DoH және DoT пайдалану тәуекелдерін азайту
DoH және DoT қорғау
DNS трафигіңізді басқарасыз ба? Ұйымдар өз желілерін қорғауға көп уақыт, ақша және күш жұмсайды. Дегенмен, жиі назар аудармайтын бір аймақ - DNS.
DNS әкелетін тәуекелдерге жақсы шолу Infosecurity конференциясында.
Сауалнамаға қатысқан ransomware сыныптарының 31% кілт алмасу үшін DNS пайдаланды.Зерттеудің нәтижелері
Сауалнамаға қатысқан төлемдік бағдарламалық қамтамасыз ету сыныптарының 31% кілт алмасу үшін DNS пайдаланды.
Мәселе күрделі. Palo Alto Networks Unit 42 зерттеу зертханасының мәліметтері бойынша, зиянды бағдарламалардың шамамен 85%-ы шабуылдаушыларға желіге зиянды бағдарламаны оңай енгізуге және деректерді ұрлауға мүмкіндік беретін командалық және басқару арнасын құру үшін DNS пайдаланады. Өзінің құрылған күнінен бастап DNS трафигі негізінен шифрланбаған және NGFW қауіпсіздік механизмдері арқылы оңай талдауға болады.
DNS қосылымдарының құпиялылығын арттыруға бағытталған жаңа DNS протоколдары пайда болды. Оларды жетекші браузер жеткізушілері және басқа бағдарламалық қамтамасыз ету жеткізушілері белсенді түрде қолдайды. Жақында корпоративтік желілерде шифрланған DNS трафигі өсе бастайды. Құралдармен дұрыс талданбаған және шешілмеген шифрланған DNS трафигі компанияның қауіпсіздігіне қауіп төндіреді. Мысалы, мұндай қауіп шифрлау кілттерін алмасу үшін DNS қолданатын криптолокаторлар болып табылады. Қазір шабуылдаушылар деректеріңізге қолжетімділікті қалпына келтіру үшін бірнеше миллион доллар талап етуде. Мысалы, Garmin 10 миллион доллар төледі.
Дұрыс конфигурацияланған кезде, NGFWs DNS-over-TLS (DoT) пайдалануды жоққа шығарады немесе қорғай алады және DNS-over-HTTPS (DoH) пайдалануды болдырмау үшін пайдаланылуы мүмкін, бұл желіңіздегі барлық DNS трафигін талдауға мүмкіндік береді.
Шифрланған DNS дегеніміз не?
DNS дегеніміз не
Домендік атаулар жүйесі (DNS) адам оқи алатын домен атауларын шешеді (мысалы, мекенжай ) IP мекенжайларына (мысалы, 34.107.151.202). Пайдаланушы веб-шолғышқа домен атауын енгізген кезде, шолғыш DNS серверіне сол домендік атаумен байланысты IP мекенжайын сұрайтын DNS сұрауын жібереді. Жауап ретінде DNS сервері осы шолғыш пайдаланатын IP мекенжайын қайтарады.
DNS сұраулары мен жауаптары желі арқылы шифрланбаған кәдімгі мәтін түрінде жіберіледі, бұл оны тыңшылыққа немесе жауапты өзгертуге және шолғышты зиянды серверлерге қайта бағыттауға осал етеді. DNS шифрлау DNS сұрауларын бақылауды немесе жіберу кезінде өзгертуді қиындатады. DNS сұраулары мен жауаптарын шифрлау дәстүрлі ашық мәтінді DNS (домендік атаулар жүйесі) протоколымен бірдей функцияларды орындай отырып, сізді Man-in-the-Middle шабуылдарынан қорғайды.
Соңғы бірнеше жылда екі DNS шифрлау протоколы енгізілді:
-
DNS-over-HTTPS (DoH)
-
DNS-over-TLS (DoT)
Бұл хаттамалардың ортақ бір қасиеті бар: олар DNS сұрауларын кез келген бөгеуден... және ұйымның күзетшілерінен де әдейі жасырады. Протоколдар әдетте DNS трафигі үшін пайдаланылмайтын порт арқылы сұрауларды жасайтын клиент пен DNS сұрауларын шешетін сервер арасында шифрланған қосылымды орнату үшін TLS (Транспорт деңгейінің қауіпсіздігі) пайдаланады.
DNS сұрауларының құпиялылығы - бұл хаттамалардың үлкен плюс. Дегенмен, олар желілік трафикті бақылап, зиянды қосылымдарды анықтап, бұғаттауы тиіс күзетшілерге қиындықтар туғызады. Хаттамалардың орындалуы бойынша әр түрлі болғандықтан, талдау әдістері DoH және DoT арасында әр түрлі болады.
HTTPS арқылы DNS (DoH)
HTTPS ішіндегі DNS
DoH HTTPS үшін белгілі 443 портын пайдаланады, ол үшін RFC мақсаты «бір қосылымдағы DoH трафигін басқа HTTPS трафигімен араластыру», «DNS трафигін талдауды қиындату» және осылайша корпоративтік басқару элементтерін айналып өту екенін айтады. ( ). DoH протоколы TLS шифрлауын және стандартты HTTP сұрауларының үстіне DNS сұраулары мен жауаптарын қоса отырып, жалпы HTTPS және HTTP/2 стандарттарымен қамтамасыз етілген сұрау синтаксисін пайдаланады.
DoH-мен байланысты тәуекелдер
Егер сіз тұрақты HTTPS трафигін DoH сұрауларынан ажырата алмасаңыз, ұйымыңыздағы қолданбалар кез келген мониторингті айналып өтетін, яғни DoH сұрауларына жауап беретін үшінші тарап серверлеріне сұрауларды қайта бағыттау арқылы жергілікті DNS параметрлерін айналып өте алады, яғни DNS трафигін басқару. Ең дұрысы, HTTPS шифрын шешу функцияларын пайдаланып DoH басқаруыңыз керек.
И браузерлерінің соңғы нұсқасында және екі компания да барлық DNS сұраулары үшін әдепкі бойынша DoH пайдалану үшін жұмыс істейді. DoH-ті операциялық жүйелерге біріктіру туралы. Кемшілігі - тек беделді бағдарламалық қамтамасыз ету компаниялары ғана емес, сонымен қатар шабуылдаушылар да корпоративтік желіаралық қалқанның дәстүрлі шараларын айналып өту құралы ретінде DoH пайдалана бастады. (Мысалы, келесі мақалаларды қарап шығыңыз: , и .) Кез келген жағдайда жақсы да, зиянды DoH трафигі де анықталмай қалады, бұл ұйымды зиянды бағдарламаны (C2) басқару және құпия деректерді ұрлау үшін арна ретінде DoH-ны зиянды пайдалануға соқыр етіп қалдырады.
DoH қозғалысының көрінуін және бақылауын қамтамасыз ету
DoH басқаруының ең жақсы шешімі ретінде HTTPS трафигінің шифрын ашу және DoH трафигін блоктау үшін NGFW конфигурациясын ұсынамыз (қолданба атауы: dns-over-https).
Алдымен, сәйкес NGFW HTTPS шифрын ашу үшін конфигурацияланғанына көз жеткізіңіз .
Екіншіден, төменде көрсетілгендей "dns-over-https" қолданба трафигі үшін ереже жасаңыз:
Palo Alto Networks NGFW ережесі HTTP арқылы DNS-ті блоктау үшін
Уақытша балама ретінде (егер сіздің ұйымыңыз HTTPS шифрын шешуді толық енгізбесе), NGFW "https арқылы dns" қолданбасының идентификаторына "қабылдамау" әрекетін қолдану үшін конфигурациялануы мүмкін, бірақ әсер белгілі бір ұңғымаларды блоктаумен шектеледі. DoH серверлері өздерінің домендік атаулары бойынша белгілі, сондықтан HTTPS шифрын шешусіз DoH трафигі қалай толық тексерілмейді (қараңыз). және «dns-over-https» іздеңіз).
TLS арқылы DNS (DoT)
TLS ішіндегі DNS
DoH протоколы бір порттағы басқа трафикпен араласуға бейім болғанымен, DoT әдепкі бойынша тек сол мақсат үшін сақталған арнайы портты пайдаланады, тіпті дәл сол портты дәстүрлі шифрланбаған DNS трафигі арқылы пайдалануға тыйым салады ( ).
DoT протоколы белгілі 853 портын пайдаланатын трафикпен стандартты DNS протокол сұрауларын инкапсуляциялайтын шифрлауды қамтамасыз ету үшін TLS пайдаланады. ). DoT протоколы ұйымдарға порттағы трафикті блоктауды немесе трафикті қабылдауды, бірақ сол портта шифрды шешуді қосуды жеңілдету үшін жасалған.
DoT байланысты тәуекелдер
Google өз клиентінде DoT енгізді , бар болса, DoT автоматты түрде пайдалану үшін әдепкі параметрі бар. Тәуекелдерді бағалаған болсаңыз және ұйымдық деңгейде DoT пайдалануға дайын болсаңыз, онда желі әкімшілері осы жаңа хаттама үшін периметрі арқылы 853 портындағы шығыс трафикке нақты рұқсат беруі керек.
DoT трафигінің көрінуін және бақылауын қамтамасыз ету
DoT бақылауының ең жақсы тәжірибесі ретінде ұйымыңыздың талаптары негізінде жоғарыда аталғандардың кез келгенін ұсынамыз:
-
NGFW параметрін 853 тағайындалған портқа арналған барлық трафиктің шифрын ашу үшін конфигурациялаңыз. Трафиктің шифрын шешу арқылы DoT жазылымды қосу сияқты кез келген әрекетті қолдануға болатын DNS қолданбасы ретінде пайда болады. DGA домендерін немесе бұрыннан бар домендерді басқару үшін және шпиондық бағдарламаға қарсы.
-
Балама нұсқасы - App-ID механизмінің 853-порттағы "dns-over-tls" трафигін толығымен блоктауы. Бұл әдетте әдепкі бойынша блокталады, ешқандай әрекет қажет емес (егер сіз "dns-over-tls" қолданбасына немесе порт трафигіне арнайы рұқсат бермесеңіз. 853).
Ақпарат көзі: www.habr.com