Minimizar os riscos de usar DoH e DoT
Protección DoH e DoT
Controlas o teu tráfico DNS? As organizacións invisten moito tempo, diñeiro e esforzo en protexer as súas redes. Non obstante, unha área que moitas veces non recibe a suficiente atención é o DNS.
Unha boa visión xeral dos riscos que trae DNS é na conferencia de Infoseguridade.
O 31 % das clases de ransomware enquisadas utilizaron DNS para o intercambio de claves
O 31% das clases de ransomware enquisadas utilizaron DNS para o intercambio de claves.
O problema é grave. Segundo o laboratorio de investigación da Unidade 42 de Palo Alto Networks, aproximadamente o 85 % do malware usa DNS para establecer unha canle de comando e control, o que permite aos atacantes inxectar malware facilmente na súa rede e roubar datos. Desde o seu inicio, o tráfico DNS foi en gran parte sen cifrar e pode ser analizado facilmente polos mecanismos de seguridade de NGFW.
Xurdiron novos protocolos para DNS destinados a aumentar a confidencialidade das conexións DNS. Son compatibles activamente polos principais provedores de navegadores e outros provedores de software. O tráfico DNS cifrado comezará a crecer pronto nas redes corporativas. O tráfico DNS cifrado que non é analizado e resolto adecuadamente polas ferramentas supón un risco de seguridade para unha empresa. Por exemplo, tal ameaza son os criptolockers que usan DNS para intercambiar claves de cifrado. Os atacantes agora esixen un rescate de varios millóns de dólares para restaurar o acceso aos teus datos. Garmin, por exemplo, pagou 10 millóns de dólares.
Cando se configuran correctamente, os NGFW poden denegar ou protexer o uso de DNS sobre TLS (DoT) e pódense usar para denegar o uso de DNS sobre HTTPS (DoH), permitindo que se analice todo o tráfico DNS da súa rede.
Que é o DNS cifrado?
Que é o DNS
O sistema de nomes de dominio (DNS) resolve os nomes de dominio lexibles por humanos (por exemplo, o enderezo ) a enderezos IP (por exemplo, 34.107.151.202). Cando un usuario introduce un nome de dominio nun navegador web, o navegador envía unha consulta DNS ao servidor DNS, solicitando o enderezo IP asociado a ese nome de dominio. Como resposta, o servidor DNS devolve o enderezo IP que utilizará este navegador.
As consultas e respostas de DNS envíanse a través da rede en texto plano, sen cifrar, o que o fai vulnerable ao espionaxe ou ao cambio da resposta e ao redireccionamento do navegador a servidores maliciosos. O cifrado DNS dificulta o seguimento ou o cambio das solicitudes de DNS durante a transmisión. O cifrado de solicitudes e respostas de DNS protéxeo dos ataques de Man-in-the-Middle mentres realiza a mesma funcionalidade que o protocolo tradicional DNS (Sistema de nomes de dominio) de texto sinxelo.
Nos últimos anos introducíronse dous protocolos de cifrado DNS:
-
DNS sobre HTTPS (DoH)
-
DNS sobre TLS (DoT)
Estes protocolos teñen unha cousa en común: ocultan deliberadamente as solicitudes de DNS de calquera interceptación... e tamén dos gardas de seguridade da organización. Os protocolos usan principalmente TLS (Transport Layer Security) para establecer unha conexión cifrada entre un cliente que fai consultas e un servidor que resolve consultas DNS a través dun porto que normalmente non se usa para o tráfico DNS.
A confidencialidade das consultas DNS é unha gran vantaxe destes protocolos. Non obstante, supoñen problemas para os gardas de seguridade que deben supervisar o tráfico da rede e detectar e bloquear conexións maliciosas. Debido a que os protocolos difiren na súa implementación, os métodos de análise diferirán entre DoH e DoT.
DNS a través de HTTPS (DoH)
DNS dentro de HTTPS
DoH usa o coñecido porto 443 para HTTPS, para o que o RFC indica especificamente que a intención é "mesturar o tráfico DoH con outro tráfico HTTPS na mesma conexión", "dificultar a análise do tráfico DNS" e eludir así os controis corporativos. ( ). O protocolo DoH usa o cifrado TLS e a sintaxe de solicitude proporcionada polos estándares comúns HTTPS e HTTP/2, engadindo solicitudes e respostas DNS ademais das solicitudes HTTP estándar.
Riscos asociados con DoH
Se non pode distinguir o tráfico HTTPS normal das solicitudes DoH, as aplicacións da súa organización poden (e farán) eludir a configuración local de DNS redirixindo as solicitudes a servidores de terceiros que responden ás solicitudes de DoH, o que evita calquera monitorización, é dicir, destrúe a capacidade de controlar o tráfico DNS. Idealmente, debería controlar DoH usando funcións de descifrado HTTPS.
И na última versión dos seus navegadores, e ambas as compañías están a traballar para usar DoH por defecto para todas as solicitudes de DNS. sobre a integración de DoH nos seus sistemas operativos. A desvantaxe é que non só as empresas de software respetables, senón tamén os atacantes comezaron a usar DoH como un medio para evitar as medidas tradicionais de firewall corporativo. (Por exemplo, revise os seguintes artigos: , и .) En calquera dos casos, tanto o tráfico de DoH bo como o malicioso pasarán desapercibidos, deixando á organización cega ante o uso malicioso de DoH como condutor para controlar o malware (C2) e roubar datos confidenciais.
Garantir a visibilidade e o control do tráfico DoH
Como a mellor solución para o control DoH, recomendamos configurar NGFW para descifrar o tráfico HTTPS e bloquear o tráfico DoH (nome da aplicación: dns-over-https).
En primeiro lugar, asegúrate de que NGFW estea configurado para descifrar HTTPS, segundo .
En segundo lugar, cree unha regra para o tráfico da aplicación "dns-over-https" como se mostra a continuación:
Regra NGFW de Palo Alto Networks para bloquear DNS sobre HTTPS
Como alternativa provisional (se a súa organización non implementou completamente o descifrado HTTPS), NGFW pódese configurar para aplicar unha acción de "denegar" ao ID da aplicación "dns-over-https", pero o efecto limitarase a bloquear certos ben- servidores DoH coñecidos polo seu nome de dominio, así que sen o descifrado HTTPS, o tráfico DoH non se pode inspeccionar completamente (consulte e busque "dns-over-https").
DNS sobre TLS (DoT)
DNS dentro de TLS
Mentres que o protocolo DoH tende a mesturarse con outro tráfico no mesmo porto, DoT usa por defecto un porto especial reservado para ese único propósito, incluso non permite especificamente que o mesmo porto sexa usado polo tráfico DNS tradicional sen cifrar ( ).
O protocolo DoT usa TLS para proporcionar cifrado que encapsula consultas do protocolo DNS estándar, co tráfico usando o coñecido porto 853 ( ). O protocolo DoT foi deseñado para facilitar ás organizacións bloquear o tráfico nun porto ou aceptar o tráfico pero habilitar o descifrado nese porto.
Riscos asociados ao DoT
Google implementou DoT no seu cliente , coa configuración predeterminada para usar automaticamente DoT se está dispoñible. Se avaliou os riscos e está preparado para usar o DoT a nivel organizativo, entón cómpre que os administradores de rede permitan explícitamente o tráfico de saída no porto 853 a través do seu perímetro para este novo protocolo.
Garantir visibilidade e control do tráfico DoT
Como mellor práctica para o control DoT, recomendamos calquera das anteriores, en función dos requisitos da súa organización:
-
Configure NGFW para descifrar todo o tráfico para o porto de destino 853. Ao descifrar o tráfico, DoT aparecerá como unha aplicación DNS á que pode aplicar calquera acción, como activar a subscrición. para controlar dominios DGA ou un existente e anti-spyware.
-
Unha alternativa é que o motor de ID de aplicación bloquee completamente o tráfico "dns-over-tls" no porto 853. Normalmente, isto está bloqueado de forma predeterminada, non é necesaria ningunha acción (a menos que permita especificamente a aplicación "dns-over-tls" ou o tráfico de portos). 853).
Fonte: www.habr.com