DNS-over-TLS (DoT) და DNS-over-HTTPS (DoH) გამოყენების რისკების მინიმიზაცია

DoH და DoT გამოყენების რისკების მინიმიზაცია

DoH და DoT დაცვა

აკონტროლებთ თქვენს DNS ტრაფიკს? ორგანიზაციები დიდ დროს, ფულს და ძალისხმევას ინვესტირებენ თავიანთი ქსელების უზრუნველსაყოფად. თუმცა, ერთი სფერო, რომელსაც ხშირად არ ექცევა საკმარისი ყურადღება, არის DNS.

კარგი მიმოხილვა იმ რისკების შესახებ, რომლებსაც DNS მოაქვს Verisign პრეზენტაცია Infosecurity კონფერენციაზე.

გამოკითხული გამოსასყიდი პროგრამების კლასების 31%-მა გამოიყენა DNS გასაღების გაცვლისთვის. კვლევის შედეგები

გამოკითხული გამოსასყიდი პროგრამების კლასების 31% გამოიყენა DNS გასაღების გაცვლისთვის.

პრობლემა სერიოზულია. Palo Alto Networks Unit 42 კვლევითი ლაბორატორიის თანახმად, მავნე პროგრამების დაახლოებით 85% იყენებს DNS-ს ბრძანებისა და კონტროლის არხის დასამყარებლად, რაც საშუალებას აძლევს თავდამსხმელებს მარტივად შეიყვანონ მავნე პროგრამა თქვენს ქსელში, ასევე მოიპარონ მონაცემები. დაარსების დღიდან, DNS ტრაფიკი ძირითადად დაშიფრული იყო და მისი ადვილად გაანალიზება შესაძლებელია NGFW უსაფრთხოების მექანიზმებით. 

გაჩნდა ახალი პროტოკოლები DNS-ისთვის, რომლებიც მიზნად ისახავს DNS კავშირების კონფიდენციალურობის გაზრდას. მათ აქტიურად უჭერენ მხარს ბრაუზერის წამყვანი მომწოდებლები და სხვა პროგრამული უზრუნველყოფის მომწოდებლები. დაშიფრული DNS ტრაფიკი მალე დაიწყებს ზრდას კორპორატიულ ქსელებში. დაშიფრული DNS ტრაფიკი, რომელიც არ არის სათანადოდ გაანალიზებული და გადაწყვეტილი ინსტრუმენტებით, უქმნის უსაფრთხოების რისკს კომპანიისთვის. მაგალითად, ასეთი საფრთხეა კრიპტობლოკერები, რომლებიც იყენებენ DNS-ს დაშიფვრის გასაღებების გასაცვლელად. თავდამსხმელები ახლა რამდენიმე მილიონი დოლარის გამოსასყიდს ითხოვენ თქვენს მონაცემებზე წვდომის აღსადგენად. მაგალითად, გარმინმა 10 მილიონი დოლარი გადაიხადა.

როდესაც სწორად არის კონფიგურირებული, NGFW-ებს შეუძლიათ უარყონ ან დაიცვან DNS-over-TLS (DoT) გამოყენება და შეიძლება გამოყენებულ იქნას DNS-over-HTTPS (DoH) გამოყენების უარსაყოფად, რაც საშუალებას გაძლევთ გაანალიზდეს ყველა DNS ტრაფიკი თქვენს ქსელში.

რა არის დაშიფრული DNS?

რა არის DNS

დომენის სახელების სისტემა (DNS) წყვეტს ადამიანის მიერ წასაკითხად დომენურ სახელებს (მაგალითად, მისამართს www.paloaltonetworks.com ) IP მისამართებზე (მაგალითად, 34.107.151.202). როდესაც მომხმარებელი შეაქვს დომენის სახელს ვებ ბრაუზერში, ბრაუზერი აგზავნის DNS მოთხოვნას DNS სერვერზე და ითხოვს ამ დომენის სახელთან ასოცირებულ IP მისამართს. ამის საპასუხოდ, DNS სერვერი აბრუნებს IP მისამართს, რომელსაც გამოიყენებს ეს ბრაუზერი.

DNS მოთხოვნები და პასუხები იგზავნება ქსელში უბრალო ტექსტით, დაშიფრული, რაც მას დაუცველს ხდის ჯაშუშობის ან პასუხის შეცვლისა და ბრაუზერის მავნე სერვერებზე გადამისამართების მიმართ. DNS დაშიფვრა ართულებს DNS მოთხოვნების თვალყურის დევნებას ან შეცვლას გადაცემის დროს. DNS მოთხოვნისა და პასუხების დაშიფვრა გიცავთ Man-in-the-Middle შეტევებისგან, ხოლო იგივე ფუნქციების შესრულებას, როგორც ტრადიციული ჩვეულებრივი ტექსტური DNS (დომენის სახელების სისტემა) პროტოკოლი. 

ბოლო რამდენიმე წლის განმავლობაში დაინერგა ორი DNS დაშიფვრის პროტოკოლი:

1. DNS-ზე-HTTPS (DoH)

2. DNS-ზე-TLS (DoT)

ამ პროტოკოლებს ერთი რამ აქვთ საერთო: ისინი განზრახ მალავენ DNS მოთხოვნებს ნებისმიერი ჩარევისგან... და ასევე ორგანიზაციის დაცვის თანამშრომლებისგან. პროტოკოლები ძირითადად იყენებენ TLS (სატრანსპორტო ფენის უსაფრთხოებას) დაშიფრული კავშირის დასამყარებლად კლიენტს შორის, რომელიც აკეთებს შეკითხვებს და სერვერს შორის, რომელიც წყვეტს DNS შეკითხვებს პორტზე, რომელიც ჩვეულებრივ არ გამოიყენება DNS ტრაფიკისთვის.

DNS მოთხოვნების კონფიდენციალურობა ამ პროტოკოლების დიდი პლუსია. თუმცა, ისინი პრობლემებს უქმნიან დაცვის თანამშრომლებს, რომლებმაც უნდა აკონტროლონ ქსელის ტრაფიკი და აღმოაჩინონ და დაბლოკონ მავნე კავშირები. იმის გამო, რომ პროტოკოლები განსხვავდება მათი განხორციელებით, ანალიზის მეთოდები განსხვავდება DoH-სა და DoT-ს შორის.

DNS HTTPS-ზე (DoH)

DNS HTTPS-ში

DoH იყენებს ცნობილ პორტს 443 HTTPS-სთვის, რისთვისაც RFC კონკრეტულად აცხადებს, რომ განზრახვაა „აურიოს DoH ტრაფიკი სხვა HTTPS ტრაფიკთან იმავე კავშირზე“, „გაართულოს DNS ტრაფიკის ანალიზი“ და ამით კორპორატიული კონტროლის გვერდის ავლით. ( RFC 8484 DoH სექცია 8.1 ). DoH პროტოკოლი იყენებს TLS დაშიფვრას და მოთხოვნის სინტაქსს, რომელიც მოწოდებულია საერთო HTTPS და HTTP/2 სტანდარტებით, ამატებს DNS მოთხოვნებს და პასუხებს სტანდარტული HTTP მოთხოვნების თავზე.

DoH-თან დაკავშირებული რისკები

თუ თქვენ ვერ განასხვავებთ რეგულარულ HTTPS ტრაფიკს DoH მოთხოვნისაგან, მაშინ თქვენი ორგანიზაციის აპლიკაციებს შეუძლიათ (და გააკეთებენ) გვერდის ავლით ადგილობრივი DNS პარამეტრების მოთხოვნათა გადამისამართებით მესამე მხარის სერვერებზე, რომლებიც პასუხობენ DoH მოთხოვნებს, რაც გვერდს უვლის ნებისმიერ მონიტორინგს, ანუ ანადგურებს უნარს. აკონტროლეთ DNS ტრაფიკი. იდეალურ შემთხვევაში, თქვენ უნდა აკონტროლოთ DoH HTTPS გაშიფვრის ფუნქციების გამოყენებით. 

И Google-მა და Mozilla-მ დანერგეს DoH შესაძლებლობები მათი ბრაუზერების უახლეს ვერსიაში და ორივე კომპანია მუშაობს ნაგულისხმევად გამოიყენოს DoH ყველა DNS მოთხოვნისთვის. Microsoft ასევე ავითარებს გეგმებს მათ ოპერაციულ სისტემებში DoH-ის ინტეგრირებაზე. მინუსი ის არის, რომ არა მხოლოდ რეპუტაციის მქონე პროგრამული უზრუნველყოფის კომპანიებმა, არამედ თავდამსხმელებმაც დაიწყეს DoH-ის გამოყენება, როგორც ტრადიციული კორპორატიული firewall ზომების გვერდის ავლით. (მაგალითად, გადახედეთ შემდეგ სტატიებს: PsiXBot ახლა იყენებს Google DoH-ს , PsiXBot აგრძელებს განვითარებას განახლებული DNS ინფრასტრუქტურით и გოდლუას უკანა კარის ანალიზი .) ორივე შემთხვევაში, როგორც კარგი, ასევე მავნე DoH ტრაფიკი შეუმჩნეველი დარჩება, რაც ორგანიზაციას ბრმას ტოვებს DoH-ის მავნე გამოყენებისთვის, როგორც მავნე პროგრამის (C2) კონტროლისა და მგრძნობიარე მონაცემების მოპარვის მიზნით.

DoH ტრაფიკის ხილვადობისა და კონტროლის უზრუნველყოფა

როგორც საუკეთესო გამოსავალი DoH კონტროლისთვის, ჩვენ გირჩევთ დააკონფიგურიროთ NGFW HTTPS ტრაფიკის გასაშიფრად და DoH ტრაფიკის დაბლოკვის მიზნით (აპლიკაციის სახელი: dns-over-https). 

პირველ რიგში, დარწმუნდით, რომ NGFW კონფიგურირებულია HTTPS-ის გასაშიფრად, შესაბამისად გზამკვლევი საუკეთესო გაშიფვრის ტექნიკისთვის.

მეორე, შექმენით აპლიკაციის ტრაფიკის წესი "dns-over-https", როგორც ეს ნაჩვენებია ქვემოთ:

Palo Alto Networks NGFW წესი DNS-ზე-HTTPS-ის დაბლოკვისთვის

როგორც შუალედური ალტერნატივა (თუ თქვენს ორგანიზაციას არ აქვს სრულად დანერგილი HTTPS გაშიფვრა), NGFW შეიძლება იყოს კონფიგურირებული, რათა გამოიყენოს „უარის“ მოქმედება „dns-over-https“ აპლიკაციის ID-ზე, მაგრამ ეფექტი შემოიფარგლება გარკვეული კარგად-დაბლოკვით. ცნობილი DoH სერვერები მათი დომენის სახელით, ასე რომ, როგორ HTTPS გაშიფვრის გარეშე შეუძლებელია DoH ტრაფიკის სრულად შემოწმება (იხ.  აპლიკაცია Palo Alto Networks-დან   და მოძებნეთ "dns-over-https").

DNS TLS-ზე (DoT)

DNS TLS-ში

მიუხედავად იმისა, რომ DoH პროტოკოლი მიდრეკილია ერთსა და იმავე პორტის სხვა ტრაფიკთან შერევას, ამის ნაცვლად, DoT იყენებს სპეციალურ პორტს, რომელიც განკუთვნილია მხოლოდ ამ მიზნით, თუნდაც კონკრეტულად არ უშვებს იგივე პორტის გამოყენებას ტრადიციული დაშიფრული DNS ტრაფიკით ( RFC 7858, სექცია 3.1 ).

DoT პროტოკოლი იყენებს TLS დაშიფვრის უზრუნველსაყოფად, რომელიც აერთიანებს სტანდარტულ DNS პროტოკოლის მოთხოვნებს, ტრაფიკით ცნობილი პორტი 853 ( RFC 7858 განყოფილება 6 ). DoT პროტოკოლი შექმნილია იმისთვის, რომ ორგანიზაციებს გაუადვილდეს პორტზე ტრაფიკის დაბლოკვა ან ტრაფიკის მიღება, მაგრამ ამ პორტის გაშიფვრის ჩართვა.

DoT-თან დაკავშირებული რისკები

Google-მა დანერგა DoT თავის კლიენტში Android 9 Pie და უფრო ახალი , ნაგულისხმევი პარამეტრით ავტომატურად გამოიყენოს DoT, თუ ეს შესაძლებელია. თუ თქვენ შეაფასეთ რისკები და მზად ხართ გამოიყენოთ DoT ორგანიზაციულ დონეზე, მაშინ თქვენ უნდა გქონდეთ ქსელის ადმინისტრატორებმა ცალსახად დაუშვან გამავალი ტრაფიკი 853 პორტზე მათი პერიმეტრის გავლით ამ ახალი პროტოკოლისთვის.

DoT ტრაფიკის ხილვადობისა და კონტროლის უზრუნველყოფა

როგორც DoT კონტროლის საუკეთესო პრაქტიკა, ჩვენ გირჩევთ ზემოთ ჩამოთვლილთაგან რომელიმეს, თქვენი ორგანიზაციის მოთხოვნებიდან გამომდინარე:

• დააკონფიგურირეთ NGFW, რათა გაშიფროს მთელი ტრაფიკი დანიშნულების პორტისთვის 853. ტრაფიკის გაშიფვრით, DoT გამოჩნდება როგორც DNS აპლიკაცია, რომელზეც შეგიძლიათ გამოიყენოთ ნებისმიერი მოქმედება, როგორიცაა გამოწერის ჩართვა. Palo Alto Networks DNS უსაფრთხოება DGA დომენების ან არსებულის გასაკონტროლებლად DNS სინხოლინგი და ანტი-სპივერი.

• ალტერნატივა არის App-ID ძრავის სრულად დაბლოკვა „dns-over-tls“ ტრაფიკის პორტში 853. ეს ჩვეულებრივ დაბლოკილია ნაგულისხმევად, არანაირი მოქმედება არ არის საჭირო (თუ კონკრეტულად არ დაუშვებთ „dns-over-tls“ აპლიკაციას ან პორტს მოძრაობა 853).

წყარო: www.habr.com