ProHoster > Blog > Stjórnsýsla > Lágmarka áhættuna af notkun DNS-over-TLS (DoT) og DNS-over-HTTPS (DoH)

Lágmarka áhættuna af notkun DNS-over-TLS (DoT) og DNS-over-HTTPS (DoH)

Lágmarka áhættuna af notkun DNS-over-TLS (DoT) og DNS-over-HTTPS (DoH)Lágmarka áhættuna af notkun DoH og DoT

DoH og DoT vernd

Stjórnar þú DNS umferð þinni? Stofnanir leggja mikinn tíma, peninga og fyrirhöfn í að tryggja tengslanet sín. Hins vegar, eitt svæði sem oft fær ekki næga athygli er DNS.

Gott yfirlit yfir áhættuna sem DNS hefur í för með sér er Verisign kynning á Infosecurity ráðstefnunni.

Lágmarka áhættuna af notkun DNS-over-TLS (DoT) og DNS-over-HTTPS (DoH)31% lausnarhugbúnaðarflokka sem könnuðir voru notuðu DNS til að skiptast á lyklum. Niðurstöður rannsókna

31% lausnarhugbúnaðarflokka sem könnuðir voru notuðu DNS fyrir lyklaskipti.

Vandamálið er alvarlegt. Samkvæmt Palo Alto Networks Unit 42 rannsóknarstofu notar um það bil 85% spilliforrita DNS til að koma á stjórn- og stjórnunarrás, sem gerir árásarmönnum kleift að dæla spilliforritum auðveldlega inn á netið þitt og stela gögnum. Frá upphafi hefur DNS umferð verið að mestu ódulkóðuð og auðvelt er að greina hana með NGFW öryggiskerfum. 

Nýjar samskiptareglur fyrir DNS hafa komið fram sem miða að því að auka trúnað DNS tenginga. Þeir eru virkir studdir af leiðandi vafraframleiðendum og öðrum hugbúnaðarframleiðendum. Dulkóðuð DNS umferð mun brátt fara að vaxa í fyrirtækjanetum. Dulkóðuð DNS umferð sem er ekki rétt greind og leyst með verkfærum skapar öryggisáhættu fyrir fyrirtæki. Til dæmis, slík ógn er dulkóðunartæki sem nota DNS til að skiptast á dulkóðunarlyklum. Árásarmenn krefjast nú lausnargjalds upp á nokkrar milljónir dollara til að endurheimta aðgang að gögnunum þínum. Garmin greiddi til dæmis 10 milljónir dollara.

Þegar það er rétt stillt geta NGFWs neitað eða verndað notkun DNS-over-TLS (DoT) og hægt að nota til að neita notkun DNS-over-HTTPS (DoH), sem gerir kleift að greina alla DNS umferð á netinu þínu.

Hvað er dulkóðað DNS?

Hvað er DNS

Domain Name System (DNS) leysir úr mönnum læsileg lén (til dæmis heimilisfang www.paloaltonetworks.com ) í IP-tölur (til dæmis 34.107.151.202). Þegar notandi slær inn lén í vafra sendir vafrinn DNS fyrirspurn til DNS netþjónsins og biður um IP tölu sem tengist því lén. Til að bregðast við því skilar DNS þjóninum IP tölunni sem þessi vafri mun nota.

DNS fyrirspurnir og svör eru send um netið í látlausum texta, ódulkóðuðum, sem gerir það viðkvæmt fyrir njósnum eða breytingum á svarinu og vísar vafranum á illgjarna netþjóna. DNS dulkóðun gerir það að verkum að erfitt er að rekja DNS beiðnir eða breyta þeim meðan á sendingu stendur. Dulkóðun DNS-beiðna og -svara verndar þig fyrir árásum á milli manna á meðan þú framkvæmir sömu virkni og hefðbundin DNS (Domain Name System) samskiptareglur. 

Undanfarin ár hafa tvær DNS dulkóðunarsamskiptareglur verið kynntar:

  1. DNS-yfir-HTTPS (DoH)

  2. DNS-yfir-TLS (DoT)

Þessar samskiptareglur eiga eitt sameiginlegt: þær fela vísvitandi DNS beiðnir fyrir hvers kyns hlerun ... og einnig fyrir öryggisvörðum stofnunarinnar. Samskiptareglurnar nota fyrst og fremst TLS (Transport Layer Security) til að koma á dulkóðuðu sambandi milli viðskiptavinar sem gerir fyrirspurnir og netþjóns sem leysir DNS fyrirspurnir yfir gátt sem er venjulega ekki notuð fyrir DNS umferð.

Trúnaður um DNS fyrirspurnir er stór plús við þessar samskiptareglur. Hins vegar valda þeir vandamálum fyrir öryggisverði sem verða að fylgjast með netumferð og greina og loka fyrir skaðlegar tengingar. Vegna þess að samskiptareglur eru mismunandi í framkvæmd þeirra, munu greiningaraðferðirnar vera mismunandi milli DoH og DoT.

DNS yfir HTTPS (DoH)

Lágmarka áhættuna af notkun DNS-over-TLS (DoT) og DNS-over-HTTPS (DoH)DNS inni í HTTPS

DoH notar hið þekkta tengi 443 fyrir HTTPS, sem RFC tekur sérstaklega fram fyrir að ætlunin sé að "blanda DoH umferð við aðra HTTPS umferð á sömu tengingu", "gera erfitt að greina DNS umferð" og sniðganga þannig eftirlit fyrirtækja ( RFC 8484 DoH hluti 8.1 ). DoH samskiptareglan notar TLS dulkóðun og setningafræði beiðna sem venjulegir HTTPS og HTTP/2 staðlar veita, og bætir DNS beiðnum og svörum ofan á venjulegar HTTP beiðnir.

Áhætta tengd DoH

Ef þú getur ekki greint venjulega HTTPS-umferð frá DoH-beiðnum, þá geta (og munu) forrit innan fyrirtækisins fara framhjá staðbundnum DNS-stillingum með því að beina beiðnum til þriðju aðila netþjóna sem svara DoH-beiðnum, sem framhjá öllum vöktun, það er, eyðileggur getu til að stjórna DNS umferð. Helst ættir þú að stjórna DoH með því að nota HTTPS afkóðunaraðgerðir. 

И Google og Mozilla hafa innleitt DoH getu í nýjustu útgáfu vafra þeirra og bæði fyrirtæki vinna að því að nota DoH sjálfgefið fyrir allar DNS beiðnir. Microsoft er einnig að þróa áætlanir um að samþætta DoH í stýrikerfi þeirra. Gallinn er sá að ekki aðeins virt hugbúnaðarfyrirtæki, heldur einnig árásarmenn, eru farnir að nota DoH sem leið til að komast framhjá hefðbundnum eldveggsráðstöfunum fyrirtækja. (Til dæmis, skoðaðu eftirfarandi greinar: PsiXBot notar nú Google DoH , PsiXBot heldur áfram að þróast með uppfærðum DNS innviðum и Godlua bakdyragreining .) Í báðum tilvikum mun bæði góð og illgjarn DoH umferð verða óuppgötvuð, sem gerir stofnunina blinda fyrir illgjarnri notkun DoH sem leið til að stjórna malware (C2) og stela viðkvæmum gögnum.

Að tryggja sýnileika og stjórn á DoH umferð

Sem besta lausnin fyrir DoH-stýringu mælum við með því að stilla NGFW til að afkóða HTTPS-umferð og loka fyrir DoH-umferð (nafn forrits: dns-over-https). 

Fyrst skaltu ganga úr skugga um að NGFW sé stillt til að afkóða HTTPS, skv leiðbeiningar um bestu afkóðunaraðferðir.

Í öðru lagi, búðu til reglu fyrir forritaumferð „dns-over-https“ eins og sýnt er hér að neðan:

Lágmarka áhættuna af notkun DNS-over-TLS (DoT) og DNS-over-HTTPS (DoH)Palo Alto Networks NGFW regla til að loka á DNS-yfir-HTTPS

Sem bráðabirgðavalkostur (ef stofnunin þín hefur ekki innleitt HTTPS afkóðun að fullu) er hægt að stilla NGFW til að beita „neita“ aðgerð á „dns-over-https“ forritauðkennið, en áhrifin verða takmörkuð við að loka á tilteknar vel- þekktir DoH netþjónar með léninu sínu, svo hvernig án HTTPS afkóðun er ekki hægt að skoða DoH umferð að fullu (sjá  Applipedia frá Palo Alto Networks   og leitaðu að „dns-over-https“).

DNS yfir TLS (DoT)

Lágmarka áhættuna af notkun DNS-over-TLS (DoT) og DNS-over-HTTPS (DoH)DNS inni í TLS

Þó að DoH-samskiptareglur hafi tilhneigingu til að blandast annarri umferð á sömu höfn, notar DoT þess í stað sjálfgefið að nota sérstaka höfn sem er frátekin í þeim eina tilgangi, jafnvel sérstaklega bannað að nota sömu höfn af hefðbundinni ódulkóðuðu DNS-umferð ( RFC 7858, hluti 3.1 ).

DoT samskiptareglan notar TLS til að bjóða upp á dulkóðun sem hylur staðlaðar DNS samskiptareglur fyrirspurnir, með umferð sem notar hið vel þekkta tengi 853 ( RFC 7858 hluti 6 ). DoT samskiptareglan var hönnuð til að auðvelda stofnunum að loka fyrir umferð á höfn, eða samþykkja umferð en virkja afkóðun á þeirri höfn.

Áhætta tengd DoT

Google hefur innleitt DoT í viðskiptavini sínum Android 9 Pie og síðar , með sjálfgefna stillingu til að nota DoT sjálfkrafa ef það er til staðar. Ef þú hefur metið áhættuna og ert tilbúinn til að nota DoT á skipulagsstigi, þá þarftu að láta netkerfisstjóra sérstaklega leyfa útleið á höfn 853 í gegnum jaðar þeirra fyrir þessa nýju samskiptareglur.

Að tryggja sýnileika og stjórn á DoT umferð

Sem besta starfsvenjan fyrir DoT-stýringu mælum við með einhverju af ofangreindu, byggt á kröfum fyrirtækisins þíns:

  • Stilltu NGFW til að afkóða alla umferð fyrir áfangastað 853. Með því að afkóða umferð mun DoT birtast sem DNS forrit sem þú getur beitt hvaða aðgerð sem er, eins og að virkja áskrift Palo Alto Networks DNS öryggi til að stjórna DGA lénum eða núverandi DNS Sinkholing og njósnavörn.

  • Annar valkostur er að láta App-ID vélina loka algjörlega fyrir 'dns-over-tls' umferð á höfn 853. Þetta er venjulega læst sjálfgefið, engin aðgerð er nauðsynleg (nema þú leyfir sérstaklega 'dns-over-tls' forrit eða höfn umferð 853).

Heimild: www.habr.com

Bæta við athugasemd