Kêmkirina xetereyên karanîna DoH û DoT
Parastina DoH û DoT
Ma hûn seyrûsefera DNS-ya xwe kontrol dikin? Rêxistin ji bo ewlekirina torên xwe gelek dem, drav û hewldan veberhênan dikin. Lêbelê, yek devera ku pir caran têra xwe bala xwe nagire DNS ye.
Nêrînek baş a xetereyên ku DNS tîne ev e li konferansa Infosecurity.
31% ji çînên ransomware yên lêkolînkirî DNS ji bo veguheztina mifteyê bikar anîn. Encamên Lêkolînê
31% dersên ransomware yên lêkolînkirî DNS ji bo danûstendina mifteyê bikar anîn.
Pirsgirêk cidî ye. Li gorî laboratûara Lêkolînê ya Yekîneya Tora Palo Alto 42, bi qasî 85% ji malware DNS-ê bikar tîne da ku kanalek ferman û kontrolê saz bike, dihêle ku êrîşkar bi hêsanî malware di tora we de derxin û hem jî daneyan bidizin. Ji destpêka damezrandina xwe ve, seyrûsefera DNS bi piranî neşîfre bûye û bi mekanîzmayên ewlehiyê yên NGFW ve bi hêsanî dikare were analîz kirin.
Protokolên nû ji bo DNS derketine ku armanc ew e ku nepenîtiya girêdanên DNS zêde bikin. Ew bi çalak ji hêla firoşkarên gerok û firoşkarên din ên nermalavê ve têne piştgirî kirin. Trafîka DNS ya şîfrekirî dê di demek nêzîk de di torên pargîdanî de dest pê bike. Trafîka DNS ya şîfrekirî ya ku ji hêla amûran ve bi rêkûpêk nayê analîz kirin û çareser kirin ji pargîdaniyek re xeterek ewlehiyê çêdike. Mînakî, metirsiyek wusa krîptoloker e ku DNS-ê bikar tîne da ku bişkojkên şîfrekirinê biguhezîne. Êrîşkar naha ji bo vegerandina gihîştina daneyên we çend mîlyon dolar fidye dixwazin. Mînak Garmin 10 mîlyon dolar da.
Dema ku bi rêkûpêk were mîheng kirin, NGFW dikarin karanîna DNS-ser-TLS (DoT) înkar bikin an biparêzin û dikarin ji bo redkirina karanîna DNS-ser-HTTPS (DoH) werin bikar anîn, ku dihêle hemî seyrûsefera DNS-ê ya li ser tora we were analîz kirin.
DNS-ya şîfrekirî çi ye?
DNS çi ye
Pergala Navê Domainê (DNS) navên domainên ku ji hêla mirovan ve têne xwendin çareser dike (mînak, navnîşan ) ji navnîşanên IP-ê re (mînak, 34.107.151.202). Dema ku bikarhênerek navek domainê dike nav gerokek webê, gerok pirsek DNS ji servera DNS re dişîne, navnîşana IP-ya ku bi navê domainê ve girêdayî ye dipirse. Di bersivê de, servera DNS navnîşana IP-ya ku dê ev gerok bikar bîne vedigerîne.
Pirs û bersivên DNS li seranserê torê bi nivîsek sade, neşîfrekirî têne şandin, ku ew ji sîxurî an guheztina bersivê xeternak dike û gerokê ber bi serverên xirab ve vedigerîne. Şîfrekirina DNS di dema veguheztinê de şopandin an guhertina daxwazên DNS-ê dijwar dike. Şîfrekirina daxwaz û bersivên DNS we ji êrîşên Man-in-the-Middle diparêze dema ku heman fonksiyonê wekî protokola kevneşopî ya kevneşopî ya DNS (Pergala Navê Domainê) pêk tîne.
Di van çend salên borî de, du protokolên şîfrekirinê yên DNS hatine destnîşan kirin:
-
DNS-ser-HTTPS (DoH)
-
DNS-ser-TLS (DoT)
Van protokolan yek tişta hevpar heye: ew bi qestî daxwazên DNS ji her destgirtinê vedişêrin... û ji cerdevanên ewlehiyê yên rêxistinê jî. Protokol di serî de TLS (Ewlehiya Tebeqeya Veguhastinê) bikar tînin da ku têkiliyek şîfrekirî di navbera xerîdarek ku pirsan dike û serverek ku pirsên DNS-ê li ser portek ku bi gelemperî ji bo seyrûsefera DNS-ê nayê bikar anîn çareser dike, bikar tîne.
Nepenîtiya pirsên DNS ji van protokolan zêdebûnek mezin e. Lêbelê, ew ji bo cerdevanên ewlehiyê yên ku divê seyrûsefera torê bişopînin û girêdanên xirab tespît bikin û asteng bikin pirsgirêk derdixin. Ji ber ku protokol di pêkanîna wan de cûda dibin, dê rêbazên analîzê di navbera DoH û DoT de cûda bibin.
DNS li ser HTTPS (DoH)
DNS di hundurê HTTPS de
DoH ji bo HTTPS porta naskirî 443 bikar tîne, ji bo ku RFC bi taybetî diyar dike ku mebest ew e ku "seyrûsefera DoH bi seyrûsefera HTTPS-ê ya din re li ser heman girêdanê tevlihev bike", "tehlîlkirina seyrûsefera DNS-ê dijwar bike" û bi vî rengî kontrolên pargîdanî dorpêç bike. ( ). Protokola DoH şîfrekirina TLS û hevoksaziya daxwaznameyê ku ji hêla standardên hevpar ên HTTPS û HTTP/2 ve hatî peyda kirin bikar tîne, daxwaz û bersivên DNS li ser daxwazên standard HTTP zêde dike.
Rîskên girêdayî DoH
Ger hûn nikaribin seyrûsefera HTTPS-ê ya birêkûpêk ji daxwazên DoH-ê cuda bikin, wê hingê serîlêdanên di nav rêxistina we de dikarin (û dê) mîhengên DNS-ya herêmî bi rê ve bibin û daxwaznameyên pêşkêşkerên sêyemîn ên ku bersivê didin daxwazên DoH-ê, ku her çavdêrîkirinê derbas dike, yanî şiyana ku seyrûsefera DNS-ê kontrol bikin. Bi îdeal, divê hûn DoH bi karanîna fonksiyonên şîfrekirina HTTPS-ê kontrol bikin.
И di guhertoya herî dawî ya gerokên xwe de, û her du pargîdan dixebitin ku ji bo hemî daxwazên DNS-ê bi xwerû DoH bikar bînin. li ser yekkirina DoH di pergalên xebitandina wan de. Nerazîbûn ev e ku ne tenê pargîdaniyên nermalavê yên navdar, lê di heman demê de êrîşker jî dest bi karanîna DoH-ê wekî navgînek dûrxistina tedbîrên kevneşopî yên pargîdanî yên firewa dikin. (Mînakî, gotarên jêrîn binihêrin: , и .) Di her rewşê de, hem seyrûsefera DoH ya baş û hem jî ya xerab dê neyête kifşê, rêxistinê ji karanîna xirab a DoH-ê wekî rêgezek ji bo kontrolkirina malware (C2) û dizîna daneyên hesas kor bihêle.
Piştrastkirina dîtin û kontrolkirina seyrûsefera DoH
Wekî çareseriya çêtirîn ji bo kontrola DoH, em pêşniyar dikin ku NGFW mîheng bikin da ku seyrûsefera HTTPS-ê veşêre û seyrûsefera DoH-ê asteng bike (navê serîlêdanê: dns-over-https).
Pêşîn, pê ewle bine ku NGFW ji bo deşîfrekirina HTTPS-ê, li gorî, hatî mîheng kirin .
Ya duyemîn, ji bo seyrûsefera serîlêdanê "dns-over-https" qaîdeyek biafirînin ku li jêr tê xuyang kirin:
Rêbaza NGFW ya Tora Palo Alto ji bo Astengkirina DNS-ser-HTTPS
Wekî alternatîfek demkî (heke rêxistina we bi tevahî deşîfrekirina HTTPS-ê bicîh neaniye), NGFW dikare were mîheng kirin da ku çalakiyek "înkarkirinê" li ser nasnama serîlêdana "dns-over-https" bicîh bîne, lê bandor dê bi astengkirina hin baş- pêşkêşkerên DoH-ê bi navê domaina xwe têne zanîn, ji ber vê yekê çawa bêyî şîfrekirina HTTPS, seyrûsefera DoH bi tevahî nayê kontrol kirin (binêre û li "dns-over-https" bigerin).
DNS li ser TLS (DoT)
DNS di hundurê TLS de
Digel ku protokola DoH meyla dike ku bi seyrûseferên din ên li ser heman portê re tevlihev bibe, DoT li şûna wê bikar tîne portek taybetî ya ku ji bo wê armancê tenê hatî veqetandin bikar tîne, tewra bi taybetî destûr nade ku heman port ji hêla seyrûsefera DNS-ya neşîfrekirî ya kevneşopî ve were bikar anîn ( ).
Protokola DoT TLS bikar tîne da ku şîfrekirinê peyda bike ku pirsên protokola standard DNS vedihewîne, digel trafîkê ku porta naskirî 853 bikar tîne ( ). Protokola DoT hate sêwirandin ku ji bo rêxistinan hêsantir bike ku seyrûsefera li portekê asteng bike, an seyrûseferê qebûl bike lê deşîfrekirina li ser wê portê çalak bike.
Rîskên girêdayî DoT
Google di muwekîlê xwe de DoT bicîh kiriye , bi mîhenga xwerû ku heke hebe bixweber DoT bikar bîne. Ger we xetere nirxand û amade ne ku hûn DoT di asta rêxistinî de bikar bînin, wê hingê hûn hewce ne ku rêvebirên torê bi eşkere destûr bidin seyrûsefera derve ya li port 853 di nav perimeterê xwe de ji bo vê protokola nû.
Piştrastkirina dîtin û kontrolkirina seyrûsefera DoT
Wekî pratîkek çêtirîn ji bo kontrolkirina DoT, em li ser bingeha hewcedariyên rêxistina we yek ji jor pêşniyar dikin:
-
NGFW mîheng bike da ku hemî seyrûsefera ji bo porta mebest 853 deşîfre bike. Bi şîfrekirina seyrûseferê, DoT dê wekî serîlêdana DNS-ê xuya bibe ku hûn dikarin her çalakiyek tê de bicîh bikin, wek çalakkirina abonetiyê ji bo kontrolkirina domên DGA an yek heyî û antî-spyware.
-
Alternatîfek ev e ku motora App-ID-ê bi tevahî seyrûsefera 'dns-over-tls' ya li ser porta 853-ê asteng bike. Ev bi gelemperî ji hêla xwerû ve tê asteng kirin, ne hewce ye ku çalakî (heya ku hûn bi taybetî destûr nedin serîlêdana 'dns-over-tls' an trafîka portê 853).
Source: www.habr.com