ProHoster > Blog > Administrasyon an > Minimize risk ki genyen nan itilize DNS-over-TLS (DoT) ak DNS-over-HTTPS (DoH)

Minimize risk ki genyen nan itilize DNS-over-TLS (DoT) ak DNS-over-HTTPS (DoH)

Minimize risk ki genyen nan itilize DNS-over-TLS (DoT) ak DNS-over-HTTPS (DoH)Minimize risk ki genyen nan itilize DoH ak DoT

DoH ak DoT pwoteksyon

Èske ou kontwole trafik DNS ou a? Òganizasyon yo envesti anpil tan, lajan, ak efò nan sekirize rezo yo. Sepandan, yon zòn ki souvan pa jwenn ase atansyon se DNS.

Yon bon apèsi sou risk ki genyen DNS pote se Prezantasyon Verisign nan konferans Infosecurity.

Minimize risk ki genyen nan itilize DNS-over-TLS (DoT) ak DNS-over-HTTPS (DoH)31% nan klas ransomware yo sondaj itilize DNS pou echanj kle

31% nan klas ransomware yo te fè sondaj te itilize DNS pou echanj kle.

Pwoblèm nan grav. Dapre laboratwa rechèch Palo Alto Networks Unit 42, apeprè 85% malveyan itilize DNS pou etabli yon kanal lòd ak kontwòl, sa ki pèmèt atakè yo fasil enjekte malveyan nan rezo ou a epi vòlè done yo. Depi kreyasyon li, trafik DNS te lajman dekode epi yo ka fasilman analize pa mekanis sekirite NGFW. 

Nouvo pwotokòl pou DNS te parèt ki vize pou ogmante konfidansyalite koneksyon DNS yo. Yo aktivman sipòte pa dirijan navigatè fournisseurs ak lòt fournisseurs lojisyèl. Trafik DNS chiffré pral byento kòmanse grandi nan rezo antrepriz yo. Trafik DNS chiffré ki pa byen analize ak rezoud pa zouti poze yon risk sekirite pou yon konpayi. Pou egzanp, tankou yon menas se cryptolockers ki itilize DNS pou fè echanj kle chifreman. Atakè yo ap mande kounye a yon ranson plizyè milyon dola pou retabli aksè a done ou yo. Garmin, pa egzanp, peye 10 milyon dola.

Lè yo byen konfigirasyon, NGFW yo ka refize oswa pwoteje itilizasyon DNS-over-TLS (DoT) epi yo ka itilize pou refize itilizasyon DNS-over-HTTPS (DoH), sa ki pèmèt tout trafik DNS sou rezo ou a analize.

Ki sa ki kode DNS?

ki sa ki DNS

Sistèm non domèn (DNS) rezoud non domèn moun lizib (pa egzanp, adrès www.paloaltonetworks.com ) nan adrès IP (pa egzanp, 34.107.151.202). Lè yon itilizatè antre yon non domèn nan yon navigatè entènèt, navigatè a voye yon demann DNS nan sèvè a DNS, mande adrès IP ki asosye ak non domèn sa a. Kòm repons, sèvè dns la retounen adrès IP ke navigatè sa a pral itilize.

Rekèt DNS ak repons yo voye atravè rezo a nan tèks klè, san kode, sa ki fè li vilnerab a espyonaj oswa chanje repons lan ak redireksyon navigatè a nan serveurs move. DNS chifreman fè li difisil pou demann DNS yo dwe swiv oswa chanje pandan transmisyon. Kripte demann ak repons DNS pwoteje ou kont atak Man-in-the-Middle pandan y ap fè menm fonksyonalite ak pwotokòl DNS (Domain Name System) tradisyonèl tèks klè. 

Pandan kèk ane ki sot pase yo, yo te prezante de pwotokòl chifreman DNS:

  1. DNS-sou-HTTPS (DoH)

  2. DNS-sou-TLS (DoT)

Pwotokòl sa yo gen yon bagay an komen: yo fè espre kache demann DNS nan nenpòt entèsepsyon ... ak nan men gad sekirite òganizasyon an tou. Pwotokòl yo prensipalman itilize TLS (Transport Layer Security) pou etabli yon koneksyon chiffres ant yon kliyan ki fè demann ak yon sèvè ki rezoud demann DNS sou yon pò ki pa nòmalman itilize pou trafik DNS.

Konfidansyalite nan demann DNS se yon gwo avantaj nan pwotokòl sa yo. Sepandan, yo poze pwoblèm pou gad sekirite yo ki dwe kontwole trafik rezo a epi detekte ak bloke koneksyon move. Paske pwotokòl yo diferan nan aplikasyon yo, metòd analiz yo pral diferan ant DoH ak DoT.

DNS sou HTTPS (DoH)

Minimize risk ki genyen nan itilize DNS-over-TLS (DoT) ak DNS-over-HTTPS (DoH)DNS andedan HTTPS

DoH sèvi ak pò a byen li te ye 443 pou HTTPS, pou ki RFC a espesyalman deklare ke entansyon an se "melanje trafik DoH ak lòt trafik HTTPS sou menm koneksyon an", "fè li difisil pou analize trafik DNS" epi konsa kontourne kontwòl antrepriz. ( RFC 8484 DoH Seksyon 8.1 ). Pwotokòl DoH a sèvi ak chifreman TLS ak sentaks demann yo bay nan estanda HTTPS ak HTTP/2 komen yo, ajoute demann DNS ak repons sou demann HTTP estanda yo.

Risk ki asosye ak DoH

Si ou pa ka fè distenksyon ant trafik HTTPS regilye ak demann DoH, lè sa a aplikasyon ki nan òganizasyon w la ka (epi yo pral) kontoune anviwònman DNS lokal yo lè yo redireksyon demann yo bay sèvè twazyèm pati ki reponn a demann DoH, ki kontourne nenpòt siveyans, se sa ki detwi kapasite nan. kontwole trafik dns la. Idealman, ou ta dwe kontwole DoH lè l sèvi avèk fonksyon dechifre HTTPS. 

И Google ak Mozilla te aplike kapasite DoH nan vèsyon an dènye nan navigatè yo, ak tou de konpayi yo ap travay yo sèvi ak DoH pa default pou tout demann DNS. Microsoft ap devlope tou plan sou entegre DoH nan sistèm operasyon yo. Dezavantaj la se ke pa sèlman konpayi lojisyèl ki gen bon repitasyon, men tou, atakè yo te kòmanse sèvi ak DoH kòm yon mwayen pou kontoune mezi firewall antrepriz tradisyonèl yo. (Pa egzanp, revize atik sa yo: PsiXBot kounye a itilize Google DoH , PsiXBot kontinye evolye ak enfrastrikti DNS ki ajou и Godlua analiz backdoor .) Nan nenpòt ka, tou de bon ak move trafik DoH pral pa detekte, kite òganizasyon an avèg nan itilizasyon move nan DoH kòm yon kanal pou kontwole malveyan (C2) ak vòlè done sansib.

Asire vizibilite ak kontwòl trafik DoH

Kòm pi bon solisyon pou kontwòl DoH, nou rekòmande konfigirasyon NGFW pou dechifre trafik HTTPS epi bloke trafik DoH (non aplikasyon an: dns-over-https). 

Premyèman, asire w ke NGFW configuré pou dechifre HTTPS, dapre yon gid pou pi bon teknik dechifre.

Dezyèmman, kreye yon règ pou trafik aplikasyon "dns-over-https" jan yo montre anba a:

Minimize risk ki genyen nan itilize DNS-over-TLS (DoT) ak DNS-over-HTTPS (DoH)Palo Alto Networks NGFW Règ pou bloke DNS-sou-HTTPS

Kòm yon altènatif pwovizwa (si òganizasyon w pa te konplètman aplike dechifre HTTPS), NGFW ka konfigirasyon pou aplike yon aksyon "refize" nan ID aplikasyon an "dns-over-https", men efè a pral limite a bloke sèten byen- sèvè DoH li te ye pa non domèn yo, kidonk ki jan san dechifre HTTPS, trafik DoH pa ka konplètman enspekte (gade  Applipedia soti nan Palo Alto Networks   epi chèche "dns-over-https").

DNS sou TLS (DoT)

Minimize risk ki genyen nan itilize DNS-over-TLS (DoT) ak DNS-over-HTTPS (DoH)DNS andedan TLS

Pandan ke pwotokòl DoH a gen tandans melanje ak lòt trafik sou menm pò a, DoT pito itilize yon pò espesyal ki rezève pou sèl objektif sa a, menm espesyalman entèdi menm pò a pou yo pa itilize pa trafik DNS tradisyonèl ki pa chiffres ( RFC 7858, Seksyon 3.1 ).

Pwotokòl DoT la sèvi ak TLS pou bay chifreman ki ankapsule demann pwotokòl DNS estanda, ak trafik ki itilize pò 853 ki byen koni ( RFC 7858 seksyon 6 ). Pwotokòl DoT la te fèt pou rann li pi fasil pou òganizasyon yo bloke trafik sou yon pò, oswa aksepte trafik men pèmèt dechifre sou pò sa a.

Risk ki asosye ak DoT

Google te aplike DoT nan kliyan li yo Android 9 Pie ak pita , ak anviwònman defo a otomatikman itilize DoT si sa disponib. Si ou te evalye risk yo epi ou pare pou itilize DoT nan nivo òganizasyon an, Lè sa a, ou bezwen gen administratè rezo yo klèman pèmèt trafik soti sou pò 853 nan perimèt yo pou nouvo pwotokòl sa a.

Asire vizibilite ak kontwòl trafik DoT

Kòm yon pi bon pratik pou kontwòl DoT, nou rekòmande nenpòt nan sa ki anwo yo, ki baze sou kondisyon òganizasyon w lan:

  • Konfigure NGFW pou dechifre tout trafik pou pò destinasyon 853. Lè w dechifre trafik, DoT ap parèt kòm yon aplikasyon DNS kote ou ka aplike nenpòt aksyon, tankou pèmèt abònman. Palo Alto Networks DNS Sekirite pou kontwole domèn DGA oswa yon domèn ki egziste deja DNS Sinkholing ak anti-espyon.

  • Yon altènatif se fè motè App-ID bloke konplètman 'dns-over-tls' trafik sou pò 853. Sa a anjeneral bloke pa default, pa gen okenn aksyon obligatwa (sòf si ou espesyalman pèmèt aplikasyon 'dns-over-tls' oswa trafik pò. 853).

Sous: www.habr.com

Add nouvo kòmantè