Meminimalkan risiko penggunaan DoH dan DoT
Perlindungan DoH dan DoT
Apakah Anda mengontrol lalu lintas DNS Anda? Organisasi menginvestasikan banyak waktu, uang, dan upaya untuk mengamankan jaringan mereka. Namun, salah satu area yang sering kurang mendapat perhatian adalah DNS.
Gambaran bagus tentang risiko yang dibawa DNS adalah pada konferensi Infosecurity.
31% kelas ransomware yang disurvei menggunakan DNS untuk pertukaran kunci
31% kelas ransomware yang disurvei menggunakan DNS untuk pertukaran kunci.
Masalahnya serius. Menurut laboratorium penelitian Palo Alto Networks Unit 42, sekitar 85% malware menggunakan DNS untuk membuat saluran perintah dan kontrol, sehingga penyerang dapat dengan mudah memasukkan malware ke dalam jaringan Anda serta mencuri data. Sejak awal, lalu lintas DNS sebagian besar tidak terenkripsi dan dapat dengan mudah dianalisis oleh mekanisme keamanan NGFW.
Protokol baru untuk DNS telah muncul yang bertujuan untuk meningkatkan kerahasiaan koneksi DNS. Mereka didukung secara aktif oleh vendor browser terkemuka dan vendor perangkat lunak lainnya. Lalu lintas DNS terenkripsi akan segera mulai tumbuh di jaringan perusahaan. Lalu lintas DNS terenkripsi yang tidak dianalisis dan diselesaikan dengan benar oleh alat dapat menimbulkan risiko keamanan bagi perusahaan. Misalnya, ancaman tersebut adalah cryptolocker yang menggunakan DNS untuk bertukar kunci enkripsi. Penyerang sekarang menuntut uang tebusan beberapa juta dolar untuk memulihkan akses ke data Anda. Garmin, misalnya, membayar $10 juta.
Jika dikonfigurasi dengan benar, NGFW dapat menolak atau melindungi penggunaan DNS-over-TLS (DoT) dan dapat digunakan untuk menolak penggunaan DNS-over-HTTPS (DoH), sehingga semua lalu lintas DNS di jaringan Anda dapat dianalisis.
Apa itu DNS terenkripsi?
Apa itu DNS
Sistem Nama Domain (DNS) menyelesaikan nama domain yang dapat dibaca manusia (misalnya, alamat ) ke alamat IP (misalnya, 34.107.151.202). Saat pengguna memasukkan nama domain ke browser web, browser mengirimkan permintaan DNS ke server DNS, menanyakan alamat IP yang terkait dengan nama domain tersebut. Sebagai tanggapan, server DNS mengembalikan alamat IP yang akan digunakan browser ini.
Kueri dan respons DNS dikirim melalui jaringan dalam bentuk teks biasa, tidak terenkripsi, sehingga rentan terhadap mata-mata atau mengubah respons dan mengarahkan browser ke server berbahaya. Enkripsi DNS mempersulit pelacakan atau perubahan permintaan DNS selama transmisi. Mengenkripsi permintaan dan respons DNS melindungi Anda dari serangan Man-in-the-Middle sekaligus menjalankan fungsi yang sama seperti protokol DNS (Domain Name System) teks biasa tradisional.
Selama beberapa tahun terakhir, dua protokol enkripsi DNS telah diperkenalkan:
-
DNS-melalui-HTTPS (DoH)
-
DNS-over-TLS (DoT)
Protokol-protokol ini memiliki satu kesamaan: mereka sengaja menyembunyikan permintaan DNS dari intersepsi apa pun... dan juga dari penjaga keamanan organisasi. Protokol ini terutama menggunakan TLS (Transport Layer Security) untuk membuat koneksi terenkripsi antara klien yang membuat kueri dan server yang menyelesaikan kueri DNS melalui port yang biasanya tidak digunakan untuk lalu lintas DNS.
Kerahasiaan permintaan DNS merupakan nilai tambah yang besar dari protokol ini. Namun, hal ini menimbulkan masalah bagi penjaga keamanan yang harus memantau lalu lintas jaringan dan mendeteksi serta memblokir koneksi berbahaya. Karena protokolnya berbeda dalam implementasinya, metode analisis antara DoH dan DoT juga akan berbeda.
DNS melalui HTTPS (DoH)
DNS di dalam HTTPS
DoH menggunakan port 443 yang terkenal untuk HTTPS, yang mana RFC secara khusus menyatakan bahwa tujuannya adalah untuk "mencampur lalu lintas DoH dengan lalu lintas HTTPS lain pada koneksi yang sama", "mempersulit analisis lalu lintas DNS" dan dengan demikian menghindari kontrol perusahaan ( ). Protokol DoH menggunakan enkripsi TLS dan sintaks permintaan yang disediakan oleh standar umum HTTPS dan HTTP/2, menambahkan permintaan dan respons DNS di atas permintaan HTTP standar.
Risiko yang terkait dengan DoH
Jika Anda tidak dapat membedakan lalu lintas HTTPS biasa dari permintaan DoH, maka aplikasi dalam organisasi Anda dapat (dan akan) melewati pengaturan DNS lokal dengan mengalihkan permintaan ke server pihak ketiga yang merespons permintaan DoH, yang mengabaikan pemantauan apa pun, yang berarti menghancurkan kemampuan untuk mengontrol lalu lintas DNS. Idealnya, Anda harus mengontrol DoH menggunakan fungsi dekripsi HTTPS.
И di versi terbaru browser mereka, dan kedua perusahaan berupaya menggunakan DoH secara default untuk semua permintaan DNS. tentang mengintegrasikan DoH ke dalam sistem operasi mereka. Kelemahannya adalah tidak hanya perusahaan perangkat lunak terkemuka, tetapi juga penyerang mulai menggunakan DoH sebagai sarana untuk melewati tindakan firewall perusahaan tradisional. (Misalnya, tinjau artikel berikut: , и .) Dalam kedua kasus tersebut, lalu lintas DoH yang baik dan berbahaya tidak akan terdeteksi, sehingga organisasi tidak akan mengetahui penggunaan DoH yang berbahaya sebagai saluran untuk mengendalikan malware (C2) dan mencuri data sensitif.
Memastikan visibilitas dan kontrol lalu lintas DoH
Sebagai solusi terbaik untuk kontrol DoH, kami merekomendasikan konfigurasi NGFW untuk mendekripsi lalu lintas HTTPS dan memblokir lalu lintas DoH (nama aplikasi: dns-over-https).
Pertama, pastikan NGFW dikonfigurasi untuk mendekripsi HTTPS .
Kedua, buat aturan untuk lalu lintas aplikasi "dns-over-https" seperti yang ditunjukkan di bawah ini:
Aturan NGFW Jaringan Palo Alto untuk Memblokir DNS-over-HTTPS
Sebagai alternatif sementara (jika organisasi Anda belum sepenuhnya menerapkan dekripsi HTTPS), NGFW dapat dikonfigurasi untuk menerapkan tindakan "tolak" ke ID aplikasi "dns-over-https", namun efeknya akan terbatas pada pemblokiran sumur tertentu. server DoH dikenal dengan nama domainnya, jadi tanpa dekripsi HTTPS, lalu lintas DoH tidak dapat diperiksa sepenuhnya (lihat dan cari "dns-over-https").
DNS melalui TLS (DoT)
DNS di dalam TLS
Meskipun protokol DoH cenderung bercampur dengan lalu lintas lain pada port yang sama, DoT secara default menggunakan port khusus yang dicadangkan untuk tujuan tersebut, bahkan secara khusus melarang port yang sama digunakan oleh lalu lintas DNS tradisional yang tidak terenkripsi ( ).
Protokol DoT menggunakan TLS untuk menyediakan enkripsi yang merangkum kueri protokol DNS standar, dengan lalu lintas menggunakan port 853 yang terkenal ( ). Protokol DoT dirancang untuk memudahkan organisasi memblokir lalu lintas pada suatu port, atau menerima lalu lintas tetapi mengaktifkan dekripsi pada port tersebut.
Risiko yang terkait dengan DoT
Google telah menerapkan DoT di kliennya , dengan pengaturan default untuk menggunakan DoT secara otomatis jika tersedia. Jika Anda telah menilai risikonya dan siap menggunakan DoT di tingkat organisasi, maka Anda perlu memiliki administrator jaringan yang secara eksplisit mengizinkan lalu lintas keluar pada port 853 melalui perimeter mereka untuk protokol baru ini.
Memastikan visibilitas dan kontrol lalu lintas DoT
Sebagai praktik terbaik untuk pengendalian DoT, kami merekomendasikan hal-hal di atas, berdasarkan kebutuhan organisasi Anda:
-
Konfigurasikan NGFW untuk mendekripsi semua lalu lintas untuk port tujuan 853. Dengan mendekripsi lalu lintas, DoT akan muncul sebagai aplikasi DNS di mana Anda dapat menerapkan tindakan apa pun, seperti mengaktifkan langganan untuk mengontrol domain DGA atau yang sudah ada dan anti-spyware.
-
Alternatifnya adalah membuat mesin App-ID sepenuhnya memblokir lalu lintas 'dns-over-tls' pada port 853. Ini biasanya diblokir secara default, tidak diperlukan tindakan apa pun (kecuali Anda secara khusus mengizinkan aplikasi atau lalu lintas port 'dns-over-tls' 853).
Sumber: www.habr.com