ProHoster > Blag > Riarachán > Na rioscaí a bhaineann le DNS-over-TLS (DoT) agus DNS-over-HTTPS (DoH) a úsáid

Na rioscaí a bhaineann le DNS-over-TLS (DoT) agus DNS-over-HTTPS (DoH) a úsáid

Na rioscaí a bhaineann le DNS-over-TLS (DoT) agus DNS-over-HTTPS (DoH) a úsáidNa rioscaí a bhaineann le RS agus DoT a úsáid a íoslaghdú

Cosaint DoH agus DoT

An rialaíonn tú do thrácht DNS? Infheistíonn eagraíochtaí go leor ama, airgid agus iarrachta chun a gcuid líonraí a dhaingniú. Mar sin féin, réimse amháin nach bhfaigheann dóthain aird go minic ná DNS.

Tá forbhreathnú maith ar na rioscaí a thugann DNS Cur i láthair Verisign ag an gcomhdháil Infosecurity.

Na rioscaí a bhaineann le DNS-over-TLS (DoT) agus DNS-over-HTTPS (DoH) a úsáidBhain 31% de na ranganna ransomware a ndearnadh suirbhé orthu úsáid as DNS le haghaidh malartú eochrach. Torthaí an Staidéir

Bhain 31% de na ranganna ransomware a ndearnadh suirbhé orthu úsáid as DNS le haghaidh malartú eochrach.

Tá an fhadhb tromchúiseach. De réir saotharlann taighde Aonad 42 Palo Alto Networks, úsáideann thart ar 85% de malware DNS chun cainéal ordaithe agus rialaithe a bhunú, rud a ligeann d'ionsaitheoirí malware a instealladh go héasca isteach i do líonra chomh maith le sonraí a ghoid. Ó bunaíodh é, tá trácht DNS neamhchriptithe den chuid is mó agus is féidir iad a anailísiú go héasca ag meicníochtaí slándála NGFW. 

Tá prótacail nua le haghaidh DNS tagtha chun cinn atá dírithe ar rúndacht naisc DNS a mhéadú. Tacaíonn príomh-díoltóirí brabhsálaí agus díoltóirí bogearraí eile leo go gníomhach. Beidh trácht DNS criptithe ag fás go luath i líonraí corparáideacha. Cruthaíonn trácht criptithe DNS nach bhfuil anailís agus réiteach i gceart ag uirlisí riosca slándála do chuideachta. Mar shampla, is bagairt den sórt sin cripteacha a úsáideann DNS chun eochracha criptithe a mhalartú. Tá ionsaitheoirí anois ag éileamh airgead fuascailte roinnt milliún dollar chun rochtain ar do shonraí a athbhunú. D'íoc Garmin, mar shampla, $10 milliún.

Nuair a bheidh siad cumraithe i gceart, is féidir le NGFWanna úsáid DNS-over-TLS (DoT) a dhiúltú nó a chosaint agus is féidir iad a úsáid chun úsáid DNS-over-HTTPS (DoH) a dhiúltú, rud a ligeann do gach trácht DNS ar do líonra a anailísiú.

Cad é DNS criptithe?

Cad é DNS

Réitíonn an Córas Ainm Fearainn (DNS) ainmneacha fearainn atá inléite ag daoine (mar shampla, seoladh www.paloaltonetworks.com ) chuig seoltaí IP (mar shampla, 34.107.151.202). Nuair a chuireann úsáideoir ainm fearainn isteach i mbrabhsálaí gréasáin, seolann an brabhsálaí ceist DNS chuig an bhfreastalaí DNS, ag iarraidh an seoladh IP a bhaineann leis an ainm fearainn sin. Mar fhreagra air sin, seolann an freastalaí DNS an seoladh IP a úsáidfidh an brabhsálaí seo ar ais.

Seoltar ceisteanna agus freagraí DNS ar fud an líonra i ngnáth-théacs, gan chriptiú, rud a fhágann go bhfuil sé i mbaol an fhreagra a spiaireacht nó a athrú agus an brabhsálaí a atreorú chuig freastalaithe mailíseacha. Mar gheall ar chriptiú DNS bíonn sé deacair iarratais DNS a rianú nó a athrú le linn tarchuir. Trí iarratais agus freagraí DNS a chriptiú cosnaíonn tú ó ionsaithe Man-in-the-Middle agus an fheidhmiúlacht chéanna á comhlíonadh ag an bprótacal traidisiúnta gnáth-théacs DNS (Córas Ainm Fearainn). 

Le blianta beaga anuas, tugadh isteach dhá phrótacal criptithe DNS:

  1. DNS-thar-HTTPS (DoH)

  2. DNS-thar-TLS (DoT)

Tá rud amháin i gcoiteann ag na prótacail seo: folaíonn siad iarratais DNS d’aon ghnó ó aon tascradh… agus ó ghardaí slándála na heagraíochta freisin. Úsáideann na prótacail go príomha TLS (Slándáil Sraithe Iompair) chun nasc criptithe a bhunú idir cliant a dhéanann fiosrúcháin agus freastalaí a réitíonn fiosrúcháin DNS thar chalafort nach n-úsáidtear de ghnáth le haghaidh tráchta DNS.

Is buntáiste mór de na prótacail seo é rúndacht fiosrúchán DNS. Cruthaíonn siad fadhbanna, áfach, do ghardaí slándála a chaithfidh monatóireacht a dhéanamh ar thrácht líonra agus naisc mhailíseacha a bhrath agus a bhlocáil. Toisc go bhfuil difríocht idir na prótacail ina gcur chun feidhme, beidh difríocht idir na modhanna anailíse idir an Roinn Sláinte agus an Roinn Iompair.

DNS thar HTTPS (DoH)

Na rioscaí a bhaineann le DNS-over-TLS (DoT) agus DNS-over-HTTPS (DoH) a úsáidDNS taobh istigh HTTPS

Úsáideann an DoH an calafort aitheanta 443 do HTTPS, a ndeir an RFC go sonrach ina leith gurb é an rún "trácht DoH a mheascadh le trácht HTTPS eile ar an nasc céanna", "a dhéanamh deacair anailís a dhéanamh ar thrácht DNS" agus mar sin dul timpeall ar rialuithe corparáideacha. ( RFC 8484 RS Roinn 8.1 ). Úsáideann an prótacal DoH criptiú TLS agus an chomhréir iarratais a sholáthraíonn na caighdeáin choiteanna HTTPS agus HTTP/2, ag cur iarrataí DNS agus freagraí ar bharr iarratais chaighdeánacha HTTP.

Rioscaí a bhaineann leis an RS

Mura féidir leat trácht rialta HTTPS a idirdhealú ó iarratais DoH, is féidir le feidhmchláir laistigh d’eagraíocht (agus déanfaidh siad) socruithe DNS áitiúla a sheachbhóthar trí iarratais a atreorú chuig freastalaithe tríú páirtí a fhreagraíonn d’iarratais DoH, a sheachnaíonn aon mhonatóireacht, is é sin, scriosann an cumas chun rialú a dhéanamh ar an trácht DNS. Go hidéalach, ba cheart duit DoH a rialú ag baint úsáide as feidhmeanna díchriptithe HTTPS. 

И Tá cumais DoH curtha i bhfeidhm ag Google agus Mozilla sa leagan is déanaí dá mbrabhsálaithe, agus tá an dá chuideachta ag obair chun DoH a úsáid de réir réamhshocraithe le haghaidh gach iarratas DNS. Tá pleananna á bhforbairt ag Microsoft freisin maidir le RS a chomhtháthú ina gcórais oibriúcháin. Is é an míbhuntáiste atá ann, ní hamháin go bhfuil cuideachtaí bogearraí creidiúnacha, ach freisin ionsaitheoirí, tar éis tosú ag úsáid DoH mar bhealach chun bearta balla dóiteáin corparáideacha traidisiúnta a sheachaint. (Mar shampla, athbhreithnigh na hailt seo a leanas: Úsáideann PsiXBot Google DoH anois , Leanann PsiXBot ag forbairt le bonneagar DNS nuashonraithe и Godlua anailís backdoor .) I gceachtar den dá chás, beidh trácht DoH maith agus mailíseach araon neamhbhraite, rud a fhágfaidh an eagraíocht dall ar úsáid mhailíseach an DoH mar bhealach chun malware (C2) a rialú agus sonraí íogaire a ghoid.

Infheictheacht agus rialú tráchta na Roinne Sláinte a chinntiú

Mar an réiteach is fearr le haghaidh rialú DoH, molaimid NGFW a chumrú chun trácht HTTPS a dhíchriptiú agus bac a chur ar thrácht DoH (ainm an iarratais: dns-over-https). 

Ar dtús, déan cinnte go bhfuil NGFW cumraithe chun HTTPS a dhíchriptiú, de réir treoir ar na teicnící díchriptithe is fearr.

Ar an dara dul síos, cruthaigh riail maidir le trácht feidhmchláir "dns-over-https" mar a thaispeántar thíos:

Na rioscaí a bhaineann le DNS-over-TLS (DoT) agus DNS-over-HTTPS (DoH) a úsáidRiail NGFW Palo Alto Networks chun DNS-thar-HTTPS a bhacadh

Mar mhalairt eatramhach (mura bhfuil díchriptiú HTTPS curtha i bhfeidhm go hiomlán ag d’eagraíocht), is féidir NGFW a chumrú chun gníomh “séanadh” a chur i bhfeidhm ar ID feidhmchláir “dns-over-https”, ach beidh an éifeacht teoranta do bhlocáil áirithe tobair. freastalaithe DoH aitheanta faoina n-ainm fearainn, mar sin conas nach féidir trácht DoH a iniúchadh go hiomlán gan díchriptiú HTTPS (féach  Applipedia ó Palo Alto Networks   agus déan cuardach do "dns-over-https").

DNS thar TLS (DoT)

Na rioscaí a bhaineann le DNS-over-TLS (DoT) agus DNS-over-HTTPS (DoH) a úsáidDNS taobh istigh de TLS

Cé go mbíonn claonadh sa phrótacal DoH meascadh le trácht eile ar an gcalafort céanna, mainneachtainí do DoT port speisialta a úsáid a chuirtear in áirithe chun na críche sin amháin, fiú go ndícheadaítear go sonrach an calafort céanna a úsáid ag trácht DNS neamhchriptithe traidisiúnta ( RFC 7858, Roinn 3.1 ).

Úsáideann an prótacal DoT TLS chun criptiú a chur ar fáil a chuimsíonn ceisteanna caighdeánacha prótacail DNS, le trácht ag baint úsáide as an gcalafort aitheanta 853 ( RFC 7858 alt 6 ). Ceapadh prótacal DoT chun é a dhéanamh níos fusa d’eagraíochtaí bac a chur ar thrácht ar chalafort, nó glacadh le trácht ach díchriptiú a chumasú ar an gcalafort sin.

Rioscaí a bhaineann le DoT

Chuir Google DoT i bhfeidhm ina chliant Android 9 Pie agus níos déanaí , leis an socrú réamhshocraithe chun DoT a úsáid go huathoibríoch má tá sé ar fáil. Má tá measúnú déanta agat ar na rioscaí agus go bhfuil tú réidh le DoT a úsáid ar an leibhéal eagraíochtúil, ní mór duit riarthóirí líonra a bheith ann chun trácht amach ar chalafort 853 a cheadú go sainráite trína imlíne don phrótacal nua seo.

Infheictheacht agus rialú tráchta DoT a chinntiú

Mar chleachtas is fearr maidir le rialú DoT, molaimid aon cheann díobh thuas, bunaithe ar riachtanais d’eagraíochta:

  • Cumraigh NGFW chun an trácht go léir a dhíchriptiú don phort cinn scríbe 853. Trí thrácht a dhíchriptiú, feicfear DoT mar fheidhmchlár DNS ar féidir leat aon ghníomh a chur i bhfeidhm, mar shampla síntiús a chumasú Palo Alto Networks DNS Security chun fearainn DGA nó fearainn atá ann cheana a rialú Doirteal DNS agus frith-spyware.

  • Rogha eile ná go gcuirfeadh an t-inneall App-ID bac iomlán ar thrácht 'dns-over-tls' ar chalafort 853. De ghnáth cuirtear bac air seo de réir réamhshocraithe, ní gá aon ghníomh a dhéanamh (mura gceadaíonn tú go sonrach feidhmchlár nó trácht calafoirt 'dns-over-tls' 853).

Foinse: will.com

Add a comment