A’ lughdachadh nan cunnartan bho bhith a’ cleachdadh DNS-over-TLS (DoT) agus DNS-over-HTTPS (DoH)

A’ lughdachadh nan cunnartan bho bhith a’ cleachdadh DoH agus DoT

Dìon DoH agus DoT

A bheil smachd agad air an trafaic DNS agad? Bidh buidhnean a’ tasgadh tòrr ùine, airgead agus oidhirp gus na lìonraidhean aca a dhèanamh tèarainte. Ach, is e DNS aon raon nach bi tric a’ faighinn aire gu leòr.

Tha sealladh math air na cunnartan a tha an cois DNS Verisign taisbeanadh aig a’ cho-labhairt Infosecurity.

Chleachd 31% de chlasaichean ransomware a chaidh an sgrùdadh DNS airson prìomh iomlaid

Chleachd 31% de chlasaichean ransomware a chaidh an sgrùdadh DNS airson prìomh iomlaid.

Tha an duilgheadas trom. A rèir deuchainn-lann sgrùdaidh Aonad 42 Palo Alto Networks, bidh timcheall air 85% de malware a ’cleachdadh DNS gus sianal àithne is smachd a stèidheachadh, a’ leigeil le luchd-ionnsaigh malware a chuir a-steach don lìonra agad gu furasta a bharrachd air dàta a ghoid. Bho chaidh a stèidheachadh, tha trafaic DNS air a bhith gu ìre mhòr gun chrioptachadh agus faodar a sgrùdadh gu furasta le uidheamachdan tèarainteachd NGFW. 

Tha protocolaidhean ùra airson DNS air nochdadh a tha ag amas air dìomhaireachd cheanglaichean DNS a mheudachadh. Tha iad a’ faighinn taic ghnìomhach bho phrìomh luchd-reic brobhsairean agus luchd-reic bathar-bog eile. Bidh trafaic DNS crioptaichte a’ tòiseachadh a ’fàs a dh’ aithghearr ann an lìonraidhean corporra. Tha trafaic DNS crioptaichte nach eil air a sgrùdadh gu ceart agus air a rèiteachadh le innealan na chunnart tèarainteachd do chompanaidh. Mar eisimpleir, tha leithid de chunnart ann an cryptolockers a bhios a’ cleachdadh DNS gus iuchraichean crioptachaidh iomlaid. Tha luchd-ionnsaigh a-nis ag iarraidh airgead-fuadain de ghrunn mhilleanan dolar gus ruigsinneachd air an dàta agad a thoirt air ais. Phàigh Garmin, mar eisimpleir, $ 10 millean.

Nuair a bhios iad air an rèiteachadh gu ceart, faodaidh NGFWn cleachdadh DNS-over-TLS (DoT) a dhiùltadh no a dhìon agus faodar a chleachdadh gus cleachdadh DNS-over-HTTPS (DoH) a dhiùltadh, a’ leigeil le gach trafaic DNS air an lìonra agad a bhith air a sgrùdadh.

Dè a th 'ann an DNS crioptaichte?

Dè th 'ann an DNS

Bidh an Siostam Ainm Fearainn (DNS) a’ fuasgladh ainmean àrainn a ghabhas leughadh le daoine (mar eisimpleir, seòladh www.paloaltonetworks.com ) gu seòlaidhean IP (mar eisimpleir, 34.107.151.202). Nuair a chuireas neach-cleachdaidh ainm àrainn a-steach do bhrobhsair lìn, cuiridh am brabhsair ceist DNS chun an fhrithealaiche DNS, ag iarraidh an seòladh IP co-cheangailte ris an ainm fearainn sin. Mar fhreagairt, tillidh am frithealaiche DNS an seòladh IP a chleachdas am brabhsair seo.

Bithear a’ cur ceistean agus freagairtean DNS air feadh an lìonra ann an teacsa shìmplidh, gun chrioptachadh, ga dhèanamh so-leònte ri bhith a’ brathadh no ag atharrachadh an fhreagairt agus ag ath-stiùireadh a’ bhrobhsair gu frithealaichean droch-rùnach. Tha crioptachadh DNS ga dhèanamh duilich do dh’ iarrtasan DNS a bhith air an lorg no air an atharrachadh aig àm tar-chuir. Bidh crioptachadh iarrtasan agus freagairtean DNS gad dhìon bho ionnsaighean Man-in-the-Middle fhad ‘s a bhios tu a’ coileanadh na h-aon ghnìomhachd ris a ’phròtacal traidiseanta DNS plaintext (Siostam Ainm Domain). 

Thairis air na beagan bhliadhnaichean a dh ’fhalbh, chaidh dà phròtacal crioptachaidh DNS a thoirt a-steach:

1. DNS-over-HTTPS (DoH)

2. DNS-over-TLS (DoT)

Tha aon rud cumanta aig na protocolaidhean sin: bidh iad a dh’aona ghnothach a’ falach iarrtasan DNS bho shealladh sam bith ... agus bho gheàrdan tèarainteachd na buidhne cuideachd. Bidh na protocols gu sònraichte a’ cleachdadh TLS (Transport Layer Security) gus ceangal crioptaichte a stèidheachadh eadar teachdaiche a bhios a’ dèanamh cheistean agus frithealaiche a’ fuasgladh cheistean DNS mu phort nach eilear a’ cleachdadh gu h-àbhaisteach airson trafaic DNS.

Tha dìomhaireachd cheistean DNS na bhuannachd mhòr de na protocolaidhean sin. Ach, tha iad nan duilgheadasan dha geàrdan tèarainteachd a dh’ fheumas sùil a chumail air trafaic lìonraidh agus ceanglaichean droch-rùnach a lorg agus a bhacadh. Leis gu bheil na protocolaidhean eadar-dhealaichte nan coileanadh, bidh na dòighean sgrùdaidh eadar-dhealaichte eadar DoH agus DoT.

DNS thairis air HTTPS (DoH)

DNS taobh a-staigh HTTPS

Bidh DoH a’ cleachdadh a’ phort ainmeil 443 airson HTTPS, airson a bheil an RFC ag ràdh gu sònraichte gur e an rùn “trafaic DoH a mheasgachadh le trafaic HTTPS eile air an aon cheangal”, “a dhèanamh duilich trafaic DNS a sgrùdadh” agus mar sin faighinn seachad air smachdan corporra ( RFC 8484 DoH Earrann 8.1 ). Bidh protocol DoH a’ cleachdadh crioptachadh TLS agus an co-chòrdadh iarrtas a tha air a sholarachadh leis na h-inbhean cumanta HTTPS agus HTTP/2, a’ cur iarrtasan DNS agus freagairtean a bharrachd air iarrtasan àbhaisteach HTTP.

Cunnartan co-cheangailte ri DoH

Mura h-urrainn dhut trafaic HTTPS cunbhalach a dhealachadh bho iarrtasan DoH, faodaidh (agus nì thu) tagraidhean taobh a-staigh na buidhne agad roghainnean DNS ionadail a sheachnadh le bhith ag ath-stiùireadh iarrtasan gu frithealaichean treas-phàrtaidh a tha a’ freagairt iarrtasan DoH, a bhios a’ dol seachad air sgrùdadh sam bith, is e sin, a sgriosas an comas smachd a chumail air trafaic DNS. Mas fheàrr, bu chòir dhut smachd a chumail air DoH a’ cleachdadh gnìomhan dì-chrioptachaidh HTTPS. 

И Tha Google agus Mozilla air comasan DoH a chuir an gnìomh anns an dreach as ùire de na brobhsairean aca, agus tha an dà chompanaidh ag obair gus DoH a chleachdadh gu bunaiteach airson a h-uile iarrtas DNS. Tha Microsoft cuideachd a’ leasachadh phlanaichean air amalachadh DoH a-steach do na siostaman obrachaidh aca. Is e an ìsleachadh gu bheil chan e a-mhàin companaidhean bathar-bog cliùiteach, ach cuideachd luchd-ionnsaigh air tòiseachadh a’ cleachdadh DoH mar dhòigh air faighinn seachad air ceumannan balla-teine ​​​​traidiseanta corporra. (Mar eisimpleir, thoir sùil air na h-artaigilean a leanas: Tha PsiXBot a-nis a’ cleachdadh Google DoH , Tha PsiXBot a’ leantainn air adhart a’ fàs le bun-structar DNS ùraichte и Godlua mion-sgrùdadh backdoor .) Anns gach suidheachadh, thèid an dà chuid trafaic math agus droch-rùnach DoH neo-aithnichte, a’ fàgail a’ bhuidheann dall ri cleachdadh droch-rùnach DoH mar inneal airson smachd a chumail air malware (C2) agus dàta mothachail a ghoid.

A’ dèanamh cinnteach à faicsinneachd agus smachd air trafaic DoH

Mar am fuasgladh as fheàrr airson smachd DoH, tha sinn a’ moladh NGFW a rèiteachadh gus trafaic HTTPS a dhì-chrioptachadh agus trafaic DoH a bhacadh (ainm an tagraidh: dns-over-https). 

An toiseach, dèan cinnteach gu bheil NGFW air a rèiteachadh gus HTTPS a dhì-chrioptachadh, a rèir stiùireadh air na dòighean dì-chrioptachaidh as fheàrr.

San dàrna àite, cruthaich riaghailt airson trafaic tagraidh “dns-over-https” mar a chithear gu h-ìosal:

Riaghailt Palo Alto Networks NGFW gus casg a chuir air DNS-over-HTTPS

Mar roghainn eadar-amail eile (mura h-eil a’ bhuidheann agad air dì-chrioptachadh HTTPS a chuir an gnìomh gu h-iomlan), faodar NGFW a rèiteachadh gus gnìomh “diùltadh” a chuir an sàs ann an ID an tagraidh “dns-over-https”, ach bidh a’ bhuaidh cuingealaichte ri bhith a’ bacadh cuid de thobraichean tobar. frithealaichean DoH aithnichte leis an ainm fearainn aca, mar sin mar as aonais dì-chrioptachadh HTTPS, chan urrainnear trafaic DoH a sgrùdadh gu h-iomlan (faic  Applipedia bho Palo Alto Networks   agus lorg "dns-over-https").

DNS thairis air TLS (DoT)

DNS taobh a-staigh TLS

Fhad ‘s a tha protocol DoH buailteach a bhith a’ measgachadh le trafaic eile air an aon phort, bidh DoT an àite sin a ’cleachdadh port sònraichte a tha glèidhte airson an aon adhbhar sin, eadhon gu sònraichte a’ dì-cheadachadh an aon phort bho bhith air a chleachdadh le trafaic DNS traidiseanta gun chrioptachadh ( RFC 7858, Earrann 3.1 ).

Bidh protocol DoT a’ cleachdadh TLS gus crioptachadh a sholarachadh a bhios a’ toirt a-steach ceistean àbhaisteach protocol DNS, le trafaic a’ cleachdadh am port ainmeil 853 ( RFC 7858 earrann 6 ). Chaidh protocol DoT a dhealbhadh gus a dhèanamh nas fhasa do bhuidhnean trafaic air port a bhacadh, no gabhail ri trafaic ach leigeil le dì-chrioptachadh air a’ phort sin.

Cunnartan co-cheangailte ri DoT

Tha Google air DoT a chuir an gnìomh anns an neach-dèiligidh aige Android 9 Pie agus nas fhaide air adhart , leis an t-suidheachadh bunaiteach gus DoT a chleachdadh gu fèin-ghluasadach ma tha sin ri fhaighinn. Ma tha thu air na cunnartan a mheasadh agus gu bheil thu deiseil airson DoT a chleachdadh aig ìre eagrachaidh, feumaidh tu gum bi luchd-rianachd lìonraidh gu sònraichte a’ ceadachadh trafaic a-mach air port 853 tron ​​​​iomall aca airson a’ phròtacal ùr seo.

A’ dèanamh cinnteach à faicsinneachd agus smachd air trafaic DoT

Mar chleachdadh as fheàrr airson smachd DoT, tha sinn a’ moladh gin de na tha gu h-àrd, stèidhichte air riatanasan na buidhne agad:

• Dèan rèiteachadh air NGFW gus an trafaig gu lèir airson port ceann-uidhe 853 a dhì-chrioptachadh. Le bhith a' dì-chrioptachadh trafaig, nochdaidh DoT mar aplacaid DNS far an urrainn dhut gnìomh sam bith a chur an sàs, leithid fo-sgrìobhadh a chomasachadh Palo Alto Lìonraidhean DNS Tèarainteachd gus smachd a chumail air raointean DGA no fear a tha ann mu thràth DNS a 'dol fodha agus anti-spyware.

• Is e roghainn eile an einnsean App-ID a bhith a’ bacadh trafaic ‘dns-over-tls’ gu tur air port 853. Mar as trice bidh seo air a bhacadh gu bunaiteach, chan eil feum air gnìomh (mura leig thu gu sònraichte le tagradh no port ‘dns-over-tls’ trafaig 853).

Source: www.habr.com