Nyilikake risiko nggunakake DoH lan DoT
Proteksi DoH lan DoT
Apa sampeyan ngontrol lalu lintas DNS sampeyan? Organisasi nandur modal akeh wektu, dhuwit lan gaweyan kanggo ngamanake jaringan. Nanging, salah sawijining wilayah sing asring diabaikan yaiku DNS.
Ringkesan sing apik babagan risiko sing digawa DNS yaiku ing konferensi Infosecurity.
31% saka kelas ransomware sing ditliti nggunakake DNS kanggo ijol-ijolan kunci. Temuan Sinau
31% saka kelas ransomware sing ditliti nggunakake DNS kanggo ijol-ijolan kunci.
Masalahe serius. Miturut Palo Alto Networks Unit 42 Research Lab, kira-kira 85% malware nggunakake DNS kanggo nggawe saluran printah lan kontrol, ngidini panyerang gampang nyusup jaringan lan nyolong data. Wiwit diwiwiti, lalu lintas DNS biasane ora dienkripsi lan gampang diurai dening mekanisme keamanan NGFW.
Protokol anyar kanggo DNS wis muncul kanggo nambah privasi sambungan DNS. Lagi aktif didhukung dening vendor browser anjog lan vendor lunak liyane. Lalu lintas DNS sing dienkripsi bakal cepet tuwuh ing jaringan perusahaan. Lalu lintas DNS sing dienkripsi sing ora diurai kanthi bener lan diidinake dening alat kasebut nyebabake risiko keamanan kanggo perusahaan. Contone, lemari crypto sing nggunakake DNS kanggo ngganti kunci enkripsi minangka ancaman kasebut. Penyerang saiki nuntut tebusan sawetara yuta dolar kanggo mulihake akses menyang data sampeyan. Garmin, umpamane, dibayar $ 10 yuta.
Yen dikonfigurasi kanthi bener, NGFW bisa nglarang utawa ngamanake panggunaan DNS-over-TLS (DoT) lan bisa digunakake kanggo nglarang panggunaan DNS-over-HTTPS (DoH), ngidini analisis kabeh lalu lintas DNS ing jaringan sampeyan.
Apa DNS sing dienkripsi?
Apa DNS
Sistem Jeneng Domain (DNS) nerjemahake jeneng domain sing bisa diwaca manungsa (contone, alamat ) menyang alamat IP (contone 34.107.151.202). Nalika pangguna ngetik jeneng domain ing browser web, browser ngirim pitakon DNS menyang server DNS, njaluk alamat IP sing digandhengake karo jeneng domain kasebut. Kanggo nanggepi, server DNS ngasilake alamat IP sing bakal digunakake browser iki.
Panjaluk lan tanggepan DNS dikirim liwat jaringan kanthi teks biasa sing ora dienkripsi, dadi rentan kanggo spying utawa ngowahi respon lan ngarahake browser menyang server angkoro. Enkripsi DNS nggawe angel kanggo panjaluk DNS dilacak utawa diowahi nalika transit. Enkripsi panjalukan lan tanggapan DNS nglindhungi sampeyan saka serangan Man-in-the-Middle, nalika nindakake fungsi sing padha karo protokol DNS plaintext tradisional (Domain Name System).
Ing sawetara taun kepungkur, rong protokol enkripsi DNS wis dileksanakake:
-
DNS-over-HTTPS (DoH)
-
DNS-over-TLS (DoT)
Protokol kasebut duwe siji sing padha: kanthi sengaja ndhelikake panjaluk DNS saka interception ... lan uga saka pengawal keamanan organisasi kasebut. Protokol kasebut utamane nggunakake protokol Transport Layer Security (TLS) kanggo nggawe sambungan sing dienkripsi ing antarane klien sing nggawe pitakon lan server sing ngrampungake pitakon DNS liwat port sing biasane ora digunakake kanggo lalu lintas DNS.
Privasi pitakon DNS minangka tambahan gedhe saka protokol kasebut. Nanging, padha nggawe masalah kanggo wong keamanan sing kudu ngawasi lalu lintas jaringan lan ndeteksi lan mblokir sambungan angkoro. Amarga protokol beda-beda ing implementasine, cara analisis bakal beda antarane DoH lan DoT.
DNS liwat HTTPS (DoH)
DNS ing HTTPS
DoH nggunakake port 443 sing kondhang kanggo HTTPS, sing RFC kanthi khusus nyatakake yen tujuane yaiku "nyampur lalu lintas DoH karo lalu lintas HTTPS liyane ing sambungan sing padha", "nggawe angel kanggo ngurai lalu lintas DNS", lan kanthi mangkono nyingkiri perusahaan. kontrol ( ). Protokol DoH nggunakake enkripsi TLS lan sintaks pitakon sing diwenehake dening standar HTTPS lan HTTP/2 umum, nambahake pitakon lan tanggapan DNS ing ndhuwur pitakon HTTP standar.
Resiko sing ana gandhengane karo DoH
Yen sampeyan ora bisa mbedakake antarane lalu lintas HTTPS normal lan panjaluk DoH, mula aplikasi ing organisasi sampeyan bisa (lan bakal) ngliwati setelan DNS lokal kanthi ngarahake panjalukan menyang server pihak katelu sing nanggapi panjalukan DoH, sing ngliwati pemantauan apa wae, yaiku ngrusak kemampuan. kanggo ngontrol lalu lintas DNS. Saenipun, sampeyan kudu ngontrol DoH nggunakake fungsi dekripsi HTTPS.
Π ing versi paling anyar saka browser, lan loro perusahaan digunakake ing nggunakake DoH minangka standar kanggo kabeh panjalukan DNS. kanggo nggabungake DoH menyang sistem operasi. Kelemahane yaiku ora mung perusahaan piranti lunak sing biso dipercoyo, nanging uga para panyerang wis wiwit nggunakake DoH minangka cara kanggo ngliwati langkah-langkah firewall perusahaan tradisional. (Contone, priksa artikel ing ngisor iki: , ΠΈ .) Apa wae, lalu lintas DoH sing apik lan sing ala bakal ora diweruhi, nggawe organisasi wuta nggunakake DoH sing ala minangka saluran kanggo ngontrol malware (C2) lan nyolong data sensitif.
Njamin visibilitas lan kontrol lalu lintas DoH
Minangka solusi paling apik kanggo kontrol DoH, disaranake konfigurasi NGFW kanggo dekripsi lalu lintas HTTPS lan mblokir lalu lintas DoH (jeneng aplikasi: dns-over-https).
Pisanan, priksa manawa NGFW dikonfigurasi kanggo dekripsi HTTPS, miturut .
Kapindho, gawe aturan lalu lintas aplikasi "dns-over-https" kaya ing ngisor iki:
Aturan Palo Alto Networks NGFW kanggo mblokir DNS-over-HTTPS
Minangka alternatif penengah (yen organisasi sampeyan durung ngleksanakake dekripsi HTTPS kanthi lengkap), NGFW bisa dikonfigurasi kanggo ngetrapake tumindak "nolak" menyang ID aplikasi "dns-over-https", nanging efek kasebut bakal diwatesi kanggo ngalangi uga- server DoH dikenal kanthi jeneng domain, mula kepiye tanpa dekripsi HTTPS, lalu lintas DoH ora bisa dipriksa kanthi lengkap (pirsani lan goleki "dns-over-https").
DNS liwat TLS (DoT)
DNS nang TLS
Nalika protokol DoH cenderung nyampur karo lalu lintas liyane ing port sing padha, DoT malah nggunakake port khusus sing dicadhangake kanggo tujuan kasebut, malah ora ngidini panggunaan port sing padha kanggo lalu lintas DNS tradisional sing ora dienkripsi ( ).
Protokol DoT nggunakake protokol TLS kanggo nyedhiyakake enkripsi sing ngemot pitakon protokol DNS standar karo lalu lintas nggunakake port 853 sing kondhang ( ). Protokol DoT dirancang kanggo nggampangake organisasi mblokir lalu lintas ing port, utawa setuju nggunakake, nanging ngaktifake dekripsi ing port kasebut.
Resiko sing ana gandhengane karo DoT
Google ngetrapake DoT ing klien , kanthi DoT kanthi otomatis diaktifake kanthi gawan, yen kasedhiya. Yen sampeyan wis ngevaluasi risiko lan siyap nggunakake DoT ing tingkat organisasi, mula sampeyan butuh pangurus jaringan kanthi jelas ngidini lalu lintas metu menyang port 853 liwat perimeter kanggo protokol anyar iki.
Mesthekake visibilitas lan kontrol lalu lintas DoT
Minangka praktik paling apik kanggo kontrol DoT, disaranake samubarang ing ndhuwur, adhedhasar syarat organisasi sampeyan:
-
Konfigurasi NGFW kanggo dekripsi kabeh lalu lintas kanggo port tujuan 853. Kanthi dekripsi lalu lintas, DoT bakal katon minangka aplikasi DNS sing bisa ditindakake, kayata ngaktifake langganan. kanggo ngontrol domain DGA utawa wis ana lan anti-spyware.
-
Utawa, mesin App-ID bisa mblokir kabeh lalu lintas 'dns-over-tls' ing port 853. Iki biasane diblokir kanthi gawan, ora ana tindakan sing dibutuhake (kajaba sampeyan ngidini aplikasi utawa lalu lintas 'dns-over-tls' khusus ing port. 853). XNUMX).
Source: www.habr.com