מזעור הסיכונים בשימוש ב-DNS-over-TLS (DoT) ו-DNS-over-HTTPS (DoH)

מזעור הסיכונים בשימוש ב-DoH ו-DoT

הגנת DoH ו-DoT

האם אתה שולט בתעבורת ה-DNS שלך? ארגונים משקיעים הרבה זמן, כסף ומאמץ באבטחת הרשתות שלהם. עם זאת, תחום אחד שלעתים קרובות אינו מקבל מספיק תשומת לב הוא DNS.

סקירה טובה של הסיכונים ש-DNS מביא היא מצגת של Verisign בכנס Infosecurity.

31% משיעורי תוכנות הכופר שנסקרו השתמשו ב-DNS להחלפת מפתחות. ממצאי מחקר

31% משיעורי תוכנות הכופר שנסקרו השתמשו ב-DNS להחלפת מפתחות.

הבעיה היא חמורה. על פי מעבדת המחקר Palo Alto Networks Unit 42, כ-85% מהתוכנות הזדוניות משתמשות ב-DNS כדי ליצור ערוץ שליטה ובקרה, מה שמאפשר לתוקפים להחדיר בקלות תוכנות זדוניות לרשת שלך, כמו גם לגנוב נתונים. מאז הקמתה, תעבורת DNS הייתה ברובה לא מוצפנת וניתן לנתח אותה בקלות על ידי מנגנוני אבטחה של NGFW. 

פרוטוקולים חדשים עבור DNS הופיעו שמטרתם להגביר את הסודיות של חיבורי DNS. הם נתמכים באופן פעיל על ידי ספקי דפדפנים מובילים וספקי תוכנה אחרים. תעבורת DNS מוצפנת תתחיל בקרוב לגדול ברשתות ארגוניות. תעבורת DNS מוצפנת שאינה מנותחת ונפתרת כהלכה על ידי כלים מהווה סיכון אבטחה לחברה. לדוגמה, איום כזה הוא cryptolockers המשתמשים ב-DNS כדי להחליף מפתחות הצפנה. התוקפים דורשים כעת כופר של כמה מיליוני דולרים כדי להחזיר את הגישה לנתונים שלך. גרמין, למשל, שילמה 10 מיליון דולר.

כשהם מוגדרים כראוי, NGFWs יכולים להכחיש או להגן על השימוש ב-DNS-over-TLS (DoT) וניתן להשתמש בהם כדי למנוע את השימוש ב-DNS-over-HTTPS (DoH), ולאפשר לנתח את כל תעבורת ה-DNS ברשת שלך.

מהו DNS מוצפן?

מה זה DNS

מערכת שמות הדומיין (DNS) פותרת שמות דומיינים הניתנים לקריאה על ידי אדם (לדוגמה, כתובת www.paloaltonetworks.com ) לכתובות IP (לדוגמה, 34.107.151.202). כאשר משתמש מזין שם תחום בדפדפן אינטרנט, הדפדפן שולח שאילתת DNS לשרת ה-DNS, ומבקש את כתובת ה-IP המשויכת לשם תחום זה. בתגובה, שרת ה-DNS מחזיר את כתובת ה-IP שבה ישתמש הדפדפן הזה.

שאילתות ותגובות DNS נשלחות ברחבי הרשת בטקסט רגיל, לא מוצפן, מה שהופך אותה לפגיעה לריגול או לשינוי התגובה והפניית הדפדפן לשרתים זדוניים. הצפנת DNS מקשה על מעקב או שינוי של בקשות DNS במהלך השידור. הצפנת בקשות ותגובות DNS מגינה עליך מפני התקפות Man-in-the-Middle תוך ביצוע אותה פונקציונליות כמו פרוטוקול ה-DNS הרגיל (Domain Name System) המסורתי. 

במהלך השנים האחרונות, הוצגו שני פרוטוקולי הצפנת DNS:

1. DNS-over-HTTPS (DoH)

2. DNS-over-TLS (DoT)

לפרוטוקולים הללו יש דבר אחד במשותף: הם מסתירים בכוונה בקשות DNS מכל יירוט... וגם ממאבטחי הארגון. הפרוטוקולים משתמשים בעיקר ב-TLS (Transport Layer Security) כדי ליצור חיבור מוצפן בין לקוח שמבצע שאילתות לבין שרת הפותר שאילתות DNS דרך יציאה שאינה משמשת בדרך כלל לתעבורת DNS.

הסודיות של שאילתות DNS היא יתרון גדול של פרוטוקולים אלה. עם זאת, הם מציבים בעיות למאבטחים שחייבים לנטר את תעבורת הרשת ולזהות ולחסום חיבורים זדוניים. מכיוון שהפרוטוקולים שונים ביישום שלהם, שיטות הניתוח יהיו שונות בין DoH ל-DoT.

DNS באמצעות HTTPS (DoH)

DNS בתוך HTTPS

DoH משתמש ביציאה הידועה 443 עבור HTTPS, שעבורה ה-RFC מציין במפורש כי הכוונה היא "לערבב תעבורת DoH עם תעבורת HTTPS אחרת באותו חיבור", "להקשות על ניתוח תעבורת DNS" ובכך לעקוף את הבקרות הארגוניות ( RFC 8484 DoH סעיף 8.1 ). פרוטוקול DoH משתמש בהצפנת TLS ובתחביר הבקשות המסופק על ידי תקני HTTPS ו-HTTP/2 הנפוצים, ומוסיף בקשות ותגובות DNS על בקשות HTTP סטנדרטיות.

סיכונים הקשורים ל-DoH

אם אינך יכול להבחין בין תעבורת HTTPS רגילה לבין בקשות DoH, אזי יישומים בתוך הארגון שלך יכולים (ויעשו) לעקוף הגדרות DNS מקומיות על ידי הפניית בקשות לשרתים של צד שלישי המגיבים לבקשות DoH, מה שעוקף כל ניטור, כלומר הורס את היכולת לשלוט בתעבורת ה-DNS. באופן אידיאלי, עליך לשלוט ב-DoH באמצעות פונקציות פענוח HTTPS. 

И גוגל ומוזילה הטמיעו יכולות DoH בגרסה העדכנית ביותר של הדפדפנים שלהם, ושתי החברות פועלות להשתמש ב-DoH כברירת מחדל עבור כל בקשות ה-DNS. מיקרוסופט גם מפתחת תוכניות על שילוב DoH במערכות ההפעלה שלהם. החיסרון הוא שלא רק חברות תוכנה מוכרות, אלא גם תוקפים החלו להשתמש ב-DoH כאמצעי לעקוף אמצעי חומת אש ארגוניים מסורתיים. (לדוגמה, עיין במאמרים הבאים: PsiXBot משתמש כעת ב-Google DoH , PsiXBot ממשיך להתפתח עם תשתית DNS מעודכנת и ניתוח דלת אחורית של Godlua .) בכל מקרה, תעבורת DoH טובה וגם זדונית לא תזוהה, ותותיר את הארגון עיוור לשימוש זדוני ב-DoH כצינור לשליטה בתוכנות זדוניות (C2) וגניבת נתונים רגישים.

הבטחת נראות ושליטה בתנועת DoH

כפתרון הטוב ביותר לבקרת DoH, אנו ממליצים להגדיר את NGFW לפענוח תעבורת HTTPS ולחסום תעבורת DoH (שם אפליקציה: dns-over-https). 

ראשית, ודא ש-NGFW מוגדר לפענוח HTTPS, לפי מדריך לטכניקות הפענוח הטובות ביותר.

שנית, צור כלל לתעבורת יישומים "dns-over-https" כפי שמוצג להלן:

כלל NGFW של Palo Alto Networks לחסימת DNS-over-HTTPS

כחלופה ביניים (אם הארגון שלך לא יישם את פענוח HTTPS במלואו), ניתן להגדיר את NGFW להחיל פעולת "הכחשה" על מזהה היישום "dns-over-https", אך ההשפעה תהיה מוגבלת לחסימת מקורות מסוימים שרתי DoH ידועים לפי שם הדומיין שלהם, אז איך ללא פענוח HTTPS, לא ניתן לבדוק את תעבורת DoH במלואה (ראה  Applipedia מבית Palo Alto Networks   וחפש את "dns-over-https").

DNS על TLS (DoT)

DNS בתוך TLS

בעוד שפרוטוקול DoH נוטה להתערבב עם תעבורה אחרת באותה יציאה, DoT במקום זאת משתמש ביציאה מיוחדת ששמורה למטרה הבלעדית הזו, אפילו לא מאפשר שימוש באותה יציאה על ידי תעבורת DNS מסורתית לא מוצפנת ( RFC 7858, סעיף 3.1 ).

פרוטוקול DoT משתמש ב-TLS כדי לספק הצפנה המקופלת שאילתות פרוטוקול DNS סטנדרטיות, עם תעבורה באמצעות היציאה הידועה 853 ( RFC 7858 סעיף 6 ). פרוטוקול ה-DoT תוכנן כדי להקל על ארגונים לחסום תעבורה בפורט, או לקבל תעבורה אך לאפשר פענוח ביציאה זו.

סיכונים הקשורים ל-DoT

גוגל הטמיעה DoT בלקוח שלה Android 9 Pie ואילך , עם הגדרת ברירת המחדל לשימוש אוטומטי ב-DoT אם זמין. אם הערכת את הסיכונים ואתה מוכן להשתמש ב-DoT ברמה הארגונית, אז אתה צריך שמנהלי רשת יאפשרו במפורש תעבורה יוצאת ביציאה 853 דרך ההיקף שלהם עבור פרוטוקול חדש זה.

הבטחת נראות ושליטה בתעבורת DoT

כשיטות עבודה מומלצות לבקרת DoT, אנו ממליצים על כל אחד מהאפשרויות לעיל, בהתבסס על הדרישות של הארגון שלך:

• הגדר את NGFW כדי לפענח את כל התעבורה עבור יציאת יעד 853. על ידי פענוח תעבורה, DoT יופיע כיישום DNS שעליו תוכל להחיל כל פעולה, כגון הפעלת מנוי אבטחת DNS של Palo Alto Networks לשלוט בדומיינים DGA או קיים DNS Sinkholing ואנטי תוכנות ריגול.

• חלופה היא שהמנוע App-ID יחסום לחלוטין את תעבורת 'dns-over-tls' ביציאה 853. זה בדרך כלל חסום כברירת מחדל, אין צורך בפעולה (אלא אם אתה מתיר ספציפית יישום 'dns-over-tls' או תעבורת יציאה 853).

מקור: www.habr.com