DNS-over-TLS (DoT) および DNS-over-HTTPS (DoH) の使用のリスクを最小限に抑える

DoH および DoT を使用するリスクを最小限に抑える

DoH および DoT 保護

DNS トラフィックを制御していますか? 組織はネットワークのセキュリティを確保するために多大な時間、資金、労力を投資しています。 ただし、十分な注目が集まらない領域の XNUMX つは DNS です。

DNS がもたらすリスクの概要は次のとおりです。 ベリサインのプレゼンテーション 情報セキュリティカンファレンスにて。

調査したランサムウェア クラスの 31% はキー交換に DNS を使用していました。

調査対象となったランサムウェア クラスの 31% はキー交換に DNS を使用していました。

問題は深刻だ。 パロアルトネットワークスの Unit 42 研究所によると、マルウェアの約 85% が DNS を使用してコマンド アンド コントロール チャネルを確立し、攻撃者がネットワークにマルウェアを簡単に注入したり、データを盗んだりできるようにしています。 DNS トラフィックは当初からほとんど暗号化されておらず、NGFW セキュリティ メカニズムによって簡単に分析できます。 

DNS 接続の機密性を高めることを目的とした、DNS の新しいプロトコルが登場しました。 これらは、主要なブラウザ ベンダーやその他のソフトウェア ベンダーによって積極的にサポートされています。 企業ネットワークでは、暗号化された DNS トラフィックが間もなく増加し始めるでしょう。 ツールによって適切に分析および解決されない暗号化された DNS トラフィックは、企業にセキュリティ リスクをもたらします。 たとえば、このような脅威は、DNS を使用して暗号化キーを交換する暗号ロッカーです。 攻撃者は現在、データへのアクセスを復元するために数百万ドルの身代金を要求しています。 たとえば、Garmin は 10 万ドルを支払いました。

NGFW を適切に構成すると、DNS-over-TLS (DoT) の使用を拒否または保護したり、DNS-over-HTTPS (DoH) の使用を拒否したりすることができ、ネットワーク上のすべての DNS トラフィックを分析できるようになります。

暗号化されたDNSとは何ですか?

DNSとは

ドメイン ネーム システム (DNS) は、人間が判読できるドメイン名 (アドレスなど) を解決します。 www.paloaltonetworks.com ) を IP アドレス (たとえば、34.107.151.202) に変換します。 ユーザーが Web ブラウザにドメイン名を入力すると、ブラウザは DNS クエリを DNS サーバーに送信し、そのドメイン名に関連付けられた IP アドレスを要求します。 応答として、DNS サーバーは、このブラウザが使用する IP アドレスを返します。

DNS クエリと応答は、暗号化されていないプレーン テキストでネットワーク上に送信されるため、スパイ行為や応答の変更、ブラウザの悪意のあるサーバーへのリダイレクトに対して脆弱になります。 DNS 暗号化により、送信中の DNS リクエストの追跡や変更が困難になります。 DNS リクエストとレスポンスを暗号化すると、従来のプレーンテキスト DNS (ドメイン ネーム システム) プロトコルと同じ機能を実行しながら、中間者攻撃から保護されます。 

過去数年にわたって、次の XNUMX つの DNS 暗号化プロトコルが導入されました。

1. DNS-over-HTTPS（DoH）

2. DNS-over-TLS (DoT)

これらのプロトコルには共通点が XNUMX つあります。それは、DNS リクエストを意図的に傍受から隠し、組織のセキュリティ ガードからも隠します。 このプロトコルは主に TLS (Transport Layer Security) を使用して、通常は DNS トラフィックに使用されないポート上で、クエリを行うクライアントと DNS クエリを解決するサーバーとの間に暗号化された接続を確立します。

DNS クエリの機密性は、これらのプロトコルの大きな利点です。 ただし、ネットワーク トラフィックを監視し、悪意のある接続を検出してブロックする必要があるセキュリティ ガードにとっては問題が発生します。 プロトコルの実装が異なるため、DoH と DoT では分析方法が異なります。

DNS over HTTPS（DoH）

HTTPS 内の DNS

DoH は HTTPS に既知のポート 443 を使用します。RFC では、その目的が「DoH トラフィックと他の HTTPS トラフィックを同じ接続上で混合」し、「DNS トラフィックの分析を困難にする」ことで企業制御を回避することであると具体的に述べています。 ( RFC 8484 DoH セクション 8.1 ）。 DoH プロトコルは、TLS 暗号化と、共通の HTTPS および HTTP/2 標準によって提供される要求構文を使用し、標準の HTTP 要求に DNS 要求と応答を追加します。

DoH に関連するリスク

通常の HTTPS トラフィックと DoH リクエストを区別できない場合、組織内のアプリケーションは、DoH リクエストに応答するサードパーティ サーバーにリクエストをリダイレクトすることで、ローカル DNS 設定をバイパスすることができます (そしてバイパスすることになります)。これにより、あらゆる監視がバイパスされます。つまり、 DNS トラフィックを制御します。 理想的には、HTTPS 復号化機能を使用して DoH を制御する必要があります。 

И Google と Mozilla は DoH 機能を実装しました 両社は、すべての DNS リクエストに対してデフォルトで DoH を使用するよう取り組んでいます。 マイクロソフトも計画を策定中 DoH をオペレーティング システムに統合することについて。 欠点は、評判の高いソフトウェア会社だけでなく、攻撃者も従来の企業ファイアウォール対策を回避する手段として DoH を使用し始めていることです。 (たとえば、次の記事を参照してください。 PsiXBot は Google DoH を使用するようになりました , PsiXBot は、DNS インフラストラクチャの更新により進化し続けます и Godlua バックドア分析 どちらの場合も、善良な DoH トラフィックと悪意のある DoH トラフィックの両方が検出されず、組織はマルウェア (C2) を制御し、機密データを盗むための経路として DoH を悪用することに気付かないままになります。

DoH トラフィックの可視性と制御の確保

DoH 制御の最適なソリューションとして、HTTPS トラフィックを復号化し、DoH トラフィックをブロックするように NGFW を構成することをお勧めします (アプリケーション名: dns-over-https)。 

まず、NGFW が HTTPS を復号化するように設定されていることを確認します。 最適な復号化テクニックのガイド.

次に、以下に示すように、アプリケーション トラフィック「dns-over-https」のルールを作成します。

DNS-over-HTTPS をブロックするパロアルトネットワークスの NGFW ルール

暫定的な代替手段 (組織が HTTPS 復号化を完全に実装していない場合) として、「dns-over-https」アプリケーション ID に「拒否」アクションを適用するように NGFW を構成できますが、その効果は特定のウェルのブロックに限定されます。既知の DoH サーバーはドメイン名で識別されるため、HTTPS 復号化がなければ DoH トラフィックを完全に検査できないのはなぜですか (「  パロアルトネットワークスのApplipedia   「dns-over-https」を検索してください)。

DNS over TLS (DoT)

TLS内のDNS

DoH プロトコルは同じポート上で他のトラフィックと混在する傾向がありますが、DoT は代わりに、その唯一の目的のために予約された特別なポートをデフォルトで使用し、従来の暗号化されていない DNS トラフィックによる同じポートの使用を明確に禁止しています ( RFC 7858、セクション 3.1 ).

DoT プロトコルは、TLS を使用して標準の DNS プロトコル クエリをカプセル化する暗号化を提供し、トラフィックにはウェルノウン ポート 853 ( RFC 7858 セクション 6 ）。 DoT プロトコルは、組織がポート上のトラフィックをブロックしたり、トラフィックを受け入れながらそのポートで復号化を有効にしたりすることを容易にするように設計されました。

DoT に関連するリスク

Google はクライアントに DoT を実装しました Android 9 Pie以降 、デフォルト設定では、利用可能な場合は自動的に DoT を使用します。 リスクを評価し、組織レベルで DoT を使用する準備ができている場合は、ネットワーク管理者に、この新しいプロトコルの境界を通過するポート 853 の送信トラフィックを明示的に許可してもらう必要があります。

DoT トラフィックの可視性と制御の確保

DoT 制御のベスト プラクティスとして、組織の要件に基づいて上記のいずれかを推奨します。

• 宛先ポート 853 のすべてのトラフィックを復号化するように NGFW を構成します。トラフィックを復号化すると、DoT が DNS アプリケーションとして表示され、サブスクリプションの有効化などのアクションを適用できるようになります。 パロアルトネットワークのDNSセキュリティ DGA ドメインまたは既存のドメインを制御するため DNSシンクホール そしてスパイウェア対策。

• 別の方法は、App-ID エンジンでポート 853 の「dns-over-tls」トラフィックを完全にブロックすることです。これは通常、デフォルトでブロックされており、アクションは必要ありません（「dns-over-tls」アプリケーションまたはポート トラフィックを特別に許可しない限り） 853）。

出所： habr.com