ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಆಡಳಿತ > DNS-over-TLS (DoT) ಮತ್ತು DNS-over-HTTPS (DoH) ಅನ್ನು ಬಳಸುವ ಅಪಾಯಗಳನ್ನು ಕಡಿಮೆಗೊಳಿಸುವುದು
DNS-over-TLS (DoT) ಮತ್ತು DNS-over-HTTPS (DoH) ಅನ್ನು ಬಳಸುವ ಅಪಾಯಗಳನ್ನು ಕಡಿಮೆಗೊಳಿಸುವುದು
DoH ಮತ್ತು DoT ಅನ್ನು ಬಳಸುವ ಅಪಾಯಗಳನ್ನು ಕಡಿಮೆಗೊಳಿಸುವುದು
DoH ಮತ್ತು DoT ರಕ್ಷಣೆ
ನಿಮ್ಮ DNS ಟ್ರಾಫಿಕ್ ಅನ್ನು ನೀವು ನಿಯಂತ್ರಿಸುತ್ತೀರಾ? ಸಂಸ್ಥೆಗಳು ತಮ್ಮ ನೆಟ್ವರ್ಕ್ಗಳನ್ನು ಸುರಕ್ಷಿತವಾಗಿರಿಸಲು ಸಾಕಷ್ಟು ಸಮಯ, ಹಣ ಮತ್ತು ಶ್ರಮವನ್ನು ಹೂಡಿಕೆ ಮಾಡುತ್ತವೆ. ಆದಾಗ್ಯೂ, ಆಗಾಗ್ಗೆ ಸಾಕಷ್ಟು ಗಮನವನ್ನು ಪಡೆಯದ ಒಂದು ಪ್ರದೇಶವೆಂದರೆ DNS.
DNS ತರುವ ಅಪಾಯಗಳ ಉತ್ತಮ ಅವಲೋಕನ ವೆರಿಸೈನ್ ಪ್ರಸ್ತುತಿ ಇನ್ಫೋಸೆಕ್ಯುರಿಟಿ ಸಮ್ಮೇಳನದಲ್ಲಿ.
ಸಮೀಕ್ಷೆ ನಡೆಸಿದ 31% ransomware ತರಗತಿಗಳು ಪ್ರಮುಖ ವಿನಿಮಯಕ್ಕಾಗಿ DNS ಅನ್ನು ಬಳಸಲಾಗಿದೆ. ಅಧ್ಯಯನದ ಸಂಶೋಧನೆಗಳು
ಸಮೀಕ್ಷೆ ನಡೆಸಿದ 31% ransomware ತರಗತಿಗಳು ಕೀ ವಿನಿಮಯಕ್ಕಾಗಿ DNS ಅನ್ನು ಬಳಸಿದವು.
ಸಮಸ್ಯೆ ಗಂಭೀರವಾಗಿದೆ. Palo Alto Networks Unit 42 ಸಂಶೋಧನಾ ಪ್ರಯೋಗಾಲಯದ ಪ್ರಕಾರ, ಸರಿಸುಮಾರು 85% ಮಾಲ್ವೇರ್ ಕಮಾಂಡ್ ಮತ್ತು ಕಂಟ್ರೋಲ್ ಚಾನಲ್ ಅನ್ನು ಸ್ಥಾಪಿಸಲು DNS ಅನ್ನು ಬಳಸುತ್ತದೆ, ದಾಳಿಕೋರರು ನಿಮ್ಮ ನೆಟ್ವರ್ಕ್ಗೆ ಮಾಲ್ವೇರ್ ಅನ್ನು ಸುಲಭವಾಗಿ ಸೇರಿಸಲು ಮತ್ತು ಡೇಟಾವನ್ನು ಕದಿಯಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ. ಅದರ ಪ್ರಾರಂಭದಿಂದಲೂ, DNS ಟ್ರಾಫಿಕ್ ಅನ್ನು ಹೆಚ್ಚಾಗಿ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗಿಲ್ಲ ಮತ್ತು NGFW ಭದ್ರತಾ ಕಾರ್ಯವಿಧಾನಗಳಿಂದ ಸುಲಭವಾಗಿ ವಿಶ್ಲೇಷಿಸಬಹುದು.
DNS ಸಂಪರ್ಕಗಳ ಗೌಪ್ಯತೆಯನ್ನು ಹೆಚ್ಚಿಸುವ ಉದ್ದೇಶದಿಂದ DNS ಗಾಗಿ ಹೊಸ ಪ್ರೋಟೋಕಾಲ್ಗಳು ಹೊರಹೊಮ್ಮಿವೆ. ಪ್ರಮುಖ ಬ್ರೌಸರ್ ಮಾರಾಟಗಾರರು ಮತ್ತು ಇತರ ಸಾಫ್ಟ್ವೇರ್ ಮಾರಾಟಗಾರರು ಅವರನ್ನು ಸಕ್ರಿಯವಾಗಿ ಬೆಂಬಲಿಸುತ್ತಾರೆ. ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ DNS ಟ್ರಾಫಿಕ್ ಶೀಘ್ರದಲ್ಲೇ ಕಾರ್ಪೊರೇಟ್ ನೆಟ್ವರ್ಕ್ಗಳಲ್ಲಿ ಬೆಳೆಯಲು ಪ್ರಾರಂಭವಾಗುತ್ತದೆ. ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ DNS ಟ್ರಾಫಿಕ್ ಅನ್ನು ಸರಿಯಾಗಿ ವಿಶ್ಲೇಷಿಸದ ಮತ್ತು ಪರಿಕರಗಳ ಮೂಲಕ ಪರಿಹರಿಸದಿರುವುದು ಕಂಪನಿಗೆ ಭದ್ರತಾ ಅಪಾಯವನ್ನುಂಟುಮಾಡುತ್ತದೆ. ಉದಾಹರಣೆಗೆ, ಗೂಢಲಿಪೀಕರಣ ಕೀಗಳನ್ನು ವಿನಿಮಯ ಮಾಡಿಕೊಳ್ಳಲು DNS ಅನ್ನು ಬಳಸುವ ಕ್ರಿಪ್ಟೋಲಾಕರ್ಗಳು ಅಂತಹ ಬೆದರಿಕೆಯಾಗಿದೆ. ನಿಮ್ಮ ಡೇಟಾಗೆ ಪ್ರವೇಶವನ್ನು ಮರುಸ್ಥಾಪಿಸಲು ದಾಳಿಕೋರರು ಈಗ ಹಲವಾರು ಮಿಲಿಯನ್ ಡಾಲರ್ಗಳ ಸುಲಿಗೆಯನ್ನು ಕೋರುತ್ತಿದ್ದಾರೆ. ಉದಾಹರಣೆಗೆ ಗಾರ್ಮಿನ್ $10 ಮಿಲಿಯನ್ ಪಾವತಿಸಿದರು.
ಸರಿಯಾಗಿ ಕಾನ್ಫಿಗರ್ ಮಾಡಿದಾಗ, NGFW ಗಳು DNS-over-TLS (DoT) ಬಳಕೆಯನ್ನು ನಿರಾಕರಿಸಬಹುದು ಅಥವಾ ರಕ್ಷಿಸಬಹುದು ಮತ್ತು DNS-over-HTTPS (DoH) ಬಳಕೆಯನ್ನು ನಿರಾಕರಿಸಲು ಬಳಸಬಹುದು, ಇದು ನಿಮ್ಮ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿನ ಎಲ್ಲಾ DNS ಟ್ರಾಫಿಕ್ ಅನ್ನು ವಿಶ್ಲೇಷಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ.
ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ DNS ಎಂದರೇನು?
DNS ಎಂದರೇನು
ಡೊಮೈನ್ ನೇಮ್ ಸಿಸ್ಟಮ್ (DNS) ಮಾನವ-ಓದಬಲ್ಲ ಡೊಮೇನ್ ಹೆಸರುಗಳನ್ನು ಪರಿಹರಿಸುತ್ತದೆ (ಉದಾಹರಣೆಗೆ, ವಿಳಾಸ www.paloaltonetworks.com IP ವಿಳಾಸಗಳಿಗೆ (ಉದಾಹರಣೆಗೆ, 34.107.151.202). ಬಳಕೆದಾರರು ವೆಬ್ ಬ್ರೌಸರ್ಗೆ ಡೊಮೇನ್ ಹೆಸರನ್ನು ನಮೂದಿಸಿದಾಗ, ಬ್ರೌಸರ್ ಡಿಎನ್ಎಸ್ ಪ್ರಶ್ನೆಯನ್ನು ಡಿಎನ್ಎಸ್ ಸರ್ವರ್ಗೆ ಕಳುಹಿಸುತ್ತದೆ, ಆ ಡೊಮೇನ್ ಹೆಸರಿನೊಂದಿಗೆ ಸಂಯೋಜಿತವಾಗಿರುವ ಐಪಿ ವಿಳಾಸವನ್ನು ಕೇಳುತ್ತದೆ. ಪ್ರತಿಕ್ರಿಯೆಯಾಗಿ, ಈ ಬ್ರೌಸರ್ ಬಳಸುವ IP ವಿಳಾಸವನ್ನು DNS ಸರ್ವರ್ ಹಿಂತಿರುಗಿಸುತ್ತದೆ.
DNS ಪ್ರಶ್ನೆಗಳು ಮತ್ತು ಪ್ರತಿಕ್ರಿಯೆಗಳನ್ನು ನೆಟ್ವರ್ಕ್ನಾದ್ಯಂತ ಸರಳ ಪಠ್ಯದಲ್ಲಿ ಕಳುಹಿಸಲಾಗುತ್ತದೆ, ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗಿಲ್ಲ, ಇದು ಕಣ್ಣಿಡಲು ಅಥವಾ ಪ್ರತಿಕ್ರಿಯೆಯನ್ನು ಬದಲಾಯಿಸಲು ಮತ್ತು ಬ್ರೌಸರ್ ಅನ್ನು ದುರುದ್ದೇಶಪೂರಿತ ಸರ್ವರ್ಗಳಿಗೆ ಮರುನಿರ್ದೇಶಿಸುತ್ತದೆ. DNS ಗೂಢಲಿಪೀಕರಣವು DNS ವಿನಂತಿಗಳನ್ನು ಟ್ರ್ಯಾಕ್ ಮಾಡಲು ಅಥವಾ ಪ್ರಸರಣದ ಸಮಯದಲ್ಲಿ ಬದಲಾಯಿಸಲು ಕಷ್ಟವಾಗುತ್ತದೆ. DNS ವಿನಂತಿಗಳು ಮತ್ತು ಪ್ರತಿಕ್ರಿಯೆಗಳನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡುವುದರಿಂದ ಸಾಂಪ್ರದಾಯಿಕ ಸರಳ ಪಠ್ಯ DNS (ಡೊಮೈನ್ ನೇಮ್ ಸಿಸ್ಟಮ್) ಪ್ರೋಟೋಕಾಲ್ನಂತೆಯೇ ಅದೇ ಕಾರ್ಯವನ್ನು ನಿರ್ವಹಿಸುವಾಗ ಮ್ಯಾನ್-ಇನ್-ದಿ-ಮಿಡಲ್ ದಾಳಿಗಳಿಂದ ನಿಮ್ಮನ್ನು ರಕ್ಷಿಸುತ್ತದೆ.
ಕಳೆದ ಕೆಲವು ವರ್ಷಗಳಲ್ಲಿ, ಎರಡು DNS ಎನ್ಕ್ರಿಪ್ಶನ್ ಪ್ರೋಟೋಕಾಲ್ಗಳನ್ನು ಪರಿಚಯಿಸಲಾಗಿದೆ:
DNS-ಓವರ್-HTTPS (DoH)
DNS-over-TLS (DoT)
ಈ ಪ್ರೋಟೋಕಾಲ್ಗಳು ಸಾಮಾನ್ಯವಾದ ಒಂದು ವಿಷಯವನ್ನು ಹೊಂದಿವೆ: ಅವರು ಉದ್ದೇಶಪೂರ್ವಕವಾಗಿ DNS ವಿನಂತಿಗಳನ್ನು ಯಾವುದೇ ಪ್ರತಿಬಂಧಕದಿಂದ ಮರೆಮಾಡುತ್ತಾರೆ ... ಮತ್ತು ಸಂಸ್ಥೆಯ ಭದ್ರತಾ ಸಿಬ್ಬಂದಿಗಳಿಂದ ಕೂಡಾ. ಪ್ರೋಟೋಕಾಲ್ಗಳು ಪ್ರಾಥಮಿಕವಾಗಿ TLS (ಟ್ರಾನ್ಸ್ಪೋರ್ಟ್ ಲೇಯರ್ ಸೆಕ್ಯುರಿಟಿ) ಅನ್ನು ಕ್ಲೈಂಟ್ ಮಾಡುವ ಪ್ರಶ್ನೆಗಳ ನಡುವೆ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ಸಂಪರ್ಕವನ್ನು ಸ್ಥಾಪಿಸಲು ಮತ್ತು ಸಾಮಾನ್ಯವಾಗಿ DNS ಟ್ರಾಫಿಕ್ಗಾಗಿ ಬಳಸದ ಪೋರ್ಟ್ನಲ್ಲಿ DNS ಪ್ರಶ್ನೆಗಳನ್ನು ಪರಿಹರಿಸುವ ಸರ್ವರ್ ಅನ್ನು ಬಳಸುತ್ತವೆ.
DNS ಪ್ರಶ್ನೆಗಳ ಗೌಪ್ಯತೆಯು ಈ ಪ್ರೋಟೋಕಾಲ್ಗಳ ದೊಡ್ಡ ಪ್ಲಸ್ ಆಗಿದೆ. ಆದಾಗ್ಯೂ, ಅವರು ನೆಟ್ವರ್ಕ್ ದಟ್ಟಣೆಯನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುವ ಮತ್ತು ದುರುದ್ದೇಶಪೂರಿತ ಸಂಪರ್ಕಗಳನ್ನು ಪತ್ತೆಹಚ್ಚುವ ಮತ್ತು ನಿರ್ಬಂಧಿಸುವ ಭದ್ರತಾ ಸಿಬ್ಬಂದಿಗಳಿಗೆ ಸಮಸ್ಯೆಗಳನ್ನು ಉಂಟುಮಾಡುತ್ತಾರೆ. ಪ್ರೋಟೋಕಾಲ್ಗಳು ಅವುಗಳ ಅನುಷ್ಠಾನದಲ್ಲಿ ಭಿನ್ನವಾಗಿರುವುದರಿಂದ, ವಿಶ್ಲೇಷಣಾ ವಿಧಾನಗಳು DoH ಮತ್ತು DoT ನಡುವೆ ಭಿನ್ನವಾಗಿರುತ್ತವೆ.
HTTPS (DoH) ಮೂಲಕ DNS
HTTPS ಒಳಗೆ DNS
HTTPS ಗಾಗಿ DoH ಸುಪ್ರಸಿದ್ಧ ಪೋರ್ಟ್ 443 ಅನ್ನು ಬಳಸುತ್ತದೆ, ಇದಕ್ಕಾಗಿ RFC ನಿರ್ದಿಷ್ಟವಾಗಿ ಹೇಳುವಂತೆ "ಇತರ HTTPS ಟ್ರಾಫಿಕ್ನೊಂದಿಗೆ ಅದೇ ಸಂಪರ್ಕದಲ್ಲಿ DoH ಟ್ರಾಫಿಕ್ ಅನ್ನು ಮಿಶ್ರಣ ಮಾಡುವುದು", "DNS ಟ್ರಾಫಿಕ್ ಅನ್ನು ವಿಶ್ಲೇಷಿಸಲು ಕಷ್ಟವಾಗುತ್ತದೆ" ಮತ್ತು ಕಾರ್ಪೊರೇಟ್ ನಿಯಂತ್ರಣಗಳನ್ನು ತಪ್ಪಿಸುವುದು ( RFC 8484 DoH ವಿಭಾಗ 8.1 ) DoH ಪ್ರೋಟೋಕಾಲ್ TLS ಎನ್ಕ್ರಿಪ್ಶನ್ ಮತ್ತು ಸಾಮಾನ್ಯ HTTPS ಮತ್ತು HTTP/2 ಮಾನದಂಡಗಳಿಂದ ಒದಗಿಸಲಾದ ವಿನಂತಿ ಸಿಂಟ್ಯಾಕ್ಸ್ ಅನ್ನು ಬಳಸುತ್ತದೆ, ಪ್ರಮಾಣಿತ HTTP ವಿನಂತಿಗಳ ಮೇಲೆ DNS ವಿನಂತಿಗಳು ಮತ್ತು ಪ್ರತಿಕ್ರಿಯೆಗಳನ್ನು ಸೇರಿಸುತ್ತದೆ.
DoH ಗೆ ಸಂಬಂಧಿಸಿದ ಅಪಾಯಗಳು
ನೀವು DoH ವಿನಂತಿಗಳಿಂದ ನಿಯಮಿತ HTTPS ದಟ್ಟಣೆಯನ್ನು ಪ್ರತ್ಯೇಕಿಸಲು ಸಾಧ್ಯವಾಗದಿದ್ದರೆ, ನಿಮ್ಮ ಸಂಸ್ಥೆಯೊಳಗಿನ ಅಪ್ಲಿಕೇಶನ್ಗಳು DoH ವಿನಂತಿಗಳಿಗೆ ಪ್ರತಿಕ್ರಿಯಿಸುವ ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಸರ್ವರ್ಗಳಿಗೆ ವಿನಂತಿಗಳನ್ನು ಮರುನಿರ್ದೇಶಿಸುವ ಮೂಲಕ ಸ್ಥಳೀಯ DNS ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ಬೈಪಾಸ್ ಮಾಡಬಹುದು (ಮತ್ತು ಮಾಡುತ್ತದೆ), ಇದು ಯಾವುದೇ ಮೇಲ್ವಿಚಾರಣೆಯನ್ನು ಬೈಪಾಸ್ ಮಾಡುತ್ತದೆ, ಅಂದರೆ ಸಾಮರ್ಥ್ಯವನ್ನು ನಾಶಪಡಿಸುತ್ತದೆ DNS ಸಂಚಾರವನ್ನು ನಿಯಂತ್ರಿಸಿ. ತಾತ್ತ್ವಿಕವಾಗಿ, ನೀವು HTTPS ಡೀಕ್ರಿಪ್ಶನ್ ಕಾರ್ಯಗಳನ್ನು ಬಳಸಿಕೊಂಡು DoH ಅನ್ನು ನಿಯಂತ್ರಿಸಬೇಕು.
DoH ಸಂಚಾರದ ಗೋಚರತೆ ಮತ್ತು ನಿಯಂತ್ರಣವನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳುವುದು
DoH ನಿಯಂತ್ರಣಕ್ಕೆ ಉತ್ತಮ ಪರಿಹಾರವಾಗಿ, HTTPS ಟ್ರಾಫಿಕ್ ಅನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಮತ್ತು DoH ಟ್ರಾಫಿಕ್ ಅನ್ನು ನಿರ್ಬಂಧಿಸಲು NGFW ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲು ನಾವು ಶಿಫಾರಸು ಮಾಡುತ್ತೇವೆ (ಅಪ್ಲಿಕೇಶನ್ ಹೆಸರು: dns-over-https).
ಎರಡನೆಯದಾಗಿ, ಕೆಳಗೆ ತೋರಿಸಿರುವಂತೆ ಅಪ್ಲಿಕೇಶನ್ ಟ್ರಾಫಿಕ್ "dns-over-https" ಗಾಗಿ ನಿಯಮವನ್ನು ರಚಿಸಿ:
ಪಾಲೊ ಆಲ್ಟೊ ನೆಟ್ವರ್ಕ್ಗಳು NGFW ನಿಯಮವು DNS-ಓವರ್-HTTPS ಅನ್ನು ನಿರ್ಬಂಧಿಸಲು
ಮಧ್ಯಂತರ ಪರ್ಯಾಯವಾಗಿ (ನಿಮ್ಮ ಸಂಸ್ಥೆಯು ಸಂಪೂರ್ಣವಾಗಿ HTTPS ಡೀಕ್ರಿಪ್ಶನ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸದಿದ್ದರೆ), "dns-over-https" ಅಪ್ಲಿಕೇಶನ್ ID ಗೆ "ನಿರಾಕರಿಸುವ" ಕ್ರಿಯೆಯನ್ನು ಅನ್ವಯಿಸಲು NGFW ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಬಹುದು, ಆದರೆ ಪರಿಣಾಮವು ಕೆಲವು ಉತ್ತಮವಾಗಿ ನಿರ್ಬಂಧಿಸಲು ಸೀಮಿತವಾಗಿರುತ್ತದೆ- ತಮ್ಮ ಡೊಮೇನ್ ಹೆಸರಿನ ಮೂಲಕ ತಿಳಿದಿರುವ DoH ಸರ್ವರ್ಗಳು, ಆದ್ದರಿಂದ HTTPS ಡೀಕ್ರಿಪ್ಶನ್ ಇಲ್ಲದೆ, DoH ಟ್ರಾಫಿಕ್ ಅನ್ನು ಹೇಗೆ ಸಂಪೂರ್ಣವಾಗಿ ಪರಿಶೀಲಿಸಲಾಗುವುದಿಲ್ಲ (ನೋಡಿ ಪಾಲೋ ಆಲ್ಟೋ ನೆಟ್ವರ್ಕ್ಗಳಿಂದ ಅಪ್ಲಿಪೀಡಿಯಾ ಮತ್ತು "dns-over-https" ಗಾಗಿ ಹುಡುಕಿ).
TLS (DoT) ಮೂಲಕ DNS
TLS ಒಳಗೆ DNS
DoH ಪ್ರೋಟೋಕಾಲ್ ಅದೇ ಪೋರ್ಟ್ನಲ್ಲಿ ಇತರ ಟ್ರಾಫಿಕ್ನೊಂದಿಗೆ ಬೆರೆಯಲು ಒಲವು ತೋರುತ್ತಿರುವಾಗ, ಆ ಏಕೈಕ ಉದ್ದೇಶಕ್ಕಾಗಿ ಕಾಯ್ದಿರಿಸಿದ ವಿಶೇಷ ಪೋರ್ಟ್ ಅನ್ನು ಬಳಸಲು DoT ಡೀಫಾಲ್ಟ್ ಮಾಡುತ್ತದೆ, ಸಾಂಪ್ರದಾಯಿಕ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡದ DNS ಟ್ರಾಫಿಕ್ನಿಂದ ಅದೇ ಪೋರ್ಟ್ ಅನ್ನು ಬಳಸುವುದನ್ನು ನಿರ್ದಿಷ್ಟವಾಗಿ ಅನುಮತಿಸುವುದಿಲ್ಲ ( RFC 7858, ವಿಭಾಗ 3.1 ).
DoT ಪ್ರೋಟೋಕಾಲ್ TLS ಅನ್ನು ಗೂಢಲಿಪೀಕರಣವನ್ನು ಒದಗಿಸಲು ಬಳಸುತ್ತದೆ, ಇದು ಸ್ಟ್ಯಾಂಡರ್ಡ್ DNS ಪ್ರೋಟೋಕಾಲ್ ಪ್ರಶ್ನೆಗಳನ್ನು ಸುತ್ತುವರಿಯುತ್ತದೆ, ಜೊತೆಗೆ ಟ್ರಾಫಿಕ್ ಜೊತೆಗೆ ಪ್ರಸಿದ್ಧ ಪೋರ್ಟ್ 853 ( RFC 7858 ವಿಭಾಗ 6 ) ಪೋರ್ಟ್ನಲ್ಲಿ ಟ್ರಾಫಿಕ್ ಅನ್ನು ನಿರ್ಬಂಧಿಸಲು ಅಥವಾ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಸ್ವೀಕರಿಸಲು ಆದರೆ ಆ ಪೋರ್ಟ್ನಲ್ಲಿ ಡೀಕ್ರಿಪ್ಶನ್ ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲು ಸಂಸ್ಥೆಗಳಿಗೆ ಸುಲಭವಾಗಿಸಲು DoT ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ.
DoT ಗೆ ಸಂಬಂಧಿಸಿದ ಅಪಾಯಗಳು
Google ತನ್ನ ಕ್ಲೈಂಟ್ನಲ್ಲಿ DoT ಅನ್ನು ಅಳವಡಿಸಿದೆ Android 9 Pie ಮತ್ತು ನಂತರ , ಲಭ್ಯವಿದ್ದಲ್ಲಿ ಸ್ವಯಂಚಾಲಿತವಾಗಿ DoT ಅನ್ನು ಬಳಸಲು ಡೀಫಾಲ್ಟ್ ಸೆಟ್ಟಿಂಗ್ನೊಂದಿಗೆ. ನೀವು ಅಪಾಯಗಳನ್ನು ನಿರ್ಣಯಿಸಿದ್ದರೆ ಮತ್ತು ಸಾಂಸ್ಥಿಕ ಮಟ್ಟದಲ್ಲಿ DoT ಅನ್ನು ಬಳಸಲು ಸಿದ್ಧರಾಗಿದ್ದರೆ, ಈ ಹೊಸ ಪ್ರೋಟೋಕಾಲ್ಗಾಗಿ ನೀವು ನೆಟ್ವರ್ಕ್ ನಿರ್ವಾಹಕರು ತಮ್ಮ ಪರಿಧಿಯ ಮೂಲಕ ಪೋರ್ಟ್ 853 ನಲ್ಲಿ ಹೊರಹೋಗುವ ದಟ್ಟಣೆಯನ್ನು ಸ್ಪಷ್ಟವಾಗಿ ಅನುಮತಿಸಬೇಕು.
ಗೋಚರತೆ ಮತ್ತು DoT ದಟ್ಟಣೆಯ ನಿಯಂತ್ರಣವನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳುವುದು
DoT ನಿಯಂತ್ರಣಕ್ಕಾಗಿ ಉತ್ತಮ ಅಭ್ಯಾಸವಾಗಿ, ನಿಮ್ಮ ಸಂಸ್ಥೆಯ ಅವಶ್ಯಕತೆಗಳನ್ನು ಆಧರಿಸಿ ಮೇಲಿನ ಯಾವುದನ್ನಾದರೂ ನಾವು ಶಿಫಾರಸು ಮಾಡುತ್ತೇವೆ:
ಗಮ್ಯಸ್ಥಾನ ಪೋರ್ಟ್ 853 ಗಾಗಿ ಎಲ್ಲಾ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲು NGFW ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ. ಟ್ರಾಫಿಕ್ ಅನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡುವ ಮೂಲಕ, ಚಂದಾದಾರಿಕೆಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುವಂತಹ ಯಾವುದೇ ಕ್ರಿಯೆಯನ್ನು ನೀವು ಅನ್ವಯಿಸಬಹುದಾದ DNS ಅಪ್ಲಿಕೇಶನ್ನಂತೆ DoT ಗೋಚರಿಸುತ್ತದೆ ಪಾಲೊ ಆಲ್ಟೊ ನೆಟ್ವರ್ಕ್ಸ್ DNS ಭದ್ರತೆ DGA ಡೊಮೇನ್ಗಳನ್ನು ಅಥವಾ ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ ಒಂದನ್ನು ನಿಯಂತ್ರಿಸಲು DNS ಸಿಂಕ್ಹೋಲಿಂಗ್ ಮತ್ತು ಸ್ಪೈವೇರ್ ವಿರೋಧಿ.
ಪೋರ್ಟ್ 853 ನಲ್ಲಿ ಅಪ್ಲಿಕೇಶನ್-ಐಡಿ ಎಂಜಿನ್ ಸಂಪೂರ್ಣವಾಗಿ 'dns-over-tls' ಟ್ರಾಫಿಕ್ ಅನ್ನು ನಿರ್ಬಂಧಿಸುವುದು ಪರ್ಯಾಯವಾಗಿದೆ. ಇದನ್ನು ಸಾಮಾನ್ಯವಾಗಿ ಡೀಫಾಲ್ಟ್ ಆಗಿ ನಿರ್ಬಂಧಿಸಲಾಗುತ್ತದೆ, ಯಾವುದೇ ಕ್ರಿಯೆಯ ಅಗತ್ಯವಿಲ್ಲ (ನೀವು ನಿರ್ದಿಷ್ಟವಾಗಿ 'dns-over-tls' ಅಪ್ಲಿಕೇಶನ್ ಅಥವಾ ಪೋರ್ಟ್ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಅನುಮತಿಸದ ಹೊರತು 853)