ProHoster > وبلاگ > اداره > به حداقل رساندن خطرات استفاده از DNS-over-TLS (DoT) و DNS-over-HTTPS (DoH)

به حداقل رساندن خطرات استفاده از DNS-over-TLS (DoT) و DNS-over-HTTPS (DoH)

به حداقل رساندن خطرات استفاده از DNS-over-TLS (DoT) و DNS-over-HTTPS (DoH)به حداقل رساندن خطرات استفاده از DoH و DoT

حفاظت از DoH و DoT

آیا شما ترافیک DNS خود را کنترل می کنید؟ سازمان ها زمان، پول و تلاش زیادی را برای ایمن سازی شبکه های خود سرمایه گذاری می کنند. با این حال، یکی از حوزه‌هایی که اغلب مورد توجه کافی قرار نمی‌گیرد، DNS است.

یک نمای کلی خوب از خطراتی که DNS به همراه دارد ارائه Verisign در کنفرانس امنیت اطلاعات

به حداقل رساندن خطرات استفاده از DNS-over-TLS (DoT) و DNS-over-HTTPS (DoH)31 درصد از کلاس‌های باج‌افزار مورد بررسی از DNS برای تبادل کلید استفاده کردند. یافته‌های مطالعه

31 درصد از کلاس های باج افزار مورد بررسی از DNS برای تبادل کلید استفاده می کردند.

مشکل جدی است. طبق آزمایشگاه تحقیقاتی Palo Alto Networks Unit 42، تقریباً 85 درصد بدافزارها از DNS برای ایجاد یک کانال فرمان و کنترل استفاده می‌کنند که به مهاجمان اجازه می‌دهد به راحتی بدافزار را به شبکه شما تزریق کنند و همچنین داده‌ها را سرقت کنند. از زمان پیدایش، ترافیک DNS تا حد زیادی رمزگذاری نشده بوده است و می توان آن را به راحتی توسط مکانیسم های امنیتی NGFW تجزیه و تحلیل کرد. 

پروتکل های جدیدی برای DNS با هدف افزایش محرمانه بودن اتصالات DNS پدید آمده است. آنها به طور فعال توسط فروشندگان پیشرو مرورگر و سایر فروشندگان نرم افزار پشتیبانی می شوند. ترافیک DNS رمزگذاری شده به زودی در شبکه های شرکتی رشد خواهد کرد. ترافیک DNS رمزگذاری شده که به درستی توسط ابزار تجزیه و تحلیل و حل نمی شود، خطر امنیتی برای یک شرکت ایجاد می کند. به عنوان مثال، چنین تهدیدی cryptolockers است که از DNS برای تبادل کلیدهای رمزگذاری استفاده می کند. مهاجمان اکنون برای بازگرداندن دسترسی به داده های شما باج چند میلیون دلاری می خواهند. برای مثال گارمین 10 میلیون دلار پرداخت کرد.

هنگامی که NGFW ها به درستی پیکربندی شوند، می توانند استفاده از DNS-over-TLS (DoT) را رد یا محافظت کنند و می توانند برای رد استفاده از DNS-over-HTTPS (DoH) مورد استفاده قرار گیرند، و اجازه می دهد تمام ترافیک DNS در شبکه شما تجزیه و تحلیل شود.

DNS رمزگذاری شده چیست؟

DNS چیست؟

سیستم نام دامنه (DNS) نام دامنه های قابل خواندن توسط انسان (به عنوان مثال، آدرس) را حل می کند www.paloaltonetworks.com ) به آدرس های IP (به عنوان مثال، 34.107.151.202). هنگامی که کاربر یک نام دامنه را در یک مرورگر وب وارد می کند، مرورگر یک درخواست DNS را به سرور DNS ارسال می کند و آدرس IP مرتبط با آن نام دامنه را می خواهد. در پاسخ، سرور DNS آدرس IP مورد استفاده این مرورگر را برمی گرداند.

پرسش‌ها و پاسخ‌های DNS در سراسر شبکه به صورت متنی ساده، بدون رمزگذاری ارسال می‌شوند و آن را در برابر جاسوسی یا تغییر پاسخ و هدایت مرورگر به سرورهای مخرب آسیب‌پذیر می‌کنند. رمزگذاری DNS ردیابی یا تغییر درخواست های DNS را در حین انتقال دشوار می کند. رمزگذاری درخواست‌ها و پاسخ‌های DNS از شما در برابر حملات Man-in-the-Middle محافظت می‌کند و در عین حال عملکردی مشابه پروتکل سنتی متن ساده DNS (سیستم نام دامنه) دارد. 

در چند سال گذشته، دو پروتکل رمزگذاری DNS معرفی شده است:

  1. DNS-over-HTTPS (DoH)

  2. DNS-over-TLS (DoT)

این پروتکل‌ها یک چیز مشترک دارند: آنها عمداً درخواست‌های DNS را از هرگونه رهگیری پنهان می‌کنند... و همچنین از نگهبانان امنیتی سازمان. پروتکل ها عمدتاً از TLS (امنیت لایه حمل و نقل) برای ایجاد یک اتصال رمزگذاری شده بین یک کلاینت که پرس و جو می کند و سروری که سؤالات DNS را از طریق پورتی که معمولاً برای ترافیک DNS استفاده نمی شود حل می کند، استفاده می کند.

محرمانه بودن پرس و جوهای DNS مزیت بزرگ این پروتکل ها است. با این حال، آنها مشکلاتی را برای نگهبانان امنیتی ایجاد می کنند که باید ترافیک شبکه را کنترل کنند و اتصالات مخرب را شناسایی و مسدود کنند. از آنجایی که پروتکل ها در پیاده سازی متفاوت هستند، روش های تجزیه و تحلیل بین DoH و DoT متفاوت خواهد بود.

DNS از طریق HTTPS (DoH)

به حداقل رساندن خطرات استفاده از DNS-over-TLS (DoT) و DNS-over-HTTPS (DoH)DNS داخل HTTPS

وزارت بهداشت از پورت معروف 443 برای HTTPS استفاده می‌کند، که RFC به طور خاص بیان می‌کند که هدف آن «ترکیب ترافیک DoH با سایر ترافیک HTTPS در همان اتصال»، «تحلیل ترافیک DNS» و در نتیجه دور زدن کنترل‌های شرکتی است. ( RFC 8484 DoH بخش 8.1 ). پروتکل DoH از رمزگذاری TLS و نحو درخواست ارائه شده توسط استانداردهای رایج HTTPS و HTTP/2 استفاده می‌کند و درخواست‌ها و پاسخ‌های DNS را به درخواست‌های استاندارد HTTP اضافه می‌کند.

خطرات مرتبط با وزارت بهداشت

اگر نمی‌توانید ترافیک معمولی HTTPS را از درخواست‌های DoH تشخیص دهید، برنامه‌های کاربردی در سازمان شما می‌توانند (و می‌توانند) تنظیمات DNS محلی را با هدایت درخواست‌ها به سرورهای شخص ثالثی که به درخواست‌های DoH پاسخ می‌دهند دور بزنند، که هر نظارتی را دور می‌زند، یعنی توانایی را از بین می‌برد. ترافیک DNS را کنترل کنید. در حالت ایده آل، باید DoH را با استفاده از توابع رمزگشایی HTTPS کنترل کنید. 

И گوگل و موزیلا قابلیت های DoH را پیاده سازی کرده اند در آخرین نسخه مرورگرهای خود، و هر دو شرکت در حال کار بر روی استفاده از DoH به طور پیش فرض برای تمام درخواست های DNS هستند. مایکروسافت نیز در حال توسعه برنامه هایی است در مورد ادغام DoH در سیستم عامل های خود. نکته منفی این است که نه تنها شرکت های نرم افزاری معتبر، بلکه مهاجمان نیز شروع به استفاده از DoH به عنوان وسیله ای برای دور زدن اقدامات سنتی فایروال شرکت ها کرده اند. (مثلاً مقالات زیر را مرور کنید: PsiXBot اکنون از Google DoH استفاده می کند , PsiXBot با زیرساخت DNS به روز شده به تکامل خود ادامه می دهد и تحلیل درپشتی گودلوا .) در هر صورت، ترافیک DoH خوب و مخرب شناسایی نمی شود و سازمان را نسبت به استفاده مخرب DoH به عنوان مجرای برای کنترل بدافزار (C2) و سرقت داده های حساس کور می کند.

اطمینان از دید و کنترل ترافیک وزارت بهداشت

به عنوان بهترین راه حل برای کنترل DoH، توصیه می کنیم NGFW را برای رمزگشایی ترافیک HTTPS و مسدود کردن ترافیک DoH پیکربندی کنید (نام برنامه: dns-over-https). 

ابتدا مطمئن شوید که NGFW برای رمزگشایی HTTPS پیکربندی شده است راهنمای بهترین تکنیک های رمزگشایی.

دوم، طبق شکل زیر یک قانون برای ترافیک برنامه "dns-over-https" ایجاد کنید:

به حداقل رساندن خطرات استفاده از DNS-over-TLS (DoT) و DNS-over-HTTPS (DoH)قانون NGFW شبکه های Palo Alto برای مسدود کردن DNS-over-HTTPS

به عنوان یک جایگزین موقت (اگر سازمان شما رمزگشایی HTTPS را به طور کامل پیاده سازی نکرده باشد)، NGFW را می توان به گونه ای پیکربندی کرد که یک عمل "رد" را در شناسه برنامه "dns-over-https" اعمال کند، اما این اثر محدود به مسدود کردن برخی چاه ها خواهد بود. سرورهای DoH را با نام دامنه خود می شناسیم، بنابراین چگونه بدون رمزگشایی HTTPS، ترافیک DoH نمی تواند به طور کامل بازرسی شود (نگاه کنید به  اپلیکیشن از شبکه های پالو آلتو   و "dns-over-https" را جستجو کنید).

DNS از طریق TLS (DoT)

به حداقل رساندن خطرات استفاده از DNS-over-TLS (DoT) و DNS-over-HTTPS (DoH)DNS داخل TLS

در حالی که پروتکل DoH تمایل دارد با سایر ترافیک‌های موجود در همان پورت ترکیب شود، DoT در عوض به طور پیش‌فرض از یک پورت ویژه استفاده می‌کند که تنها برای آن هدف رزرو شده است، حتی به طور خاص اجازه نمی‌دهد که همان پورت توسط ترافیک DNS رمزگذاری نشده سنتی استفاده شود. RFC 7858، بخش 3.1 ).

پروتکل DoT از TLS برای ارائه رمزگذاری استفاده می کند که پرس و جوهای پروتکل DNS استاندارد را با ترافیک با استفاده از پورت معروف 853 محصور می کند. بخش 7858 RFC 6 ). پروتکل DoT به گونه‌ای طراحی شده است که سازمان‌ها را آسان‌تر کند تا ترافیک یک پورت را مسدود کند، یا ترافیک را بپذیرد اما رمزگشایی را در آن پورت فعال کند.

خطرات مرتبط با DoT

گوگل DoT را در کلاینت خود پیاده سازی کرده است اندروید 9 پای و جدیدتر ، با تنظیم پیش فرض برای استفاده خودکار از DoT در صورت وجود. اگر خطرات را ارزیابی کرده اید و آماده استفاده از DoT در سطح سازمانی هستید، پس باید مدیران شبکه را به طور صریح به ترافیک خروجی در پورت 853 از طریق محیط خود برای این پروتکل جدید اجازه دهید.

اطمینان از دید و کنترل ترافیک DoT

به عنوان بهترین روش برای کنترل DoT، ما هر یک از موارد فوق را بر اساس الزامات سازمان شما توصیه می کنیم:

  • NGFW را برای رمزگشایی تمام ترافیک برای پورت مقصد 853 پیکربندی کنید. با رمزگشایی ترافیک، DoT به عنوان یک برنامه DNS ظاهر می شود که می توانید هر اقدامی مانند فعال کردن اشتراک را برای آن اعمال کنید. امنیت DNS شبکه های Palo Alto برای کنترل دامنه های DGA یا یک موجود DNS Sinkholing و ضد جاسوس افزار

  • یک جایگزین این است که موتور App-ID به طور کامل ترافیک "dns-over-tls" در پورت 853 را مسدود کند. این معمولاً به طور پیش فرض مسدود می شود، هیچ اقدامی لازم نیست (مگر اینکه به طور خاص به برنامه "dns-over-tls" یا ترافیک پورت اجازه دهید. 853).

منبع: www.habr.com

اضافه کردن نظر