DoH ja DoT kasutamise riskide minimeerimine
DoH ja DoT kaitse
Kas kontrollite oma DNS-liiklust? Organisatsioonid investeerivad oma võrkude turvamisse palju aega, raha ja vaeva. Üks valdkond, millele sageli piisavalt tähelepanu ei pöörata, on aga DNS.
Hea ülevaade DNS-i kaasnevatest riskidest on infoturbe konverentsil.
31% küsitletud lunavaraklassidest kasutas võtmete vahetamiseks DNS-i. Uuringu tulemused
31% küsitletud lunavaraklassidest kasutas võtmete vahetamiseks DNS-i.
Probleem on tõsine. Palo Alto Networks Unit 42 uurimislabori andmetel kasutab ligikaudu 85% pahavarast käsu- ja juhtimiskanali loomiseks DNS-i, mis võimaldab ründajatel hõlpsalt teie võrku pahavara süstida ja andmeid varastada. Alates selle loomisest on DNS-liiklus olnud suures osas krüptimata ja seda saab hõlpsasti analüüsida NGFW turvamehhanismidega.
DNS-i ühenduste privaatsuse parandamiseks on tekkinud uued DNS-i protokollid. Juhtivad brauserimüüjad ja muud tarkvaramüüjad toetavad neid aktiivselt. Krüpteeritud DNS-liiklus hakkab peagi ettevõtete võrkudes kasvama. Krüpteeritud DNS-liiklus, mida pole korralikult sõelutud ja mida tööriistad lubavad, kujutab endast ettevõttele turvariski. Näiteks on selline oht krüptokapid, mis kasutavad DNS-i krüpteerimisvõtmete vahetamiseks. Ründajad nõuavad nüüd mitme miljoni dollari suurust lunaraha, et taastada juurdepääs teie andmetele. Garminile maksti näiteks 10 miljonit dollarit.
Kui NGFW on õigesti konfigureeritud, võivad nad keelata või kaitsta DNS-over-TLS (DoT) kasutamist ja neid saab kasutada DNS-over-HTTPS (DoH) kasutamise keelamiseks, võimaldades analüüsida kogu teie võrgu DNS-liiklust.
Mis on krüptitud DNS?
Mis on DNS
Domeeninimesüsteem (DNS) lahendab inimesele loetavad domeeninimed (näiteks aadressid). ) IP-aadressidele (näiteks 34.107.151.202). Kui kasutaja sisestab veebibrauserisse domeeninime, saadab brauser DNS-serverile DNS-päringu, küsides selle domeeninimega seotud IP-aadressi. Vastuseks saadab DNS-server IP-aadressi, mida see brauser kasutab.
DNS-i päringud ja vastused saadetakse võrgu kaudu krüptimata lihttekstina, muutes selle luuramiseks või vastuse muutmiseks haavatavaks ning suunates brauseri ümber pahatahtlikesse serveritesse. DNS-i krüptimine muudab DNS-i päringute jälgimise või muutmise transpordi ajal keeruliseks. DNS-i päringute ja vastuste krüpteerimine kaitseb teid Man-in-the-Middle rünnaku eest, täites samal ajal samu funktsioone, mis traditsioonilise lihtteksti DNS-i (domeeninimede süsteemi) protokolliga.
Viimastel aastatel on kasutusele võetud kaks DNS-i krüpteerimisprotokolli:
-
DNS-üle-HTTPS (DoH)
-
DNS-over-TLS (DoT)
Nendel protokollidel on üks ühine joon: nad varjavad tahtlikult DNS-i päringuid mis tahes pealtkuulamise eest ... ja ka organisatsiooni turvameeste eest. Protokollid kasutavad peamiselt TLS (Transport Layer Security) protokolli, et luua krüpteeritud ühendus päringuid tegeva kliendi ja DNS-päringuid lahendava serveri vahel pordi kaudu, mida tavaliselt DNS-liikluseks ei kasutata.
DNS-päringu privaatsus on nende protokollide suur pluss. Need tekitavad aga probleeme turvainimestele, kes peavad jälgima võrguliiklust ning tuvastama ja blokeerima pahatahtlikke ühendusi. Kuna protokollide rakendamine on erinev, on DoH ja DoT analüüsimeetodid erinevad.
DNS üle HTTPS (DoH)
DNS HTTPS-i sees
DoH kasutab HTTPS-i jaoks tuntud porti 443, mille kohta RFC ütleb konkreetselt, et eesmärk on "segada DoH-liiklust sama ühenduse HTTPS-i liiklusega", "muuta DNS-liikluse analüüsimine keeruliseks" ja seega vältida ettevõtte kontrolli. ( ). DoH-protokoll kasutab TLS-krüptimist ja tavapäraste HTTPS- ja HTTP/2-standardite pakutavat päringu süntaksit, lisades standardsetele HTTP-päringutele DNS-päringuid ja vastuseid.
DoH-ga seotud riskid
Kui te ei suuda tavalist HTTPS-liiklust DoH-päringutest eristada, saavad teie organisatsiooni rakendused (ja hakkavad) mööda minema kohalikest DNS-i sätetest, suunates päringud DoH-päringutele vastavatele kolmandate osapoolte serveritele, mis möödub igasugusest jälgimisest, st hävitab võimaluse DNS-liikluse juhtimine. Ideaalis peaksite DoH-i juhtima HTTPS-i dekrüpteerimisfunktsioonide abil.
И oma brauserite uusimas versioonis ja mõlemad ettevõtted töötavad selle nimel, et kasutada kõigi DNS-i päringute jaoks vaikimisi DoH-d. DoH integreerimisest nende operatsioonisüsteemidesse. Negatiivne külg on see, et mitte ainult mainekad tarkvaraettevõtted, vaid ka ründajad on hakanud DoH-d kasutama vahendina traditsioonilistest ettevõtte tulemüürimeetmetest mööda hiilimiseks. (Näiteks vaadake üle järgmised artiklid: , и .) Mõlemal juhul jääb nii hea kui ka pahatahtlik DoH-liiklus avastamata, jättes organisatsiooni pimedaks DoH-i pahatahtliku kasutamise suhtes pahavara (C2) kontrollimise ja tundlike andmete varastamise kanalina.
DoH liikluse nähtavuse ja kontrolli tagamine
Parima lahendusena DoH juhtimiseks soovitame konfigureerida NGFW HTTPS-i liikluse dekrüpteerimiseks ja DoH-liikluse blokeerimiseks (rakenduse nimi: dns-over-https).
Esiteks veenduge, et NGFW on konfigureeritud HTTPS-i dekrüpteerima vastavalt .
Teiseks looge rakenduse liikluse jaoks reegel "dns-over-https", nagu allpool näidatud:
Palo Alto Networksi NGFW reegel DNS-i blokeerimiseks HTTPS-i kaudu
Ajutise alternatiivina (kui teie organisatsioon pole HTTPS-i dekrüpteerimist täielikult rakendanud) saab NGFW-d konfigureerida rakendama rakenduse ID-le "dns-over-https" toimingu "keelamine", kuid see mõju piirdub teatud hästi tuntud DoH-servereid nende domeeninime järgi, nii et kuidas ilma HTTPS-i dekrüpteerimiseta ei saa DoH-liiklust täielikult kontrollida (vt ja otsige "dns-over-https").
DNS TLS-i kaudu (DoT)
DNS TLS-is
Kuigi DoH-protokoll kipub segunema sama pordi muu liiklusega, kasutab DoT vaikimisi selleks ainsaks otstarbeks reserveeritud spetsiaalset porti, isegi keelates sama pordi kasutamise traditsioonilisel krüptimata DNS-liiklusel ( ).
DoT-protokoll kasutab TLS-protokolli, et pakkuda krüptimist, mis kapseldab standardsed DNS-protokolli päringud liiklusega, kasutades tuntud porti 853 ( ). DoT-protokoll loodi selleks, et organisatsioonidel oleks lihtsam pordi liiklust blokeerida või nõustuda selle kasutamisega, kuid võimaldada selles pordis dekrüpteerimist.
DoT-ga seotud riskid
Google on DoT oma kliendis juurutanud , mille vaikeseade kasutab DoT-d automaatselt, kui see on saadaval. Kui olete riske hinnanud ja olete valmis DoT-d organisatsiooni tasandil kasutama, peavad võrguadministraatorid selle uue protokolli jaoks selgesõnaliselt lubama pordi 853 väljuvat liiklust läbi nende perimeetri.
DoT-liikluse nähtavuse ja kontrolli tagamine
DoT-juhtimise parima tavana soovitame teie organisatsiooni nõuetest lähtuvalt mõnda ülalnimetatust.
-
Seadistage NGFW dekrüpteerima kogu sihtpordi 853 liiklust. Liikluse dekrüpteerimisel kuvatakse DoT DNS-i rakendusena, millele saate rakendada mis tahes toiminguid, näiteks lubada tellimust DGA domeenide või olemasoleva juhtimiseks ja nuhkvaratõrje.
-
Alternatiiviks on lasta App-ID mootoril täielikult blokeerida 'dns-over-tls' liiklus pordis 853. Tavaliselt on see vaikimisi blokeeritud, midagi pole vaja (kui te just ei luba 'dns-over-tls' rakendust või pordiliiklust 853).
Allikas: www.habr.com