DNS-ઓવર-TLS (DoT) અને DNS-over-HTTPS (DoH) નો ઉપયોગ કરવાના જોખમોને ઘટાડવું

DoH અને DoT નો ઉપયોગ કરવાના જોખમોને ઘટાડવું

DoH અને DoT સુરક્ષા

શું તમે તમારા DNS ટ્રાફિકને નિયંત્રિત કરો છો? સંસ્થાઓ તેમના નેટવર્કને સુરક્ષિત કરવા માટે ઘણો સમય, નાણાં અને પ્રયત્નોનું રોકાણ કરે છે. જો કે, એક ક્ષેત્ર કે જે ઘણીવાર પૂરતું ધ્યાન મેળવતું નથી તે DNS છે.

DNS લાવે છે તે જોખમોની સારી ઝાંખી છે વેરિસાઇન પ્રસ્તુતિ ઇન્ફોસિક્યુરિટી કોન્ફરન્સમાં.

સર્વેક્ષણ કરાયેલા 31% રેન્સમવેર વર્ગોએ કી એક્સચેન્જ માટે DNS નો ઉપયોગ કર્યો. અભ્યાસના તારણો

સર્વેક્ષણ કરાયેલા 31% રેન્સમવેર વર્ગોએ કી એક્સચેન્જ માટે DNS નો ઉપયોગ કર્યો.

સમસ્યા ગંભીર છે. પાલો અલ્ટો નેટવર્ક્સ યુનિટ 42 રિસર્ચ લેબ મુજબ, લગભગ 85% માલવેર આદેશ અને નિયંત્રણ ચેનલ સ્થાપિત કરવા માટે DNS નો ઉપયોગ કરે છે, જેનાથી હુમલાખોરો સરળતાથી તમારા નેટવર્કમાં માલવેર ઇન્જેક્ટ કરી શકે છે તેમજ ડેટા ચોરી શકે છે. તેની શરૂઆતથી, DNS ટ્રાફિક મોટાભાગે એનક્રિપ્ટેડ નથી અને NGFW સુરક્ષા મિકેનિઝમ્સ દ્વારા તેનું સરળતાથી વિશ્લેષણ કરી શકાય છે. 

DNS કનેક્શન્સની ગોપનીયતા વધારવાના હેતુથી DNS માટે નવા પ્રોટોકોલ્સ ઉભરી આવ્યા છે. તેઓ અગ્રણી બ્રાઉઝર વિક્રેતાઓ અને અન્ય સોફ્ટવેર વિક્રેતાઓ દ્વારા સક્રિયપણે સમર્થિત છે. એન્ક્રિપ્ટેડ DNS ટ્રાફિક ટૂંક સમયમાં કોર્પોરેટ નેટવર્ક્સમાં વધવા લાગશે. એન્ક્રિપ્ટેડ DNS ટ્રાફિક કે જેનું યોગ્ય રીતે પૃથ્થકરણ અને સાધનો દ્વારા નિરાકરણ કરવામાં આવતું નથી તે કંપની માટે સુરક્ષા જોખમ ઊભું કરે છે. ઉદાહરણ તરીકે, આવી ધમકી એ ક્રિપ્ટોલોકર્સ છે જે એન્ક્રિપ્શન કીની આપલે કરવા માટે DNS નો ઉપયોગ કરે છે. હુમલાખોરો હવે તમારા ડેટાની ઍક્સેસ પુનઃસ્થાપિત કરવા માટે કેટલાક મિલિયન ડોલરની ખંડણી માંગી રહ્યા છે. ગાર્મિન, ઉદાહરણ તરીકે, $10 મિલિયન ચૂકવ્યા.

જ્યારે યોગ્ય રીતે ગોઠવેલ હોય, ત્યારે NGFWs DNS-over-TLS (DoT) ના ઉપયોગને નકારી અથવા સુરક્ષિત કરી શકે છે અને DNS-over-HTTPS (DoH) ના ઉપયોગને નકારવા માટે ઉપયોગ કરી શકાય છે, જે તમારા નેટવર્ક પરના તમામ DNS ટ્રાફિકનું વિશ્લેષણ કરવાની મંજૂરી આપે છે.

એન્ક્રિપ્ટેડ DNS શું છે?

DNS શું છે

ડોમેન નેમ સિસ્ટમ (DNS) માનવ વાંચી શકાય તેવા ડોમેન નામોને ઉકેલે છે (ઉદાહરણ તરીકે, સરનામું www.paloaltonetworks.com ) થી IP એડ્રેસ (ઉદાહરણ તરીકે, 34.107.151.202). જ્યારે વપરાશકર્તા વેબ બ્રાઉઝરમાં ડોમેન નામ દાખલ કરે છે, ત્યારે બ્રાઉઝર DNS સર્વરને DNS ક્વેરી મોકલે છે, જે તે ડોમેન નામ સાથે સંકળાયેલ IP સરનામું પૂછે છે. જવાબમાં, DNS સર્વર IP સરનામું આપે છે જેનો આ બ્રાઉઝર ઉપયોગ કરશે.

DNS ક્વેરીઝ અને પ્રતિસાદો સમગ્ર નેટવર્ક પર સાદા ટેક્સ્ટમાં મોકલવામાં આવે છે, એનક્રિપ્ટેડ નથી, જે તેને જાસૂસી અથવા પ્રતિસાદ બદલવા અને બ્રાઉઝરને દૂષિત સર્વર્સ પર રીડાયરેક્ટ કરવા માટે સંવેદનશીલ બનાવે છે. DNS એન્ક્રિપ્શન DNS વિનંતીઓને ટ્રૅક કરવામાં અથવા ટ્રાન્સમિશન દરમિયાન બદલવાનું મુશ્કેલ બનાવે છે. પરંપરાગત પ્લેનટેક્સ્ટ DNS (ડોમેન નેમ સિસ્ટમ) પ્રોટોકોલ જેવી જ કાર્યક્ષમતા કરતી વખતે DNS વિનંતીઓ અને પ્રતિસાદોને એન્ક્રિપ્ટ કરવાથી મેન-ઇન-ધ-મિડલ હુમલાઓથી તમારું રક્ષણ થાય છે. 

છેલ્લા કેટલાક વર્ષોમાં, બે DNS એન્ક્રિપ્શન પ્રોટોકોલ રજૂ કરવામાં આવ્યા છે:

1. DNS-ઓવર-HTTPS (DoH)

2. DNS-ઓવર-TLS (DoT)

આ પ્રોટોકોલ્સમાં એક વસ્તુ સામાન્ય છે: તેઓ કોઈપણ અવરોધથી અને સંસ્થાના સુરક્ષા રક્ષકો પાસેથી પણ જાણીજોઈને DNS વિનંતીઓને છુપાવે છે. પ્રોટોકોલ્સ મુખ્યત્વે TLS (ટ્રાન્સપોર્ટ લેયર સિક્યુરિટી) નો ઉપયોગ ક્લાયન્ટ ક્વેરીઝ અને સર્વર વચ્ચે એનક્રિપ્ટેડ કનેક્શન સ્થાપિત કરવા માટે કરે છે જે સામાન્ય રીતે DNS ટ્રાફિક માટે ઉપયોગમાં લેવાતું નથી.

DNS ક્વેરીઝની ગોપનીયતા એ આ પ્રોટોકોલ્સનો મોટો વત્તા છે. જો કે, તેઓ સુરક્ષા રક્ષકો માટે સમસ્યાઓ ઉભી કરે છે જેમણે નેટવર્ક ટ્રાફિકનું નિરીક્ષણ કરવું જોઈએ અને દૂષિત કનેક્શનને શોધી અને અવરોધિત કરવું જોઈએ. પ્રોટોકોલ તેમના અમલીકરણમાં અલગ હોવાને કારણે, વિશ્લેષણ પદ્ધતિઓ DoH અને DoT વચ્ચે અલગ હશે.

HTTPS (DoH) પર DNS

HTTPS ની અંદર DNS

DoH એ HTTPS માટે જાણીતા પોર્ટ 443 નો ઉપયોગ કરે છે, જેના માટે RFC ખાસ કરીને જણાવે છે કે "સમાન કનેક્શન પર અન્ય HTTPS ટ્રાફિક સાથે DoH ટ્રાફિકને મિશ્રિત કરવાનો", "DNS ટ્રાફિકનું પૃથ્થકરણ કરવું મુશ્કેલ બનાવવા" અને આ રીતે કોર્પોરેટ નિયંત્રણોને અટકાવવાનો હેતુ છે. ( RFC 8484 DoH વિભાગ 8.1 ). DoH પ્રોટોકોલ TLS એન્ક્રિપ્શનનો ઉપયોગ કરે છે અને સામાન્ય HTTPS અને HTTP/2 ધોરણો દ્વારા પ્રદાન કરવામાં આવેલ વિનંતી વાક્યરચનાનો ઉપયોગ કરે છે, જેમાં માનક HTTP વિનંતીઓની ટોચ પર DNS વિનંતીઓ અને પ્રતિસાદો ઉમેરવામાં આવે છે.

DoH સાથે સંકળાયેલા જોખમો

જો તમે DoH વિનંતીઓથી નિયમિત HTTPS ટ્રાફિકને અલગ કરી શકતા નથી, તો તમારી સંસ્થામાંની એપ્લિકેશનો સ્થાનિક DNS સેટિંગ્સને બાયપાસ કરી શકે છે (અને કરશે) DoH વિનંતીઓનો પ્રતિસાદ આપતા તૃતીય-પક્ષ સર્વર્સને વિનંતીઓ રીડાયરેક્ટ કરીને, જે કોઈપણ મોનિટરિંગને બાયપાસ કરે છે, એટલે કે ક્ષમતાને નષ્ટ કરે છે. DNS ટ્રાફિકને નિયંત્રિત કરો. આદર્શ રીતે, તમારે HTTPS ડિક્રિપ્શન ફંક્શનનો ઉપયોગ કરીને DoH ને નિયંત્રિત કરવું જોઈએ. 

И Google અને Mozilla એ DoH ક્ષમતાઓ લાગુ કરી છે તેમના બ્રાઉઝર્સના નવીનતમ સંસ્કરણમાં, અને બંને કંપનીઓ તમામ DNS વિનંતીઓ માટે મૂળભૂત રીતે DoH નો ઉપયોગ કરવા માટે કામ કરી રહી છે. માઇક્રોસોફ્ટ પણ યોજનાઓ વિકસાવી રહી છે DoH ને તેમની ઓપરેટિંગ સિસ્ટમ્સમાં એકીકૃત કરવા પર. નુકસાન એ છે કે માત્ર પ્રતિષ્ઠિત સોફ્ટવેર કંપનીઓ જ નહીં, પરંતુ હુમલાખોરોએ પણ પરંપરાગત કોર્પોરેટ ફાયરવોલ પગલાંને બાયપાસ કરવાના સાધન તરીકે DoH નો ઉપયોગ કરવાનું શરૂ કર્યું છે. (ઉદાહરણ તરીકે, નીચેના લેખોની સમીક્ષા કરો: PsiXBot હવે Google DoH નો ઉપયોગ કરે છે , PsiXBot અપડેટેડ DNS ઈન્ફ્રાસ્ટ્રક્ચર સાથે વિકાસ કરવાનું ચાલુ રાખે છે и ગોડલુઆ બેકડોર વિશ્લેષણ .) બંને કિસ્સાઓમાં, સારા અને દૂષિત DoH ટ્રાફિકને શોધી શકાશે નહીં, જે સંસ્થાને માલવેર (C2) ને નિયંત્રિત કરવા અને સંવેદનશીલ ડેટાની ચોરી કરવા માટે નળી તરીકે DoH ના દૂષિત ઉપયોગથી અંધ થઈ જશે.

DoH ટ્રાફિકની દૃશ્યતા અને નિયંત્રણની ખાતરી કરવી

DoH નિયંત્રણ માટે શ્રેષ્ઠ ઉકેલ તરીકે, અમે HTTPS ટ્રાફિકને ડિક્રિપ્ટ કરવા અને DoH ટ્રાફિકને અવરોધિત કરવા માટે NGFW ને ગોઠવવાની ભલામણ કરીએ છીએ (એપ્લિકેશનનું નામ: dns-over-https). 

પ્રથમ, ખાતરી કરો કે NGFW એ HTTPS ને ડિક્રિપ્ટ કરવા માટે ગોઠવેલ છે, અનુસાર શ્રેષ્ઠ ડિક્રિપ્શન તકનીકો માટે માર્ગદર્શિકા.

બીજું, નીચે બતાવ્યા પ્રમાણે એપ્લિકેશન ટ્રાફિક "dns-over-https" માટે એક નિયમ બનાવો:

DNS-ઓવર-HTTPS ને અવરોધિત કરવા માટે પાલો અલ્ટો નેટવર્ક્સ NGFW નિયમ

વચગાળાના વિકલ્પ તરીકે (જો તમારી સંસ્થાએ HTTPS ડિક્રિપ્શનનો સંપૂર્ણ અમલ ન કર્યો હોય તો), NGFW ને "dns-over-https" એપ્લિકેશન ID પર "નકારવા" ક્રિયા લાગુ કરવા માટે ગોઠવી શકાય છે, પરંતુ અસર અમુક સારી રીતે અવરોધિત કરવા સુધી મર્યાદિત રહેશે. DoH સર્વર્સ તેમના ડોમેન નામથી જાણીતા છે, તેથી કેવી રીતે HTTPS ડિક્રિપ્શન વિના, DoH ટ્રાફિકનું સંપૂર્ણ નિરીક્ષણ કરી શકાતું નથી (જુઓ  પાલો અલ્ટો નેટવર્ક્સ તરફથી એપ્લીપીડિયા   અને "dns-over-https" માટે શોધ કરો).

TLS (DoT) ઉપર DNS

TLS ની અંદર DNS

જ્યારે DoH પ્રોટોકોલ સમાન પોર્ટ પરના અન્ય ટ્રાફિક સાથે ભળવાનું વલણ ધરાવે છે, ત્યારે DoT તેના બદલે તે એકમાત્ર હેતુ માટે આરક્ષિત વિશિષ્ટ પોર્ટનો ઉપયોગ કરવા માટે ડિફોલ્ટ કરે છે, ખાસ કરીને તે જ પોર્ટને પરંપરાગત અનએન્ક્રિપ્ટેડ DNS ટ્રાફિક દ્વારા ઉપયોગમાં લેવાની મંજૂરી આપી નથી. RFC 7858, વિભાગ 3.1 ).

DoT પ્રોટોકોલ એન્ક્રિપ્શન આપવા માટે TLS નો ઉપયોગ કરે છે જે જાણીતા પોર્ટ 853 નો ઉપયોગ કરીને ટ્રાફિક સાથે પ્રમાણભૂત DNS પ્રોટોકોલ ક્વેરીઝને સમાવે છે. RFC 7858 વિભાગ 6 ). DoT પ્રોટોકોલને સંગઠનો માટે પોર્ટ પર ટ્રાફિકને અવરોધિત કરવાનું સરળ બનાવવા અથવા ટ્રાફિક સ્વીકારવા પરંતુ તે પોર્ટ પર ડિક્રિપ્શનને સક્ષમ કરવા માટે ડિઝાઇન કરવામાં આવ્યું હતું.

DoT સાથે સંકળાયેલા જોખમો

ગૂગલે તેના ક્લાયન્ટમાં DoT લાગુ કર્યું છે Android 9 Pie અને પછીનું , જો ઉપલબ્ધ હોય તો આપમેળે DoT નો ઉપયોગ કરવા માટે ડિફોલ્ટ સેટિંગ સાથે. જો તમે જોખમોનું મૂલ્યાંકન કર્યું છે અને સંસ્થાકીય સ્તરે DoT નો ઉપયોગ કરવા માટે તૈયાર છો, તો તમારે નેટવર્ક એડમિનિસ્ટ્રેટર્સને આ નવા પ્રોટોકોલ માટે તેમના પરિમિતિ દ્વારા પોર્ટ 853 પર આઉટબાઉન્ડ ટ્રાફિકને સ્પષ્ટપણે મંજૂરી આપવાની જરૂર છે.

DoT ટ્રાફિકની દૃશ્યતા અને નિયંત્રણની ખાતરી કરવી

DoT નિયંત્રણ માટે શ્રેષ્ઠ પ્રથા તરીકે, અમે તમારી સંસ્થાની જરૂરિયાતોને આધારે ઉપરોક્ત કોઈપણ ભલામણ કરીએ છીએ:

• ગંતવ્ય પોર્ટ 853 માટે તમામ ટ્રાફિકને ડિક્રિપ્ટ કરવા માટે NGFW ને ગોઠવો. ટ્રાફિકને ડિક્રિપ્ટ કરીને, DoT એક DNS એપ્લિકેશન તરીકે દેખાશે જેમાં તમે કોઈપણ ક્રિયા લાગુ કરી શકો છો, જેમ કે સબ્સ્ક્રિપ્શન સક્ષમ કરો પાલો અલ્ટો નેટવર્ક્સ DNS સુરક્ષા DGA ડોમેન્સ અથવા હાલના એકને નિયંત્રિત કરવા માટે DNS સિંકહોલિંગ અને એન્ટી સ્પાયવેર.

• એક વિકલ્પ એ છે કે એપ-આઈડી એન્જિન પોર્ટ 853 પર 'dns-over-tls' ટ્રાફિકને સંપૂર્ણપણે અવરોધિત કરે છે. આ સામાન્ય રીતે ડિફૉલ્ટ રૂપે અવરોધિત હોય છે, કોઈ પગલાંની જરૂર નથી (જ્યાં સુધી તમે 'dns-over-tls' એપ્લિકેશન અથવા પોર્ટ ટ્રાફિકને ખાસ મંજૂરી ન આપો. 853).

સોર્સ: www.habr.com