ProHoster > وبلاگ > اداره > به حداقل رساندن خطرات استفاده از DNS-over-TLS (DoT) و DNS-over-HTTPS (DoH)
به حداقل رساندن خطرات استفاده از DNS-over-TLS (DoT) و DNS-over-HTTPS (DoH)
به حداقل رساندن خطرات استفاده از DoH و DoT
حفاظت از DoH و DoT
آیا شما ترافیک DNS خود را کنترل می کنید؟ سازمان ها زمان، پول و تلاش زیادی را برای ایمن سازی شبکه های خود سرمایه گذاری می کنند. با این حال، یکی از حوزههایی که اغلب مورد توجه کافی قرار نمیگیرد، DNS است.
یک نمای کلی خوب از خطراتی که DNS به همراه دارد ارائه Verisign در کنفرانس امنیت اطلاعات
31 درصد از کلاسهای باجافزار مورد بررسی از DNS برای تبادل کلید استفاده کردند. یافتههای مطالعه
31 درصد از کلاس های باج افزار مورد بررسی از DNS برای تبادل کلید استفاده می کردند.
مشکل جدی است. طبق آزمایشگاه تحقیقاتی Palo Alto Networks Unit 42، تقریباً 85 درصد بدافزارها از DNS برای ایجاد یک کانال فرمان و کنترل استفاده میکنند که به مهاجمان اجازه میدهد به راحتی بدافزار را به شبکه شما تزریق کنند و همچنین دادهها را سرقت کنند. از زمان پیدایش، ترافیک DNS تا حد زیادی رمزگذاری نشده بوده است و می توان آن را به راحتی توسط مکانیسم های امنیتی NGFW تجزیه و تحلیل کرد.
پروتکل های جدیدی برای DNS با هدف افزایش محرمانه بودن اتصالات DNS پدید آمده است. آنها به طور فعال توسط فروشندگان پیشرو مرورگر و سایر فروشندگان نرم افزار پشتیبانی می شوند. ترافیک DNS رمزگذاری شده به زودی در شبکه های شرکتی رشد خواهد کرد. ترافیک DNS رمزگذاری شده که به درستی توسط ابزار تجزیه و تحلیل و حل نمی شود، خطر امنیتی برای یک شرکت ایجاد می کند. به عنوان مثال، چنین تهدیدی cryptolockers است که از DNS برای تبادل کلیدهای رمزگذاری استفاده می کند. مهاجمان اکنون برای بازگرداندن دسترسی به داده های شما باج چند میلیون دلاری می خواهند. برای مثال گارمین 10 میلیون دلار پرداخت کرد.
هنگامی که NGFW ها به درستی پیکربندی شوند، می توانند استفاده از DNS-over-TLS (DoT) را رد یا محافظت کنند و می توانند برای رد استفاده از DNS-over-HTTPS (DoH) مورد استفاده قرار گیرند، و اجازه می دهد تمام ترافیک DNS در شبکه شما تجزیه و تحلیل شود.
DNS رمزگذاری شده چیست؟
DNS چیست؟
سیستم نام دامنه (DNS) نام دامنه های قابل خواندن توسط انسان (به عنوان مثال، آدرس) را حل می کند www.paloaltonetworks.com ) به آدرس های IP (به عنوان مثال، 34.107.151.202). هنگامی که کاربر یک نام دامنه را در یک مرورگر وب وارد می کند، مرورگر یک درخواست DNS را به سرور DNS ارسال می کند و آدرس IP مرتبط با آن نام دامنه را می خواهد. در پاسخ، سرور DNS آدرس IP مورد استفاده این مرورگر را برمی گرداند.
پرسشها و پاسخهای DNS در سراسر شبکه به صورت متنی ساده، بدون رمزگذاری ارسال میشوند و آن را در برابر جاسوسی یا تغییر پاسخ و هدایت مرورگر به سرورهای مخرب آسیبپذیر میکنند. رمزگذاری DNS ردیابی یا تغییر درخواست های DNS را در حین انتقال دشوار می کند. رمزگذاری درخواستها و پاسخهای DNS از شما در برابر حملات Man-in-the-Middle محافظت میکند و در عین حال عملکردی مشابه پروتکل سنتی متن ساده DNS (سیستم نام دامنه) دارد.
در چند سال گذشته، دو پروتکل رمزگذاری DNS معرفی شده است:
DNS-over-HTTPS (DoH)
DNS-over-TLS (DoT)
این پروتکلها یک چیز مشترک دارند: آنها عمداً درخواستهای DNS را از هرگونه رهگیری پنهان میکنند... و همچنین از نگهبانان امنیتی سازمان. پروتکل ها عمدتاً از TLS (امنیت لایه حمل و نقل) برای ایجاد یک اتصال رمزگذاری شده بین یک کلاینت که پرس و جو می کند و سروری که سؤالات DNS را از طریق پورتی که معمولاً برای ترافیک DNS استفاده نمی شود حل می کند، استفاده می کند.
محرمانه بودن پرس و جوهای DNS مزیت بزرگ این پروتکل ها است. با این حال، آنها مشکلاتی را برای نگهبانان امنیتی ایجاد می کنند که باید ترافیک شبکه را کنترل کنند و اتصالات مخرب را شناسایی و مسدود کنند. از آنجایی که پروتکل ها در پیاده سازی متفاوت هستند، روش های تجزیه و تحلیل بین DoH و DoT متفاوت خواهد بود.
DNS از طریق HTTPS (DoH)
DNS داخل HTTPS
وزارت بهداشت از پورت معروف 443 برای HTTPS استفاده میکند، که RFC به طور خاص بیان میکند که هدف آن «ترکیب ترافیک DoH با سایر ترافیک HTTPS در همان اتصال»، «تحلیل ترافیک DNS» و در نتیجه دور زدن کنترلهای شرکتی است. ( RFC 8484 DoH بخش 8.1 ). پروتکل DoH از رمزگذاری TLS و نحو درخواست ارائه شده توسط استانداردهای رایج HTTPS و HTTP/2 استفاده میکند و درخواستها و پاسخهای DNS را به درخواستهای استاندارد HTTP اضافه میکند.
خطرات مرتبط با وزارت بهداشت
اگر نمیتوانید ترافیک معمولی HTTPS را از درخواستهای DoH تشخیص دهید، برنامههای کاربردی در سازمان شما میتوانند (و میتوانند) تنظیمات DNS محلی را با هدایت درخواستها به سرورهای شخص ثالثی که به درخواستهای DoH پاسخ میدهند دور بزنند، که هر نظارتی را دور میزند، یعنی توانایی را از بین میبرد. ترافیک DNS را کنترل کنید. در حالت ایده آل، باید DoH را با استفاده از توابع رمزگشایی HTTPS کنترل کنید.
به عنوان بهترین راه حل برای کنترل DoH، توصیه می کنیم NGFW را برای رمزگشایی ترافیک HTTPS و مسدود کردن ترافیک DoH پیکربندی کنید (نام برنامه: dns-over-https).
دوم، طبق شکل زیر یک قانون برای ترافیک برنامه "dns-over-https" ایجاد کنید:
قانون NGFW شبکه های Palo Alto برای مسدود کردن DNS-over-HTTPS
به عنوان یک جایگزین موقت (اگر سازمان شما رمزگشایی HTTPS را به طور کامل پیاده سازی نکرده باشد)، NGFW را می توان به گونه ای پیکربندی کرد که یک عمل "رد" را در شناسه برنامه "dns-over-https" اعمال کند، اما این اثر محدود به مسدود کردن برخی چاه ها خواهد بود. سرورهای DoH را با نام دامنه خود می شناسیم، بنابراین چگونه بدون رمزگشایی HTTPS، ترافیک DoH نمی تواند به طور کامل بازرسی شود (نگاه کنید به اپلیکیشن از شبکه های پالو آلتو و "dns-over-https" را جستجو کنید).
DNS از طریق TLS (DoT)
DNS داخل TLS
در حالی که پروتکل DoH تمایل دارد با سایر ترافیکهای موجود در همان پورت ترکیب شود، DoT در عوض به طور پیشفرض از یک پورت ویژه استفاده میکند که تنها برای آن هدف رزرو شده است، حتی به طور خاص اجازه نمیدهد که همان پورت توسط ترافیک DNS رمزگذاری نشده سنتی استفاده شود. RFC 7858، بخش 3.1 ).
پروتکل DoT از TLS برای ارائه رمزگذاری استفاده می کند که پرس و جوهای پروتکل DNS استاندارد را با ترافیک با استفاده از پورت معروف 853 محصور می کند. بخش 7858 RFC 6 ). پروتکل DoT به گونهای طراحی شده است که سازمانها را آسانتر کند تا ترافیک یک پورت را مسدود کند، یا ترافیک را بپذیرد اما رمزگشایی را در آن پورت فعال کند.
خطرات مرتبط با DoT
گوگل DoT را در کلاینت خود پیاده سازی کرده است اندروید 9 پای و جدیدتر ، با تنظیم پیش فرض برای استفاده خودکار از DoT در صورت وجود. اگر خطرات را ارزیابی کرده اید و آماده استفاده از DoT در سطح سازمانی هستید، پس باید مدیران شبکه را به طور صریح به ترافیک خروجی در پورت 853 از طریق محیط خود برای این پروتکل جدید اجازه دهید.
اطمینان از دید و کنترل ترافیک DoT
به عنوان بهترین روش برای کنترل DoT، ما هر یک از موارد فوق را بر اساس الزامات سازمان شما توصیه می کنیم:
NGFW را برای رمزگشایی تمام ترافیک برای پورت مقصد 853 پیکربندی کنید. با رمزگشایی ترافیک، DoT به عنوان یک برنامه DNS ظاهر می شود که می توانید هر اقدامی مانند فعال کردن اشتراک را برای آن اعمال کنید. امنیت DNS شبکه های Palo Alto برای کنترل دامنه های DGA یا یک موجود DNS Sinkholing و ضد جاسوس افزار
یک جایگزین این است که موتور App-ID به طور کامل ترافیک "dns-over-tls" در پورت 853 را مسدود کند. این معمولاً به طور پیش فرض مسدود می شود، هیچ اقدامی لازم نیست (مگر اینکه به طور خاص به برنامه "dns-over-tls" یا ترافیک پورت اجازه دهید. 853).