Minimalisearje de risiko's fan it brûken fan DoH en DoT
DoH en DoT beskerming
Behearskje jo jo DNS-ferkear? Organisaasjes ynvestearje in protte tiid, jild en muoite yn it befeiligjen fan har netwurken. Ien gebiet dat lykwols faak net genôch oandacht krijt is DNS.
In goed oersjoch fan 'e risiko's dy't DNS bringt is op de Infosecurity konferinsje.
31% fan 'e ûndersochte ransomware-klassen brûkte DNS foar útwikseling fan kaaien
31% fan 'e ûndersochte ransomware-klassen brûkte DNS foar kaai-útwikseling.
It probleem is serieus. Neffens Palo Alto Networks Unit 42 ûndersykslaboratoarium brûkt sawat 85% fan malware DNS om in kommando- en kontrôlekanaal te fêstigjen, wêrtroch oanfallers maklik malware yn jo netwurk kinne ynjeksje en ek gegevens stelle. Sûnt syn oprjochting is DNS-ferkear foar in grut part net fersifere west en kin maklik wurde analysearre troch NGFW-befeiligingsmeganismen.
Nije protokollen foar DNS binne ûntstien dy't rjochte binne op it fergrutsjen fan de fertroulikens fan DNS-ferbiningen. Se wurde aktyf stipe troch liedende browserferkeapers en oare softwareleveransiers. Fersifere DNS-ferkear sil ynkoarten begjinne te groeien yn bedriuwsnetwurken. Fersifere DNS-ferkear dat net goed analysearre en oplost wurdt troch ark stelt in feiligensrisiko foar in bedriuw. Sa'n bedriging is bygelyks kryptolokers dy't DNS brûke om fersiferingskaaien út te wikseljen. Oanfallers easkje no in losjild fan ferskate miljoen dollar om tagong ta jo gegevens te herstellen. Garmin, bygelyks, betelle $ 10 miljoen.
As goed ynsteld, kinne NGFW's it gebrûk fan DNS-over-TLS (DoT) wegerje of beskermje en kinne brûkt wurde om it gebrûk fan DNS-over-HTTPS (DoH) te wegerjen, wêrtroch alle DNS-ferkear op jo netwurk kin wurde analysearre.
Wat is fersifere DNS?
Wat is DNS
It Domain Name System (DNS) lost minsklik lêsbere domeinnammen op (bygelyks adres ) nei IP-adressen (bygelyks 34.107.151.202). As in brûker in domeinnamme yn in webblêder ynfiert, stjoert de browser in DNS-fraach nei de DNS-tsjinner, en freget om it IP-adres ferbûn mei dy domeinnamme. As antwurd jout de DNS-tsjinner it IP-adres werom dat dizze browser sil brûke.
DNS-fragen en antwurden wurde oer it netwurk stjoerd yn platte tekst, net-fersifere, wêrtroch it kwetsber is foar spying of it feroarjen fan it antwurd en it omlieden fan de browser nei kweade servers. DNS-fersifering makket it lestich foar DNS-oanfragen om te folgjen of te feroarjen tidens de oerdracht. Fersifering fan DNS-oanfragen en -antwurden beskermet jo tsjin Man-in-the-Middle-oanfallen, wylst jo deselde funksjonaliteit útfiere as it tradisjonele DNS-protokol (Domain Name System).
Yn 'e ôfrûne jierren binne twa DNS-fersiferingsprotokollen yntrodusearre:
-
DNS-over-HTTPS (DoH)
-
DNS-over-TLS (DoT)
Dizze protokollen hawwe ien ding mienskiplik: se ferbergje bewust DNS-oanfragen fan elke ûnderskepping ... en ek fan 'e feiligenswachten fan' e organisaasje. De protokollen brûke primêr TLS (Transport Layer Security) om in fersifere ferbining te meitsjen tusken in kliïnt dy't fragen makket en in server dy't DNS-fragen oplost oer in poarte dy't normaal net brûkt wurdt foar DNS-ferkear.
De fertroulikens fan DNS-fragen is in grut pluspunt fan dizze protokollen. Se stelle lykwols problemen foar befeiligers dy't netwurkferkear moatte kontrolearje en kweade ferbiningen detectearje en blokkearje. Om't de protokollen ferskille yn har ymplemintaasje, sille de analysemetoaden ferskille tusken DoH en DoT.
DNS oer HTTPS (DoH)
DNS binnen HTTPS
DoH brûkt de bekende poarte 443 foar HTTPS, wêrfoar't de RFC spesifyk stelt dat de bedoeling is om "DoH-ferkear te mingjen mei oar HTTPS-ferkear op deselde ferbining", "it dreech te meitsjen om DNS-ferkear te analysearjen" en sadwaande bedriuwskontrôles te omgean ( ). It DoH-protokol brûkt TLS-fersifering en de fersyksyntaksis levere troch de mienskiplike HTTPS- en HTTP/2-standerts, en tafoegje DNS-oanfragen en antwurden boppe op standert HTTP-oanfragen.
Risiko's ferbûn mei DoH
As jo gewoan HTTPS-ferkear net kinne ûnderskiede fan DoH-oanfragen, dan kinne (en sille) applikaasjes binnen jo organisaasje lokale DNS-ynstellings omgean troch fersiken troch te ferwizen nei tsjinners fan tredden dy't reagearje op DoH-oanfragen, dy't elke tafersjoch omgiet, dat wol sizze, de mooglikheid ferneatiget om kontrolearje it DNS-ferkear. Ideal moatte jo DoH kontrolearje mei HTTPS-ûntsiferfunksjes.
И yn 'e lêste ferzje fan har browsers, en beide bedriuwen wurkje om DoH standert te brûken foar alle DNS-oanfragen. oer it yntegrearjen fan DoH yn har bestjoeringssystemen. It neidiel is dat net allinich renommearre softwarebedriuwen, mar ek oanfallers binne begon te brûken DoH as in middel om tradisjonele bedriuwsfirewallmaatregels te omgean. (Besjoch bygelyks de folgjende artikels: , и .) Yn beide gefallen sil sawol goed as kwea-aardich DoH-ferkear net ûntdutsen wurde, wêrtroch de organisaasje blyn bliuwt foar it kweade gebrûk fan DoH as in kanaal om malware (C2) te kontrolearjen en gefoelige gegevens te stellen.
It garandearjen fan sichtberens en kontrôle fan DoH-ferkear
As de bêste oplossing foar DoH-kontrôle, advisearje wy NGFW te konfigurearjen om HTTPS-ferkear te ûntsiferjen en DoH-ferkear te blokkearjen (applikaasjenamme: dns-over-https).
Soargje derfoar dat NGFW is konfigureare om HTTPS te ûntsiferjen, neffens .
Twad, meitsje in regel foar applikaasjeferkear "dns-over-https" lykas hjirûnder werjûn:
Palo Alto Networks NGFW-regel om DNS-over-HTTPS te blokkearjen
As interim-alternatyf (as jo organisaasje net folslein HTTPS-ûntsiferjen hat ymplementearre), kin NGFW wurde konfigureare om in "weinigje"-aksje oan te passen op de "dns-over-https" applikaasje-ID, mar it effekt sil beheind wêze ta it blokkearjen fan bepaalde goed- bekende DoH-tsjinners troch har domeinnamme, dus hoe sûnder HTTPS-ûntsifering, DoH-ferkear kin net folslein ynspekteare wurde (sjoch en sykje nei "dns-over-https").
DNS oer TLS (DoT)
DNS binnen TLS
Wylst it DoH-protokol de neiging hat te mingjen mei oar ferkear op deselde poarte, brûkt DoT ynstee it gebrûk fan in spesjale poarte reservearre foar dat ienige doel, sels spesifyk net tastean dat deselde poarte brûkt wurdt troch tradisjoneel net-fersifere DNS-ferkear ( ).
It DoT-protokol brûkt TLS om fersifering te leverjen dy't standert DNS-protokol-fragen ynkapselt, mei ferkear mei de bekende poarte 853 ( ). It DoT-protokol is ûntworpen om it makliker te meitsjen foar organisaasjes om ferkear op in poarte te blokkearjen, of ferkear te akseptearjen, mar dekodearring op dy poarte ynskeakelje.
Risiko's ferbûn mei DoT
Google hat DoT yn har kliïnt ymplementearre , mei de standertynstelling om DoT automatysk te brûken as beskikber. As jo de risiko's beoardiele hawwe en ree binne om DoT op organisatoarysk nivo te brûken, dan moatte jo netwurkbehearders eksplisyt útgeande ferkear op poarte 853 tastean fia har perimeter foar dit nije protokol.
It garandearjen fan sichtberens en kontrôle fan DoT-ferkear
As bêste praktyk foar DoT-kontrôle riede wy ien fan 'e boppesteande oan, basearre op de easken fan jo organisaasje:
-
Konfigurearje NGFW om alle ferkear te ûntsiferjen foar bestimmingspoarte 853. Troch ferkear te ûntsiferjen sil DoT ferskine as in DNS-applikaasje wêrop jo elke aksje tapasse kinne, lykas abonnemint ynskeakelje om DGA-domeinen of in besteande ien te kontrolearjen en anty-spyware.
-
In alternatyf is om de App-ID-motor 'dns-over-tls' ferkear op poarte 853 folslein te blokkearjen. Dit wurdt normaal standert blokkearre, gjin aksje is nedich (útsein as jo spesifyk 'dns-over-tls' applikaasje of poarte tastean ferkear 853).
Boarne: www.habr.com