ProHoster > Blogi > antaminen > DNS-over-TLS:n (DoT) ja DNS-over-HTTPS:n (DoH) käytön riskien minimoiminen
DNS-over-TLS:n (DoT) ja DNS-over-HTTPS:n (DoH) käytön riskien minimoiminen
DoH:n ja DoT:n käytön riskien minimoiminen
DoH- ja DoT-suojaus
Hallitsetko DNS-liikennettäsi? Organisaatiot investoivat paljon aikaa, rahaa ja vaivaa verkkojensa turvaamiseen. Yksi alue, johon ei useinkaan kiinnitetä tarpeeksi huomiota, on DNS.
Hyvä yleiskuva DNS:n tuomista riskeistä on Verisign-esitys infoturvakonferenssissa.
31 % tutkituista kiristyshaittaohjelmista käytti DNS:ää avainten vaihtoon
31 % tutkituista kiristyshaittaohjelmista käytti DNS:ää avainten vaihtoon.
Ongelma on vakava. Palo Alto Networks Unit 42 -tutkimuslaboratorion mukaan noin 85 % haittaohjelmista käyttää DNS:ää komento- ja ohjauskanavan perustamiseen, jolloin hyökkääjät voivat helposti ruiskuttaa haittaohjelmia verkkoosi sekä varastaa tietoja. Sen perustamisesta lähtien DNS-liikenne on ollut suurelta osin salaamatonta, ja NGFW-suojausmekanismit voivat analysoida sen helposti.
DNS:lle on ilmaantunut uusia protokollia, joiden tarkoituksena on lisätä DNS-yhteyksien luottamuksellisuutta. Johtavat selaintoimittajat ja muut ohjelmistotoimittajat tukevat niitä aktiivisesti. Salattu DNS-liikenne alkaa pian kasvaa yritysverkoissa. Salattu DNS-liikenne, jota työkalut eivät analysoi ja ratkaise kunnolla, muodostaa turvallisuusriskin yritykselle. Tällaista uhkaa ovat esimerkiksi salauksenlukijat, jotka käyttävät DNS:ää salausavainten vaihtamiseen. Hyökkääjät vaativat nyt useiden miljoonien dollarien lunnaita palauttaakseen pääsyn tietoihisi. Esimerkiksi Garmin maksoi 10 miljoonaa dollaria.
Oikein määritettyinä NGFW:t voivat estää tai suojata DNS-over-TLS:n (DoT) käytön ja niitä voidaan käyttää estämään DNS-over-HTTPS:n (DoH) käyttö, jolloin verkkosi kaikki DNS-liikenne voidaan analysoida.
Mikä on salattu DNS?
Mikä on DNS
DNS (Domain Name System) ratkaisee ihmisen luettavissa olevat verkkotunnukset (esimerkiksi osoitteet). www.paloaltonetworks.com ) IP-osoitteisiin (esimerkiksi 34.107.151.202). Kun käyttäjä syöttää verkkotunnuksen verkkoselaimeen, selain lähettää DNS-kyselyn DNS-palvelimelle ja kysyy kyseiseen verkkotunnukseen liittyvää IP-osoitetta. Vastauksena DNS-palvelin palauttaa IP-osoitteen, jota tämä selain käyttää.
DNS-kyselyt ja vastaukset lähetetään verkon yli pelkkänä tekstinä, salaamattomana, mikä tekee siitä alttiin vakoilulle tai vastauksen muuttamiselle ja selaimen uudelleenohjaamiselle haitallisille palvelimille. DNS-salaus vaikeuttaa DNS-pyyntöjen seurantaa tai muuttamista lähetyksen aikana. DNS-pyyntöjen ja -vastausten salaus suojaa sinua Man-in-the-Middle-hyökkäyksiltä ja suorittaa samalla toiminnallisuuden kuin perinteinen tavallinen DNS (Domain Name System) -protokolla.
Muutaman viime vuoden aikana on otettu käyttöön kaksi DNS-salausprotokollaa:
DNS-yli-HTTPS (DoH)
DNS-over-TLS (DoT)
Näillä protokollilla on yksi yhteinen piirre: ne tarkoituksella piilottavat DNS-pyynnöt kaikilta sieppauksilta... ja myös organisaation vartijoilta. Protokollat käyttävät ensisijaisesti TLS:ää (Transport Layer Security) salatun yhteyden muodostamiseen kyselyitä tekevän asiakkaan ja DNS-kyselyjä ratkaisevan palvelimen välille portin kautta, jota ei normaalisti käytetä DNS-liikenteeseen.
DNS-kyselyiden luottamuksellisuus on näiden protokollien suuri etu. Ne aiheuttavat kuitenkin ongelmia vartijoille, joiden on valvottava verkkoliikennettä ja havaittava ja estettävä haitalliset yhteydet. Koska protokollat eroavat toteutuksestaan, analyysimenetelmät eroavat DoH:n ja DoT:n välillä.
DNS HTTPS: n kautta (DoH)
DNS HTTPS:n sisällä
DoH käyttää HTTPS:lle tunnettua porttia 443, jonka osalta RFC nimenomaisesti ilmoittaa, että tarkoituksena on "sekoittaa DoH-liikennettä muuhun HTTPS-liikenteeseen samalla yhteydellä", "vaikeuttaa DNS-liikenteen analysointia" ja siten kiertää yrityksen valvontaa. ( RFC 8484 DoH, kohta 8.1 ). DoH-protokolla käyttää TLS-salausta ja yleisten HTTPS- ja HTTP/2-standardien tarjoamaa pyyntösyntaksia lisäämällä DNS-pyynnöt ja vastaukset tavallisten HTTP-pyyntöjen päälle.
DoH:hen liittyvät riskit
Jos et pysty erottamaan tavallista HTTPS-liikennettä DoH-pyynnöistä, organisaatiosi sovellukset voivat (ja tulevat) ohittamaan paikalliset DNS-asetukset ohjaamalla pyynnöt kolmannen osapuolen palvelimille, jotka vastaavat DoH-pyyntöihin, mikä ohittaa kaiken valvonnan, eli tuhoaa mahdollisuuden hallitse DNS-liikennettä. Ihannetapauksessa sinun tulisi hallita DoH:ta HTTPS-salauksenpurkutoiminnoilla.
DoH-liikenteen näkyvyyden ja hallinnan varmistaminen
Parhaana ratkaisuna DoH-hallintaan suosittelemme NGFW:n määrittämistä purkamaan HTTPS-liikenteen salaus ja estämään DoH-liikenne (sovelluksen nimi: dns-over-https).
Toiseksi luo sääntö sovellusliikenteelle "dns-over-https" alla olevan kuvan mukaisesti:
Palo Alto Networks NGFW -sääntö estää DNS-over-HTTPS
Väliaikaisena vaihtoehtona (jos organisaatiosi ei ole täysin ottanut käyttöön HTTPS-salauksen purkamista) NGFW voidaan määrittää soveltamaan "estä"-toimintoa "dns-over-https" -sovellustunnukselle, mutta vaikutus rajoittuu tiettyjen hyvin DoH-palvelimet tunnetaan niiden verkkotunnuksen perusteella, joten miten ilman HTTPS-salauksen purkamista DoH-liikennettä ei voida täysin tarkastaa (katso Applipedia Palo Alto Networksilta ja etsi "dns-over-https").
DNS TLS:n kautta (DoT)
DNS TLS:n sisällä
Vaikka DoH-protokollalla on taipumus sekoittua muuhun samassa portissa olevaan liikenteeseen, DoT sen sijaan käyttää oletuksena erityistä porttia, joka on varattu tähän ainoaan tarkoitukseen, jopa estämällä nimenomaan perinteisen salaamattoman DNS-liikenteen saman portin käytön ( RFC 7858, jakso 3.1 ).
DoT-protokolla käyttää TLS-salausta, joka kapseloi standardinmukaiset DNS-protokollakyselyt liikenteessä käyttämällä tunnettua porttia 853 ( RFC 7858 § 6 ). DoT-protokolla on suunniteltu helpottamaan organisaatioiden estämään liikennettä portissa tai hyväksymään liikennettä, mutta mahdollistamaan salauksen purkaminen kyseisessä portissa.
DoT:hen liittyvät riskit
Google on ottanut DoT:n käyttöön asiakkaassaan Android 9 Pie ja uudemmat , ja oletusasetus käyttää DoT:tä automaattisesti, jos se on käytettävissä. Jos olet arvioinut riskit ja olet valmis käyttämään DoT:tä organisaatiotasolla, verkonvalvojat tarvitsevat nimenomaisesti sallivan lähtevän liikenteen portin 853 kehän kautta tätä uutta protokollaa varten.
DoT-liikenteen näkyvyyden ja hallinnan varmistaminen
DoT-hallinnan parhaana käytäntönä suosittelemme mitä tahansa yllä olevista organisaatiosi vaatimusten perusteella:
Määritä NGFW purkamaan kaiken kohdeportin 853 liikenteen salaus. Kun liikenteen salaus puretaan, DoT näkyy DNS-sovelluksena, johon voit suorittaa mitä tahansa toimintoa, kuten ottaa tilauksen käyttöön. Palo Alto Networksin DNS-suojaus hallita DGA-verkkotunnuksia tai olemassa olevia DNS Sinkholing ja vakoiluohjelmien torjunta.
Vaihtoehtona on, että App-ID-moottori estää kokonaan "dns-over-tls" -liikenteen portissa 853. Tämä on yleensä estetty oletuksena, eikä toimenpiteitä vaadita (ellet nimenomaisesti salli "dns-over-tls" -sovellusta tai porttiliikennettä 853).