DoH ಮತ್ತು DoT ಅನ್ನು ಬಳಸುವ ಅಪಾಯಗಳನ್ನು ಕಡಿಮೆಗೊಳಿಸುವುದು
DoH ಮತ್ತು DoT ರಕ್ಷಣೆ
ನಿಮ್ಮ DNS ಟ್ರಾಫಿಕ್ ಅನ್ನು ನೀವು ನಿಯಂತ್ರಿಸುತ್ತೀರಾ? ಸಂಸ್ಥೆಗಳು ತಮ್ಮ ನೆಟ್ವರ್ಕ್ಗಳನ್ನು ಸುರಕ್ಷಿತವಾಗಿರಿಸಲು ಸಾಕಷ್ಟು ಸಮಯ, ಹಣ ಮತ್ತು ಶ್ರಮವನ್ನು ಹೂಡಿಕೆ ಮಾಡುತ್ತವೆ. ಆದಾಗ್ಯೂ, ಆಗಾಗ್ಗೆ ಸಾಕಷ್ಟು ಗಮನವನ್ನು ಪಡೆಯದ ಒಂದು ಪ್ರದೇಶವೆಂದರೆ DNS.
DNS ತರುವ ಅಪಾಯಗಳ ಉತ್ತಮ ಅವಲೋಕನ ಇನ್ಫೋಸೆಕ್ಯುರಿಟಿ ಸಮ್ಮೇಳನದಲ್ಲಿ.
ಸಮೀಕ್ಷೆ ನಡೆಸಿದ 31% ransomware ತರಗತಿಗಳು ಪ್ರಮುಖ ವಿನಿಮಯಕ್ಕಾಗಿ DNS ಅನ್ನು ಬಳಸಲಾಗಿದೆ. ಅಧ್ಯಯನದ ಸಂಶೋಧನೆಗಳು
ಸಮೀಕ್ಷೆ ನಡೆಸಿದ 31% ransomware ತರಗತಿಗಳು ಕೀ ವಿನಿಮಯಕ್ಕಾಗಿ DNS ಅನ್ನು ಬಳಸಿದವು.
ಸಮಸ್ಯೆ ಗಂಭೀರವಾಗಿದೆ. Palo Alto Networks Unit 42 ಸಂಶೋಧನಾ ಪ್ರಯೋಗಾಲಯದ ಪ್ರಕಾರ, ಸರಿಸುಮಾರು 85% ಮಾಲ್ವೇರ್ ಕಮಾಂಡ್ ಮತ್ತು ಕಂಟ್ರೋಲ್ ಚಾನಲ್ ಅನ್ನು ಸ್ಥಾಪಿಸಲು DNS ಅನ್ನು ಬಳಸುತ್ತದೆ, ದಾಳಿಕೋರರು ನಿಮ್ಮ ನೆಟ್ವರ್ಕ್ಗೆ ಮಾಲ್ವೇರ್ ಅನ್ನು ಸುಲಭವಾಗಿ ಸೇರಿಸಲು ಮತ್ತು ಡೇಟಾವನ್ನು ಕದಿಯಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ. ಅದರ ಪ್ರಾರಂಭದಿಂದಲೂ, DNS ಟ್ರಾಫಿಕ್ ಅನ್ನು ಹೆಚ್ಚಾಗಿ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗಿಲ್ಲ ಮತ್ತು NGFW ಭದ್ರತಾ ಕಾರ್ಯವಿಧಾನಗಳಿಂದ ಸುಲಭವಾಗಿ ವಿಶ್ಲೇಷಿಸಬಹುದು.
DNS ಸಂಪರ್ಕಗಳ ಗೌಪ್ಯತೆಯನ್ನು ಹೆಚ್ಚಿಸುವ ಉದ್ದೇಶದಿಂದ DNS ಗಾಗಿ ಹೊಸ ಪ್ರೋಟೋಕಾಲ್ಗಳು ಹೊರಹೊಮ್ಮಿವೆ. ಪ್ರಮುಖ ಬ್ರೌಸರ್ ಮಾರಾಟಗಾರರು ಮತ್ತು ಇತರ ಸಾಫ್ಟ್ವೇರ್ ಮಾರಾಟಗಾರರು ಅವರನ್ನು ಸಕ್ರಿಯವಾಗಿ ಬೆಂಬಲಿಸುತ್ತಾರೆ. ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ DNS ಟ್ರಾಫಿಕ್ ಶೀಘ್ರದಲ್ಲೇ ಕಾರ್ಪೊರೇಟ್ ನೆಟ್ವರ್ಕ್ಗಳಲ್ಲಿ ಬೆಳೆಯಲು ಪ್ರಾರಂಭವಾಗುತ್ತದೆ. ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ DNS ಟ್ರಾಫಿಕ್ ಅನ್ನು ಸರಿಯಾಗಿ ವಿಶ್ಲೇಷಿಸದ ಮತ್ತು ಪರಿಕರಗಳ ಮೂಲಕ ಪರಿಹರಿಸದಿರುವುದು ಕಂಪನಿಗೆ ಭದ್ರತಾ ಅಪಾಯವನ್ನುಂಟುಮಾಡುತ್ತದೆ. ಉದಾಹರಣೆಗೆ, ಗೂಢಲಿಪೀಕರಣ ಕೀಗಳನ್ನು ವಿನಿಮಯ ಮಾಡಿಕೊಳ್ಳಲು DNS ಅನ್ನು ಬಳಸುವ ಕ್ರಿಪ್ಟೋಲಾಕರ್ಗಳು ಅಂತಹ ಬೆದರಿಕೆಯಾಗಿದೆ. ನಿಮ್ಮ ಡೇಟಾಗೆ ಪ್ರವೇಶವನ್ನು ಮರುಸ್ಥಾಪಿಸಲು ದಾಳಿಕೋರರು ಈಗ ಹಲವಾರು ಮಿಲಿಯನ್ ಡಾಲರ್ಗಳ ಸುಲಿಗೆಯನ್ನು ಕೋರುತ್ತಿದ್ದಾರೆ. ಉದಾಹರಣೆಗೆ ಗಾರ್ಮಿನ್ $10 ಮಿಲಿಯನ್ ಪಾವತಿಸಿದರು.
ಸರಿಯಾಗಿ ಕಾನ್ಫಿಗರ್ ಮಾಡಿದಾಗ, NGFW ಗಳು DNS-over-TLS (DoT) ಬಳಕೆಯನ್ನು ನಿರಾಕರಿಸಬಹುದು ಅಥವಾ ರಕ್ಷಿಸಬಹುದು ಮತ್ತು DNS-over-HTTPS (DoH) ಬಳಕೆಯನ್ನು ನಿರಾಕರಿಸಲು ಬಳಸಬಹುದು, ಇದು ನಿಮ್ಮ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿನ ಎಲ್ಲಾ DNS ಟ್ರಾಫಿಕ್ ಅನ್ನು ವಿಶ್ಲೇಷಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ.
ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ DNS ಎಂದರೇನು?
DNS ಎಂದರೇನು
ಡೊಮೈನ್ ನೇಮ್ ಸಿಸ್ಟಮ್ (DNS) ಮಾನವ-ಓದಬಲ್ಲ ಡೊಮೇನ್ ಹೆಸರುಗಳನ್ನು ಪರಿಹರಿಸುತ್ತದೆ (ಉದಾಹರಣೆಗೆ, ವಿಳಾಸ IP ವಿಳಾಸಗಳಿಗೆ (ಉದಾಹರಣೆಗೆ, 34.107.151.202). ಬಳಕೆದಾರರು ವೆಬ್ ಬ್ರೌಸರ್ಗೆ ಡೊಮೇನ್ ಹೆಸರನ್ನು ನಮೂದಿಸಿದಾಗ, ಬ್ರೌಸರ್ ಡಿಎನ್ಎಸ್ ಪ್ರಶ್ನೆಯನ್ನು ಡಿಎನ್ಎಸ್ ಸರ್ವರ್ಗೆ ಕಳುಹಿಸುತ್ತದೆ, ಆ ಡೊಮೇನ್ ಹೆಸರಿನೊಂದಿಗೆ ಸಂಯೋಜಿತವಾಗಿರುವ ಐಪಿ ವಿಳಾಸವನ್ನು ಕೇಳುತ್ತದೆ. ಪ್ರತಿಕ್ರಿಯೆಯಾಗಿ, ಈ ಬ್ರೌಸರ್ ಬಳಸುವ IP ವಿಳಾಸವನ್ನು DNS ಸರ್ವರ್ ಹಿಂತಿರುಗಿಸುತ್ತದೆ.
DNS ಪ್ರಶ್ನೆಗಳು ಮತ್ತು ಪ್ರತಿಕ್ರಿಯೆಗಳನ್ನು ನೆಟ್ವರ್ಕ್ನಾದ್ಯಂತ ಸರಳ ಪಠ್ಯದಲ್ಲಿ ಕಳುಹಿಸಲಾಗುತ್ತದೆ, ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗಿಲ್ಲ, ಇದು ಕಣ್ಣಿಡಲು ಅಥವಾ ಪ್ರತಿಕ್ರಿಯೆಯನ್ನು ಬದಲಾಯಿಸಲು ಮತ್ತು ಬ್ರೌಸರ್ ಅನ್ನು ದುರುದ್ದೇಶಪೂರಿತ ಸರ್ವರ್ಗಳಿಗೆ ಮರುನಿರ್ದೇಶಿಸುತ್ತದೆ. DNS ಗೂಢಲಿಪೀಕರಣವು DNS ವಿನಂತಿಗಳನ್ನು ಟ್ರ್ಯಾಕ್ ಮಾಡಲು ಅಥವಾ ಪ್ರಸರಣದ ಸಮಯದಲ್ಲಿ ಬದಲಾಯಿಸಲು ಕಷ್ಟವಾಗುತ್ತದೆ. DNS ವಿನಂತಿಗಳು ಮತ್ತು ಪ್ರತಿಕ್ರಿಯೆಗಳನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡುವುದರಿಂದ ಸಾಂಪ್ರದಾಯಿಕ ಸರಳ ಪಠ್ಯ DNS (ಡೊಮೈನ್ ನೇಮ್ ಸಿಸ್ಟಮ್) ಪ್ರೋಟೋಕಾಲ್ನಂತೆಯೇ ಅದೇ ಕಾರ್ಯವನ್ನು ನಿರ್ವಹಿಸುವಾಗ ಮ್ಯಾನ್-ಇನ್-ದಿ-ಮಿಡಲ್ ದಾಳಿಗಳಿಂದ ನಿಮ್ಮನ್ನು ರಕ್ಷಿಸುತ್ತದೆ.
ಕಳೆದ ಕೆಲವು ವರ್ಷಗಳಲ್ಲಿ, ಎರಡು DNS ಎನ್ಕ್ರಿಪ್ಶನ್ ಪ್ರೋಟೋಕಾಲ್ಗಳನ್ನು ಪರಿಚಯಿಸಲಾಗಿದೆ:
-
DNS-ಓವರ್-HTTPS (DoH)
-
DNS-over-TLS (DoT)
ಈ ಪ್ರೋಟೋಕಾಲ್ಗಳು ಸಾಮಾನ್ಯವಾದ ಒಂದು ವಿಷಯವನ್ನು ಹೊಂದಿವೆ: ಅವರು ಉದ್ದೇಶಪೂರ್ವಕವಾಗಿ DNS ವಿನಂತಿಗಳನ್ನು ಯಾವುದೇ ಪ್ರತಿಬಂಧಕದಿಂದ ಮರೆಮಾಡುತ್ತಾರೆ ... ಮತ್ತು ಸಂಸ್ಥೆಯ ಭದ್ರತಾ ಸಿಬ್ಬಂದಿಗಳಿಂದ ಕೂಡಾ. ಪ್ರೋಟೋಕಾಲ್ಗಳು ಪ್ರಾಥಮಿಕವಾಗಿ TLS (ಟ್ರಾನ್ಸ್ಪೋರ್ಟ್ ಲೇಯರ್ ಸೆಕ್ಯುರಿಟಿ) ಅನ್ನು ಕ್ಲೈಂಟ್ ಮಾಡುವ ಪ್ರಶ್ನೆಗಳ ನಡುವೆ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ಸಂಪರ್ಕವನ್ನು ಸ್ಥಾಪಿಸಲು ಮತ್ತು ಸಾಮಾನ್ಯವಾಗಿ DNS ಟ್ರಾಫಿಕ್ಗಾಗಿ ಬಳಸದ ಪೋರ್ಟ್ನಲ್ಲಿ DNS ಪ್ರಶ್ನೆಗಳನ್ನು ಪರಿಹರಿಸುವ ಸರ್ವರ್ ಅನ್ನು ಬಳಸುತ್ತವೆ.
DNS ಪ್ರಶ್ನೆಗಳ ಗೌಪ್ಯತೆಯು ಈ ಪ್ರೋಟೋಕಾಲ್ಗಳ ದೊಡ್ಡ ಪ್ಲಸ್ ಆಗಿದೆ. ಆದಾಗ್ಯೂ, ಅವರು ನೆಟ್ವರ್ಕ್ ದಟ್ಟಣೆಯನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುವ ಮತ್ತು ದುರುದ್ದೇಶಪೂರಿತ ಸಂಪರ್ಕಗಳನ್ನು ಪತ್ತೆಹಚ್ಚುವ ಮತ್ತು ನಿರ್ಬಂಧಿಸುವ ಭದ್ರತಾ ಸಿಬ್ಬಂದಿಗಳಿಗೆ ಸಮಸ್ಯೆಗಳನ್ನು ಉಂಟುಮಾಡುತ್ತಾರೆ. ಪ್ರೋಟೋಕಾಲ್ಗಳು ಅವುಗಳ ಅನುಷ್ಠಾನದಲ್ಲಿ ಭಿನ್ನವಾಗಿರುವುದರಿಂದ, ವಿಶ್ಲೇಷಣಾ ವಿಧಾನಗಳು DoH ಮತ್ತು DoT ನಡುವೆ ಭಿನ್ನವಾಗಿರುತ್ತವೆ.
HTTPS (DoH) ಮೂಲಕ DNS
HTTPS ಒಳಗೆ DNS
HTTPS ಗಾಗಿ DoH ಸುಪ್ರಸಿದ್ಧ ಪೋರ್ಟ್ 443 ಅನ್ನು ಬಳಸುತ್ತದೆ, ಇದಕ್ಕಾಗಿ RFC ನಿರ್ದಿಷ್ಟವಾಗಿ ಹೇಳುವಂತೆ "ಇತರ HTTPS ಟ್ರಾಫಿಕ್ನೊಂದಿಗೆ ಅದೇ ಸಂಪರ್ಕದಲ್ಲಿ DoH ಟ್ರಾಫಿಕ್ ಅನ್ನು ಮಿಶ್ರಣ ಮಾಡುವುದು", "DNS ಟ್ರಾಫಿಕ್ ಅನ್ನು ವಿಶ್ಲೇಷಿಸಲು ಕಷ್ಟವಾಗುತ್ತದೆ" ಮತ್ತು ಕಾರ್ಪೊರೇಟ್ ನಿಯಂತ್ರಣಗಳನ್ನು ತಪ್ಪಿಸುವುದು ( ) DoH ಪ್ರೋಟೋಕಾಲ್ TLS ಎನ್ಕ್ರಿಪ್ಶನ್ ಮತ್ತು ಸಾಮಾನ್ಯ HTTPS ಮತ್ತು HTTP/2 ಮಾನದಂಡಗಳಿಂದ ಒದಗಿಸಲಾದ ವಿನಂತಿ ಸಿಂಟ್ಯಾಕ್ಸ್ ಅನ್ನು ಬಳಸುತ್ತದೆ, ಪ್ರಮಾಣಿತ HTTP ವಿನಂತಿಗಳ ಮೇಲೆ DNS ವಿನಂತಿಗಳು ಮತ್ತು ಪ್ರತಿಕ್ರಿಯೆಗಳನ್ನು ಸೇರಿಸುತ್ತದೆ.
DoH ಗೆ ಸಂಬಂಧಿಸಿದ ಅಪಾಯಗಳು
ನೀವು DoH ವಿನಂತಿಗಳಿಂದ ನಿಯಮಿತ HTTPS ದಟ್ಟಣೆಯನ್ನು ಪ್ರತ್ಯೇಕಿಸಲು ಸಾಧ್ಯವಾಗದಿದ್ದರೆ, ನಿಮ್ಮ ಸಂಸ್ಥೆಯೊಳಗಿನ ಅಪ್ಲಿಕೇಶನ್ಗಳು DoH ವಿನಂತಿಗಳಿಗೆ ಪ್ರತಿಕ್ರಿಯಿಸುವ ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಸರ್ವರ್ಗಳಿಗೆ ವಿನಂತಿಗಳನ್ನು ಮರುನಿರ್ದೇಶಿಸುವ ಮೂಲಕ ಸ್ಥಳೀಯ DNS ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ಬೈಪಾಸ್ ಮಾಡಬಹುದು (ಮತ್ತು ಮಾಡುತ್ತದೆ), ಇದು ಯಾವುದೇ ಮೇಲ್ವಿಚಾರಣೆಯನ್ನು ಬೈಪಾಸ್ ಮಾಡುತ್ತದೆ, ಅಂದರೆ ಸಾಮರ್ಥ್ಯವನ್ನು ನಾಶಪಡಿಸುತ್ತದೆ DNS ಸಂಚಾರವನ್ನು ನಿಯಂತ್ರಿಸಿ. ತಾತ್ತ್ವಿಕವಾಗಿ, ನೀವು HTTPS ಡೀಕ್ರಿಪ್ಶನ್ ಕಾರ್ಯಗಳನ್ನು ಬಳಸಿಕೊಂಡು DoH ಅನ್ನು ನಿಯಂತ್ರಿಸಬೇಕು.
И ತಮ್ಮ ಬ್ರೌಸರ್ಗಳ ಇತ್ತೀಚಿನ ಆವೃತ್ತಿಯಲ್ಲಿ, ಮತ್ತು ಎರಡೂ ಕಂಪನಿಗಳು ಎಲ್ಲಾ DNS ವಿನಂತಿಗಳಿಗಾಗಿ ಡೀಫಾಲ್ಟ್ ಆಗಿ DoH ಅನ್ನು ಬಳಸಲು ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತಿವೆ. ತಮ್ಮ ಕಾರ್ಯಾಚರಣಾ ವ್ಯವಸ್ಥೆಗಳಿಗೆ DoH ಅನ್ನು ಸಂಯೋಜಿಸುವ ಕುರಿತು. ಅನಾನುಕೂಲವೆಂದರೆ ಪ್ರತಿಷ್ಠಿತ ಸಾಫ್ಟ್ವೇರ್ ಕಂಪನಿಗಳು ಮಾತ್ರವಲ್ಲದೆ ಆಕ್ರಮಣಕಾರರು ಸಾಂಪ್ರದಾಯಿಕ ಕಾರ್ಪೊರೇಟ್ ಫೈರ್ವಾಲ್ ಕ್ರಮಗಳನ್ನು ಬೈಪಾಸ್ ಮಾಡುವ ಸಾಧನವಾಗಿ DoH ಅನ್ನು ಬಳಸಲು ಪ್ರಾರಂಭಿಸಿದ್ದಾರೆ. (ಉದಾಹರಣೆಗೆ, ಈ ಕೆಳಗಿನ ಲೇಖನಗಳನ್ನು ಪರಿಶೀಲಿಸಿ: , и .) ಎರಡೂ ಸಂದರ್ಭಗಳಲ್ಲಿ, ಉತ್ತಮ ಮತ್ತು ದುರುದ್ದೇಶಪೂರಿತ DoH ದಟ್ಟಣೆಯು ಪತ್ತೆಯಾಗುವುದಿಲ್ಲ, ಮಾಲ್ವೇರ್ (C2) ಅನ್ನು ನಿಯಂತ್ರಿಸಲು ಮತ್ತು ಸೂಕ್ಷ್ಮ ಡೇಟಾವನ್ನು ಕದಿಯಲು ಒಂದು ಮಾರ್ಗವಾಗಿ DoH ನ ದುರುದ್ದೇಶಪೂರಿತ ಬಳಕೆಗೆ ಸಂಸ್ಥೆಯು ಕುರುಡಾಗಿರುತ್ತದೆ.
DoH ಸಂಚಾರದ ಗೋಚರತೆ ಮತ್ತು ನಿಯಂತ್ರಣವನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳುವುದು
DoH ನಿಯಂತ್ರಣಕ್ಕೆ ಉತ್ತಮ ಪರಿಹಾರವಾಗಿ, HTTPS ಟ್ರಾಫಿಕ್ ಅನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಮತ್ತು DoH ಟ್ರಾಫಿಕ್ ಅನ್ನು ನಿರ್ಬಂಧಿಸಲು NGFW ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲು ನಾವು ಶಿಫಾರಸು ಮಾಡುತ್ತೇವೆ (ಅಪ್ಲಿಕೇಶನ್ ಹೆಸರು: dns-over-https).
ಮೊದಲಿಗೆ, NGFW ಅನ್ನು HTTPS ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಕಾನ್ಫಿಗರ್ ಮಾಡಲಾಗಿದೆ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಿ .
ಎರಡನೆಯದಾಗಿ, ಕೆಳಗೆ ತೋರಿಸಿರುವಂತೆ ಅಪ್ಲಿಕೇಶನ್ ಟ್ರಾಫಿಕ್ "dns-over-https" ಗಾಗಿ ನಿಯಮವನ್ನು ರಚಿಸಿ:
ಪಾಲೊ ಆಲ್ಟೊ ನೆಟ್ವರ್ಕ್ಗಳು NGFW ನಿಯಮವು DNS-ಓವರ್-HTTPS ಅನ್ನು ನಿರ್ಬಂಧಿಸಲು
ಮಧ್ಯಂತರ ಪರ್ಯಾಯವಾಗಿ (ನಿಮ್ಮ ಸಂಸ್ಥೆಯು ಸಂಪೂರ್ಣವಾಗಿ HTTPS ಡೀಕ್ರಿಪ್ಶನ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸದಿದ್ದರೆ), "dns-over-https" ಅಪ್ಲಿಕೇಶನ್ ID ಗೆ "ನಿರಾಕರಿಸುವ" ಕ್ರಿಯೆಯನ್ನು ಅನ್ವಯಿಸಲು NGFW ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಬಹುದು, ಆದರೆ ಪರಿಣಾಮವು ಕೆಲವು ಉತ್ತಮವಾಗಿ ನಿರ್ಬಂಧಿಸಲು ಸೀಮಿತವಾಗಿರುತ್ತದೆ- ತಮ್ಮ ಡೊಮೇನ್ ಹೆಸರಿನ ಮೂಲಕ ತಿಳಿದಿರುವ DoH ಸರ್ವರ್ಗಳು, ಆದ್ದರಿಂದ HTTPS ಡೀಕ್ರಿಪ್ಶನ್ ಇಲ್ಲದೆ, DoH ಟ್ರಾಫಿಕ್ ಅನ್ನು ಹೇಗೆ ಸಂಪೂರ್ಣವಾಗಿ ಪರಿಶೀಲಿಸಲಾಗುವುದಿಲ್ಲ (ನೋಡಿ ಮತ್ತು "dns-over-https" ಗಾಗಿ ಹುಡುಕಿ).
TLS (DoT) ಮೂಲಕ DNS
TLS ಒಳಗೆ DNS
DoH ಪ್ರೋಟೋಕಾಲ್ ಅದೇ ಪೋರ್ಟ್ನಲ್ಲಿ ಇತರ ಟ್ರಾಫಿಕ್ನೊಂದಿಗೆ ಬೆರೆಯಲು ಒಲವು ತೋರುತ್ತಿರುವಾಗ, ಆ ಏಕೈಕ ಉದ್ದೇಶಕ್ಕಾಗಿ ಕಾಯ್ದಿರಿಸಿದ ವಿಶೇಷ ಪೋರ್ಟ್ ಅನ್ನು ಬಳಸಲು DoT ಡೀಫಾಲ್ಟ್ ಮಾಡುತ್ತದೆ, ಸಾಂಪ್ರದಾಯಿಕ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡದ DNS ಟ್ರಾಫಿಕ್ನಿಂದ ಅದೇ ಪೋರ್ಟ್ ಅನ್ನು ಬಳಸುವುದನ್ನು ನಿರ್ದಿಷ್ಟವಾಗಿ ಅನುಮತಿಸುವುದಿಲ್ಲ ( ).
DoT ಪ್ರೋಟೋಕಾಲ್ TLS ಅನ್ನು ಗೂಢಲಿಪೀಕರಣವನ್ನು ಒದಗಿಸಲು ಬಳಸುತ್ತದೆ, ಇದು ಸ್ಟ್ಯಾಂಡರ್ಡ್ DNS ಪ್ರೋಟೋಕಾಲ್ ಪ್ರಶ್ನೆಗಳನ್ನು ಸುತ್ತುವರಿಯುತ್ತದೆ, ಜೊತೆಗೆ ಟ್ರಾಫಿಕ್ ಜೊತೆಗೆ ಪ್ರಸಿದ್ಧ ಪೋರ್ಟ್ 853 ( ) ಪೋರ್ಟ್ನಲ್ಲಿ ಟ್ರಾಫಿಕ್ ಅನ್ನು ನಿರ್ಬಂಧಿಸಲು ಅಥವಾ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಸ್ವೀಕರಿಸಲು ಆದರೆ ಆ ಪೋರ್ಟ್ನಲ್ಲಿ ಡೀಕ್ರಿಪ್ಶನ್ ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲು ಸಂಸ್ಥೆಗಳಿಗೆ ಸುಲಭವಾಗಿಸಲು DoT ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ.
DoT ಗೆ ಸಂಬಂಧಿಸಿದ ಅಪಾಯಗಳು
Google ತನ್ನ ಕ್ಲೈಂಟ್ನಲ್ಲಿ DoT ಅನ್ನು ಅಳವಡಿಸಿದೆ , ಲಭ್ಯವಿದ್ದಲ್ಲಿ ಸ್ವಯಂಚಾಲಿತವಾಗಿ DoT ಅನ್ನು ಬಳಸಲು ಡೀಫಾಲ್ಟ್ ಸೆಟ್ಟಿಂಗ್ನೊಂದಿಗೆ. ನೀವು ಅಪಾಯಗಳನ್ನು ನಿರ್ಣಯಿಸಿದ್ದರೆ ಮತ್ತು ಸಾಂಸ್ಥಿಕ ಮಟ್ಟದಲ್ಲಿ DoT ಅನ್ನು ಬಳಸಲು ಸಿದ್ಧರಾಗಿದ್ದರೆ, ಈ ಹೊಸ ಪ್ರೋಟೋಕಾಲ್ಗಾಗಿ ನೀವು ನೆಟ್ವರ್ಕ್ ನಿರ್ವಾಹಕರು ತಮ್ಮ ಪರಿಧಿಯ ಮೂಲಕ ಪೋರ್ಟ್ 853 ನಲ್ಲಿ ಹೊರಹೋಗುವ ದಟ್ಟಣೆಯನ್ನು ಸ್ಪಷ್ಟವಾಗಿ ಅನುಮತಿಸಬೇಕು.
ಗೋಚರತೆ ಮತ್ತು DoT ದಟ್ಟಣೆಯ ನಿಯಂತ್ರಣವನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳುವುದು
DoT ನಿಯಂತ್ರಣಕ್ಕಾಗಿ ಉತ್ತಮ ಅಭ್ಯಾಸವಾಗಿ, ನಿಮ್ಮ ಸಂಸ್ಥೆಯ ಅವಶ್ಯಕತೆಗಳನ್ನು ಆಧರಿಸಿ ಮೇಲಿನ ಯಾವುದನ್ನಾದರೂ ನಾವು ಶಿಫಾರಸು ಮಾಡುತ್ತೇವೆ:
-
ಗಮ್ಯಸ್ಥಾನ ಪೋರ್ಟ್ 853 ಗಾಗಿ ಎಲ್ಲಾ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲು NGFW ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ. ಟ್ರಾಫಿಕ್ ಅನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡುವ ಮೂಲಕ, ಚಂದಾದಾರಿಕೆಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುವಂತಹ ಯಾವುದೇ ಕ್ರಿಯೆಯನ್ನು ನೀವು ಅನ್ವಯಿಸಬಹುದಾದ DNS ಅಪ್ಲಿಕೇಶನ್ನಂತೆ DoT ಗೋಚರಿಸುತ್ತದೆ DGA ಡೊಮೇನ್ಗಳನ್ನು ಅಥವಾ ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ ಒಂದನ್ನು ನಿಯಂತ್ರಿಸಲು ಮತ್ತು ಸ್ಪೈವೇರ್ ವಿರೋಧಿ.
-
ಪೋರ್ಟ್ 853 ನಲ್ಲಿ ಅಪ್ಲಿಕೇಶನ್-ಐಡಿ ಎಂಜಿನ್ ಸಂಪೂರ್ಣವಾಗಿ 'dns-over-tls' ಟ್ರಾಫಿಕ್ ಅನ್ನು ನಿರ್ಬಂಧಿಸುವುದು ಪರ್ಯಾಯವಾಗಿದೆ. ಇದನ್ನು ಸಾಮಾನ್ಯವಾಗಿ ಡೀಫಾಲ್ಟ್ ಆಗಿ ನಿರ್ಬಂಧಿಸಲಾಗುತ್ತದೆ, ಯಾವುದೇ ಕ್ರಿಯೆಯ ಅಗತ್ಯವಿಲ್ಲ (ನೀವು ನಿರ್ದಿಷ್ಟವಾಗಿ 'dns-over-tls' ಅಪ್ಲಿಕೇಶನ್ ಅಥವಾ ಪೋರ್ಟ್ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಅನುಮತಿಸದ ಹೊರತು 853)
ಮೂಲ: www.habr.com