DoH eta DoT erabiltzearen arriskuak gutxitzea
DoH eta DoT babesa
Zure DNS trafikoa kontrolatzen al duzu? Erakundeek denbora, diru eta ahalegin asko inbertitzen dituzte sareak ziurtatzeko. Hala ere, askotan arreta nahikoa jasotzen ez duen arlo bat DNS da.
DNS-k ekartzen dituen arriskuen ikuspegi orokor ona da Infosegurtasun jardunaldian.
Inkestatutako ransomware klaseen % 31k DNS erabili zuen gakoak trukatzeko. Azterketaren aurkikuntzak
Inkestatutako ransomware klaseen % 31k DNS erabili zuen gakoen trukerako.
Arazoa larria da. Palo Alto Networks Unit 42 ikerketa-laborategiaren arabera, malwarearen % 85ak DNS erabiltzen du komando eta kontrol kanal bat ezartzeko, erasotzaileek malwarea zure sarean erraz sartzeko eta datuak lapurtzeko aukera emanez. Sortu zenetik, DNS trafikoa zifratu gabe egon da eta NGFW segurtasun-mekanismoek erraz azter dezakete.
DNSrako protokolo berriak sortu dira, DNS konexioen konfidentzialtasuna areagotzeko helburuarekin. Nabigatzaileen saltzaile nagusiek eta beste software saltzaileek aktiboki onartzen dute. Enkriptatutako DNS trafikoa laster hasiko da sare korporatiboetan hazten. Tresnek behar bezala aztertu eta konpontzen ez den DNS trafiko enkriptatutakoak segurtasun arriskua dakar enpresa batentzat. Esaterako, mehatxu hori DNS erabiltzen duten kripto-blokeatzaileak dira enkriptazio-gakoak trukatzeko. Erasotzaileek hainbat milioi dolar erreskatea eskatzen dute orain zure datuetarako sarbidea berrezartzeko. Garminek, esaterako, 10 milioi dolar ordaindu zituen.
Behar bezala konfiguratuta, NGFWek DNS-over-TLS (DoT) erabilera ukatu edo babestu dezakete eta DNS-over-HTTPS (DoH) erabilera ukatzeko erabil daiteke, zure sareko DNS trafiko guztia aztertzeko aukera emanez.
Zer da enkriptatutako DNS?
Zer da DNS
Domeinu-izenen sistemak (DNS) gizakiek irakur daitezkeen domeinu-izenak ebazten ditu (adibidez, helbidea ) IP helbideetara (adibidez, 34.107.151.202). Erabiltzaile batek domeinu-izen bat web-arakatzaile batean sartzen duenean, arakatzaileak DNS kontsulta bat bidaltzen dio DNS zerbitzariari, domeinu-izen horri lotutako IP helbidea eskatuz. Horren aurrean, DNS zerbitzariak arakatzaile honek erabiliko duen IP helbidea itzultzen du.
DNS kontsultak eta erantzunak sarean zehar bidaltzen dira testu arruntean, zifratu gabe, espioitza edo erantzuna aldatzeko eta arakatzailea zerbitzari gaiztoetara birbideratzeko zaurgarria da. DNS enkriptatzeak zaildu egiten du transmisioan DNS eskaerak jarraitzea edo aldatzea. DNS eskaerak eta erantzunak enkriptatzeak Man-in-the-Middle-en erasoetatik babesten zaitu, testu arrunteko DNS (Domeinu-izenen Sistema) protokoloaren funtzionalitate bera betetzen duzun bitartean.
Azken urteotan, bi DNS enkriptatzeko protokolo sartu dira:
-
DNS-a HTTPS baino gehiago (DoH)
-
DNS-gaineko TLS (DoT)
Protokolo hauek gauza komun bat dute: nahita ezkutatzen dituzte DNS eskaerak edozein atzematetik... eta erakundeko segurtasun zaindariengandik ere bai. Protokoloek TLS (Transport Layer Security) erabiltzen dute batez ere, kontsultak egiten dituen bezero baten eta DNS trafikorako normalean erabiltzen ez den ataka baten bidez DNS kontsultak ebazten dituen zerbitzariaren arteko konexio enkriptatu bat ezartzeko.
DNS kontsulten konfidentzialtasuna protokolo hauen abantaila handia da. Hala ere, sareko trafikoa kontrolatu eta konexio gaiztoak detektatu eta blokeatu behar dituzten segurtasun zaindarientzat arazoak sortzen dituzte. Protokoloak ezarpenean desberdinak direnez, analisi metodoak desberdinak izango dira DoH eta DoT artean.
DNS HTTPS bidez (DoH)
DNS HTTPS barruan
DoH-k HTTPSrako 443 ataka ezaguna erabiltzen du, eta horretarako RFC-k zehazki esaten du asmoa "DoH trafikoa beste HTTPS trafiko batekin konexio berean nahastea" dela, "zaildu DNS trafikoa aztertzea" eta, horrela, enpresen kontrolak saihestea. ( ). DoH protokoloak TLS enkriptatzea eta HTTPS eta HTTP/2 estandar arruntek emandako eskaera sintaxia erabiltzen ditu, HTTP eskaera estandarrei DNS eskaerak eta erantzunak gehituz.
DoHrekin lotutako arriskuak
Ezin baduzu HTTPS trafiko arrunta DoH eskaerekin bereizten, orduan zure erakundeko aplikazioek tokiko DNS ezarpenak saihestu ditzakete (eta egingo dituzte) eskaerak DoH eskaerei erantzuten dieten hirugarrenen zerbitzarietara birbideratuz, eta horrek edozein monitorizazio saihesten du, hau da, gaitasuna suntsitzen du. kontrolatu DNS trafikoa. Egokiena, DoH kontrolatu beharko zenuke HTTPS deszifratze funtzioak erabiliz.
Π beren arakatzaileen azken bertsioan, eta bi enpresak lanean ari dira DoH lehenespenez erabiltzeko DNS eskaera guztietan. DoH sistema eragileetan integratzeari buruz. Alde negatiboa da software enpresek ez ezik, erasotzaileak ere DoH erabiltzen hasi direla korporazioen suebakien neurri tradizionalak saihesteko. (Adibidez, berrikusi artikulu hauek: , ΠΈ .) Edozein kasutan, DoH trafiko ona eta gaiztoa detektatu gabe geratuko da, eta erakundea itsu utziko du DoH malwarea kontrolatzeko (C2) eta datu sentikorrak lapurtzeko bide gisa erabiltzearen aurrean.
DoH trafikoaren ikusgarritasuna eta kontrola bermatzea
DoH kontrolatzeko irtenbide onena denez, NGFW konfiguratzea gomendatzen dugu HTTPS trafikoa deszifratzeko eta DoH trafikoa blokeatzeko (aplikazioaren izena: dns-over-https).
Lehenik eta behin, ziurtatu NGFW HTTPS deszifratzeko konfiguratuta dagoela, arabera .
Bigarrenik, sortu "dns-over-https" aplikazioen trafikorako arau bat behean erakusten den moduan:
Palo Alto Networks NGFW araua DNS gain-HTTPS blokeatzeko
Behin-behineko alternatiba gisa (zure erakundeak HTTPS deszifratzea guztiz inplementatu ez badu), NGFW "dns-over-https" aplikazio IDari "ukatu" ekintza bat aplikatzeko konfigura daiteke, baina ondorioa ondo blokeatzera mugatuko da. DoH zerbitzari ezagunak euren domeinu-izenaren arabera, beraz, nola HTTPS deszifratu gabe, DoH trafikoa ezin da guztiz ikuskatu (ikus eta bilatu "dns-over-https").
DNS TLS bidez (DoT)
DNS TLS barruan
DoH protokoloak ataka bereko beste trafiko batzuekin nahasteko joera duen arren, DoT-k helburu bakarrarekin gordetako ataka berezi bat erabiltzen du lehenetsita, nahiz eta zifratu gabeko DNS trafiko tradizionalak ataka bera erabiltzeari uko egiten dio. ).
DoT protokoloak TLS erabiltzen du DNS protokoloaren kontsulta estandarrak kapsulatzen dituen enkriptatzea eskaintzeko, trafikoa 853 ataka ezaguna erabiliz ( ). DoT protokoloa erakundeek portu bateko trafikoa blokeatzea errazteko diseinatu zen, edo trafikoa onartzea baina ataka horretan deszifratzea gaitzeko.
DoTrekin lotutako arriskuak
Google-k DoT ezarri du bere bezeroan , DoT erabilgarri badago automatikoki erabiltzeko ezarpen lehenetsiarekin. Arriskuak ebaluatu badituzu eta erakunde mailan DoT erabiltzeko prest bazaude, sareko administratzaileek esplizituki baimendu behar duzu 853 atakako irteerako trafikoa beren perimetroan protokolo berri honetarako.
DoT trafikoaren ikusgarritasuna eta kontrola bermatzea
DoT kontrolatzeko praktika onen gisa, goiko edozein gomendatzen dugu, zure erakundearen eskakizunetan oinarrituta:
-
Konfiguratu NGFW helmugako 853 atakarako trafiko guztia deszifratzeko. Trafikoa deszifratuz, DoT DNS aplikazio gisa agertuko da, zeinetan edozein ekintza aplika diezaiokezu, hala nola harpidetza gaitu. DGA domeinuak edo lehendik dagoen bat kontrolatzeko eta anti-spyware.
-
Alternatiba bat da App-ID motorrak 'dns-over-tls' trafikoa guztiz blokeatzea 853 atakan. Normalean blokeatu egiten da, ez da ekintzarik behar (bereziki onartzen ez baduzu 'dns-over-tls' aplikazioa edo ataka). trafikoa 853).
Iturria: www.habr.com