Minimizar los riesgos del uso de DoH y DoT
Protección DoH y DoT
¿Controlas tu tráfico DNS? Las organizaciones invierten mucho tiempo, dinero y esfuerzo en proteger sus redes. Sin embargo, un área que a menudo no recibe suficiente atención es el DNS.
Una buena descripción general de los riesgos que conlleva el DNS es en la conferencia de Infoseguridad.
El 31% de las clases de ransomware encuestadas utilizaron DNS para el intercambio de claves.
El 31% de las clases de ransomware encuestadas utilizaban DNS para el intercambio de claves.
El problema es grave. Según el laboratorio de investigación Unidad 42 de Palo Alto Networks, aproximadamente el 85 % del malware utiliza DNS para establecer un canal de comando y control, lo que permite a los atacantes inyectar fácilmente malware en su red, así como robar datos. Desde sus inicios, el tráfico DNS ha estado en gran medida sin cifrar y puede analizarse fácilmente mediante mecanismos de seguridad NGFW.
Han surgido nuevos protocolos para DNS destinados a aumentar la confidencialidad de las conexiones DNS. Cuentan con el apoyo activo de los principales proveedores de navegadores y otros proveedores de software. El tráfico DNS cifrado pronto comenzará a crecer en las redes corporativas. El tráfico DNS cifrado que no se analiza y resuelve adecuadamente mediante herramientas representa un riesgo de seguridad para una empresa. Por ejemplo, una de estas amenazas son los criptolockers que utilizan DNS para intercambiar claves de cifrado. Los atacantes exigen ahora un rescate de varios millones de dólares para restablecer el acceso a sus datos. Garmin, por ejemplo, pagó 10 millones de dólares.
Cuando se configuran correctamente, los NGFW pueden denegar o proteger el uso de DNS sobre TLS (DoT) y pueden usarse para denegar el uso de DNS sobre HTTPS (DoH), lo que permite analizar todo el tráfico DNS en su red.
¿Qué es el DNS cifrado?
¿Qué es DNS?
El Sistema de nombres de dominio (DNS) resuelve nombres de dominio legibles por humanos (por ejemplo, dirección ) a direcciones IP (por ejemplo, 34.107.151.202). Cuando un usuario ingresa un nombre de dominio en un navegador web, el navegador envía una consulta DNS al servidor DNS, solicitando la dirección IP asociada con ese nombre de dominio. En respuesta, el servidor DNS devuelve la dirección IP que utilizará este navegador.
Las consultas y respuestas de DNS se envían a través de la red en texto plano, sin cifrar, lo que la hace vulnerable al espionaje o al cambio de respuesta y a la redirección del navegador a servidores maliciosos. El cifrado DNS dificulta el seguimiento o cambio de las solicitudes DNS durante la transmisión. El cifrado de solicitudes y respuestas de DNS lo protege de ataques de intermediario mientras realiza la misma funcionalidad que el protocolo tradicional DNS (Sistema de nombres de dominio) de texto sin formato.
En los últimos años, se han introducido dos protocolos de cifrado DNS:
-
DNS sobre HTTPS (DoH)
-
DNS sobre TLS (DoT)
Estos protocolos tienen una cosa en común: ocultan deliberadamente las solicitudes DNS de cualquier interceptación... y también de los guardias de seguridad de la organización. Los protocolos utilizan principalmente TLS (Transport Layer Security) para establecer una conexión cifrada entre un cliente que realiza consultas y un servidor que resuelve consultas DNS a través de un puerto que normalmente no se utiliza para el tráfico DNS.
La confidencialidad de las consultas DNS es una gran ventaja de estos protocolos. Sin embargo, plantean problemas a los guardias de seguridad que deben monitorear el tráfico de la red y detectar y bloquear conexiones maliciosas. Debido a que los protocolos difieren en su implementación, los métodos de análisis diferirán entre DoH y DoT.
DNS sobre HTTPS (DoH)
DNS dentro de HTTPS
DoH utiliza el conocido puerto 443 para HTTPS, para el cual el RFC establece específicamente que la intención es "mezclar el tráfico DoH con otro tráfico HTTPS en la misma conexión", "dificultar el análisis del tráfico DNS" y así eludir los controles corporativos. ( ). El protocolo DoH utiliza cifrado TLS y la sintaxis de solicitud proporcionada por los estándares HTTPS y HTTP/2 comunes, agregando solicitudes y respuestas DNS además de las solicitudes HTTP estándar.
Riesgos asociados con DoH
Si no puede distinguir el tráfico HTTPS normal de las solicitudes DoH, entonces las aplicaciones dentro de su organización pueden (y lo harán) eludir la configuración DNS local al redirigir las solicitudes a servidores de terceros que responden a las solicitudes DoH, lo que evita cualquier monitoreo, es decir, destruye la capacidad de controlar el tráfico DNS. Lo ideal sería controlar DoH mediante funciones de descifrado HTTPS.
И en la última versión de sus navegadores, y ambas empresas están trabajando para utilizar DoH de forma predeterminada para todas las solicitudes de DNS. sobre la integración de DoH en sus sistemas operativos. La desventaja es que no sólo las empresas de software de buena reputación, sino también los atacantes han comenzado a utilizar DoH como medio para eludir las tradicionales medidas de firewall corporativas. (Por ejemplo, revise los siguientes artículos: , и .) En cualquier caso, tanto el tráfico DoH bueno como el malicioso pasarán desapercibidos, lo que dejará a la organización ciega al uso malicioso de DoH como conducto para controlar el malware (C2) y robar datos confidenciales.
Garantizar la visibilidad y el control del tráfico del DoH
Como mejor solución para el control de DoH, recomendamos configurar NGFW para descifrar el tráfico HTTPS y bloquear el tráfico DoH (nombre de la aplicación: dns-over-https).
Primero, asegúrese de que NGFW esté configurado para descifrar HTTPS, de acuerdo con .
En segundo lugar, cree una regla para el tráfico de aplicaciones "dns-over-https" como se muestra a continuación:
Regla NGFW de Palo Alto Networks para bloquear DNS sobre HTTPS
Como alternativa provisional (si su organización no ha implementado completamente el descifrado HTTPS), se puede configurar NGFW para aplicar una acción de "denegar" al ID de la aplicación "dns-over-https", pero el efecto se limitará a bloquear ciertas servidores DoH conocidos por su nombre de dominio, entonces, ¿cómo sin el descifrado HTTPS, el tráfico DoH no se puede inspeccionar completamente (consulte y busque "dns-over-https").
DNS sobre TLS (DoT)
DNS dentro de TLS
Si bien el protocolo DoH tiende a mezclarse con otro tráfico en el mismo puerto, DoT utiliza de forma predeterminada un puerto especial reservado para ese único propósito, e incluso prohíbe específicamente que el mismo puerto sea utilizado por el tráfico DNS tradicional no cifrado ( ).
El protocolo DoT utiliza TLS para proporcionar cifrado que encapsula las consultas del protocolo DNS estándar, y el tráfico utiliza el conocido puerto 853 ( ). El protocolo DoT fue diseñado para facilitar a las organizaciones bloquear el tráfico en un puerto o aceptar tráfico pero habilitar el descifrado en ese puerto.
Riesgos asociados con DoT
Google ha implementado DoT en su cliente , con la configuración predeterminada para usar DoT automáticamente si está disponible. Si ha evaluado los riesgos y está listo para usar DoT a nivel organizacional, entonces necesita que los administradores de red permitan explícitamente el tráfico saliente en el puerto 853 a través de su perímetro para este nuevo protocolo.
Garantizar la visibilidad y el control del tráfico DoT
Como práctica recomendada para el control DoT, recomendamos cualquiera de las opciones anteriores, según los requisitos de su organización:
-
Configure NGFW para descifrar todo el tráfico para el puerto de destino 853. Al descifrar el tráfico, DoT aparecerá como una aplicación DNS a la que puede aplicar cualquier acción, como habilitar la suscripción. para controlar dominios DGA o uno existente y antispyware.
-
Una alternativa es hacer que el motor App-ID bloquee completamente el tráfico 'dns-over-tls' en el puerto 853. Esto generalmente está bloqueado de forma predeterminada, no se requiere ninguna acción (a menos que permita específicamente el tráfico de aplicaciones o puertos 'dns-over-tls'). 853).
Fuente: habr.com