοντας τον οργανισμό τυφλό στην κακόβουλη χρήση του DoH ως αγωγού για τον έλεγχο κακόβουλου λογισμικού (C2) και την κλοπή ευαίσθητων δεδομένων.

Εξασφάλιση ορατότητας και ελέγχου της κυκλοφορίας DoH

Ως η καλύτερη λύση για τον έλεγχο DoH, συνιστούμε τη διαμόρφωση του NGFW για την αποκρυπτογράφηση της κυκλοφορίας HTTPS και τον αποκλεισμό της κυκλοφορίας DoH (όνομα εφαρμογής: dns-over-https). 

Πρώτα, βεβαιωθείτε ότι το NGFW έχει ρυθμιστεί για αποκρυπτογράφηση HTTPS, σύμφωνα με ένας οδηγός για τις καλύτερες τεχνικές αποκρυπτογράφησης.

Δεύτερον, δημιουργήστε έναν κανόνα για την κυκλοφορία εφαρμογών "dns-over-https" όπως φαίνεται παρακάτω:

Ελαχιστοποίηση των κινδύνων από τη χρήση DNS-over-TLS (DoT) και DNS-over-HTTPS (DoH)Κανόνας NGFW δικτύων Palo Alto για αποκλεισμό DNS-over-HTTPS

Ως ενδιάμεση εναλλακτική λύση (εάν ο οργανισμός σας δεν έχει εφαρμόσει πλήρως την αποκρυπτογράφηση HTTPS), το NGFW μπορεί να ρυθμιστεί ώστε να εφαρμόζει μια ενέργεια "άρνησης" στο αναγνωριστικό εφαρμογής "dns-over-https", αλλά το αποτέλεσμα θα περιοριστεί στον αποκλεισμό ορισμένων καλών γνωστοί διακομιστές DoH με το όνομα τομέα τους, επομένως πώς χωρίς αποκρυπτογράφηση HTTPS, η κυκλοφορία DoH δεν μπορεί να επιθεωρηθεί πλήρως (βλ.  Applipedia από την Palo Alto Networks   και αναζητήστε "dns-over-https").

DNS μέσω TLS (DoT)

Ελαχιστοποίηση των κινδύνων από τη χρήση DNS-over-TLS (DoT) και DNS-over-HTTPS (DoH)DNS μέσα στο TLS

Ενώ το πρωτόκολλο DoH τείνει να αναμιγνύεται με άλλη κίνηση στην ίδια θύρα, το DoT χρησιμοποιεί από προεπιλογή μια ειδική θύρα που έχει δεσμευτεί για αυτόν τον μοναδικό σκοπό, ακόμη και συγκεκριμένα απαγορεύοντας την χρήση της ίδιας θύρας από την παραδοσιακή μη κρυπτογραφημένη κίνηση DNS ( RFC 7858, Ενότητα 3.1 ).

Το πρωτόκολλο DoT χρησιμοποιεί TLS για να παρέχει κρυπτογράφηση που ενσωματώνει τυπικά ερωτήματα πρωτοκόλλου DNS, με κίνηση χρησιμοποιώντας τη γνωστή θύρα 853 ( RFC 7858 ενότητα 6 ). Το πρωτόκολλο DoT σχεδιάστηκε για να διευκολύνει τους οργανισμούς να αποκλείουν την κυκλοφορία σε μια θύρα ή να αποδέχονται την κίνηση αλλά να επιτρέπουν την αποκρυπτογράφηση σε αυτήν τη θύρα.

Κίνδυνοι που σχετίζονται με το DoT

Η Google έχει εφαρμόσει DoT στον πελάτη της Android 9 Pie και μεταγενέστερη έκδοση , με την προεπιλεγμένη ρύθμιση για αυτόματη χρήση DoT εάν είναι διαθέσιμη. Εάν έχετε αξιολογήσει τους κινδύνους και είστε έτοιμοι να χρησιμοποιήσετε το DoT σε οργανωτικό επίπεδο, τότε θα πρέπει οι διαχειριστές του δικτύου να επιτρέπουν ρητά την εξερχόμενη κυκλοφορία στη θύρα 853 μέσω της περιμέτρου τους για αυτό το νέο πρωτόκολλο.

Διασφάλιση ορατότητας και ελέγχου της κυκλοφορίας DoT

Ως βέλτιστη πρακτική για τον έλεγχο DoT, προτείνουμε οποιοδήποτε από τα παραπάνω, με βάση τις απαιτήσεις του οργανισμού σας:

  • Διαμορφώστε το NGFW ώστε να αποκρυπτογραφεί όλη την κίνηση για τη θύρα προορισμού 853. Με την αποκρυπτογράφηση της κυκλοφορίας, το DoT θα εμφανίζεται ως εφαρμογή DNS στην οποία μπορείτε να εφαρμόσετε οποιαδήποτε ενέργεια, όπως ενεργοποίηση συνδρομής Palo Alto Networks DNS Security για τον έλεγχο των τομέων DGA ή ενός υπάρχοντος DNS Sinkholing και anti-spyware.

  • Μια εναλλακτική λύση είναι να αποκλείσετε πλήρως την κίνηση "dns-over-tls" στη θύρα 853 από τη μηχανή App-ID. Αυτό συνήθως αποκλείεται από προεπιλογή, δεν απαιτείται καμία ενέργεια (εκτός εάν επιτρέψετε συγκεκριμένα την κυκλοφορία "dns-over-tls" της εφαρμογής ή της θύρας 853).

Πηγή: www.habr.com

Προσθέστε ένα σχόλιο