DoH жана DoT колдонуу тобокелдиктерин азайтуу
DoH жана DoT коргоо
DNS трафигиңизди көзөмөлдөйсүзбү? Уюмдар өз тармактарын коргоого көп убакыт, акча жана күч жумшашат. Бирок, көп учурда жетиштүү көңүл бурулбаган бир аймак - бул DNS.
DNS алып келген тобокелдиктерди жакшы карап чыгуу Infosecurity конференциясында.
Сурамжыланган ransomware класстарынын 31% ачкыч алмашуу үчүн DNS колдонушкан.Изилдөөнүн жыйынтыктары
Сурамжыланган ransomware класстарынын 31% ачкыч алмашуу үчүн DNS колдонушкан.
Маселе олуттуу. Palo Alto Networks Unit 42 изилдөө лабораториясынын маалыматы боюнча, кесепеттүү программалардын болжол менен 85% DNSти буйрук жана башкаруу каналын түзүү үчүн колдонот, бул чабуулчуларга сиздин тармагыңызга зыяндуу программаны оңой киргизүүгө, ошондой эле маалыматтарды уурдоого мүмкүндүк берет. Түзүлгөндөн бери, DNS трафиги негизинен шифрленбеген жана NGFW коопсуздук механизмдери менен оңой анализделет.
DNS байланыштарынын купуялуулугун жогорулатууга багытталган жаңы DNS протоколдору пайда болду. Аларды алдыңкы браузер сатуучулар жана башка программалык камсыздоо сатуучулар активдүү колдошот. Шифрленген DNS трафик жакында корпоративдик тармактарда өсө баштайт. Шифрленген DNS трафики туура анализденбеген жана шаймандар менен чечилбегендиктен, компаниянын коопсуздугуна коркунуч келтирет. Мисалы, мындай коркунуч шифрлөө ачкычтарын алмашуу үчүн DNS колдонгон криптолоккерлер болуп саналат. Чабуулчулар азыр маалыматтарыңызга кирүү мүмкүнчүлүгүн калыбына келтирүү үчүн бир нече миллион доллар төлөп берүүнү талап кылышууда. Мисалы, Garmin 10 миллион доллар төлөгөн.
Туура конфигурацияланганда, NGFWs DNS-over-TLS (DoT) колдонуудан баш тарта алат же коргой алат жана DNS-over-HTTPS (DoH) колдонулушун четке кагуу үчүн колдонулушу мүмкүн, бул сиздин тармагыңыздагы бардык DNS трафигин анализдөөгө мүмкүндүк берет.
Шифрленген DNS деген эмне?
DNS деген эмне
Домендик аталыштар системасы (DNS) адам окуй турган домендик аталыштарды чечет (мисалы, дарек ) IP даректерине (мисалы, 34.107.151.202). Колдонуучу веб-браузерге домен атын киргизгенде, браузер DNS серверине ошол домендик ат менен байланышкан IP даректи сурап, DNS суроосун жөнөтөт. Жооп катары, DNS сервери бул браузер колдоно турган IP дарегин кайтарат.
DNS сурамдары жана жооптору тармак боюнча жөнөкөй текст түрүндө, шифрленбеген түрдө жөнөтүлөт, бул аны шпиондук кылууга же жоопту өзгөртүүгө жана браузерди зыяндуу серверлерге багыттоого алсыз кылат. DNS шифрлөө DNS сурамдарына байкоо жүргүзүүнү же өткөрүү учурунда өзгөртүүнү кыйындатат. DNS суроо-талаптарын жана жоопторун шифрлөө салттуу ачык текст DNS (Домендик аталыштар системасы) протоколу сыяктуу функцияларды аткаруу менен сизди Ортодогу Адамдын чабуулдарынан коргойт.
Акыркы бир нече жылдын ичинде эки DNS шифрлөө протоколдору киргизилген:
-
DNS-over-HTTPS (DoH)
-
DNS-over-TLS (DoT)
Бул протоколдордун жалпы бир нерсеси бар: алар DNS суроо-талаптарын кандайдыр бир бөгөттөн ... жана уюмдун коопсуздук кызматкерлеринен атайылап жашырышат. Протоколдор негизинен TLSти (Transport Layer Security) суроо-талаптарды жасап жаткан кардар менен адатта DNS трафиги үчүн колдонулбаган порт аркылуу DNS сурамдарын чечүүчү сервердин ортосунда шифрленген байланышты орнотуу үчүн колдонушат.
DNS сурамдарынын купуялуулугу бул протоколдордун чоң плюс болуп саналат. Бирок, алар тармак трафигин көзөмөлдөп, зыяндуу байланыштарды таап, бөгөттөп турган коопсуздук кызматкерлери үчүн көйгөйлөрдү жаратат. Протоколдор аларды ишке ашырууда айырмалангандыктан, талдоо ыкмалары DoH жана DoT ортосунда айырмаланат.
HTTPS аркылуу DNS (DoH)
HTTPS ичиндеги DNS
DoH HTTPS үчүн белгилүү 443 портун колдонот, ал үчүн RFC максаты "бир эле туташуудагы башка HTTPS трафиги менен DoH трафигин аралаштыруу", "DNS трафикти талдоону кыйындатуу" жана ошентип корпоративдик башкарууну айланып өтүү экенин айтат. ( ). DoH протоколу TLS шифрлөөсүн жана жалпы HTTPS жана HTTP/2 стандарттары тарабынан берилген суроо синтаксисин колдонот, стандарттуу HTTP сурамдарынын үстүнө DNS сурамдарын жана жоопторун кошот.
DoH менен байланышкан тобокелдиктер
Эгер сиз кадимки HTTPS трафикти DoH сурамдарынан айырмалай албасаңыз, анда сиздин уюмуңуздагы колдонмолор жергиликтүү DNS жөндөөлөрүн айланып өтүшү мүмкүн (жана) DoH суроо-талаптарына жооп берген үчүнчү тараптын серверлерине суроо-талаптарды кайра багыттап, бул ар кандай мониторингди кыйгап өтүп, б.а. DNS трафикти көзөмөлдөө. Идеалында, сиз HTTPS шифрлөө функцияларын колдонуп DoH көзөмөлдөшүңүз керек.
И браузерлеринин акыркы версиясында жана эки компания тең бардык DNS сурамдары үчүн демейки боюнча DoH колдонуу үчүн иштеп жатышат. алардын операциялык системаларына DoH интеграциялоо боюнча. Жаман жагы - абройлуу программалык камсыздоо компаниялары гана эмес, чабуулчулар да DoHди салттуу корпоративдик брандмауэр чараларын кыйгап өтүүнүн каражаты катары колдоно башташты. (Мисалы, төмөнкү макалаларды карап чыгуу: , и .) Кандай болгон күндө да, жакшы да, зыяндуу да DoH трафиги байкалбай калат жана уюм зыяндуу программаны (C2) башкаруу жана купуя маалыматтарды уурдоо үчүн канал катары DoHди зыяндуу колдонууга сокур болуп калат.
DoH кыймылынын көрүнүшүн жана контролун камсыз кылуу
DoH башкаруусунун эң мыкты чечими катары, HTTPS трафигин чечмелөө жана DoH трафикти бөгөттөө үчүн NGFW конфигурациялоону сунуштайбыз (колдонмо аты: dns-over-https).
Биринчиден, ылайык, NGFW HTTPS шифрин чечмелөө үчүн конфигурацияланганын текшериңиз .
Экинчиден, төмөндө көрсөтүлгөндөй "dns-over-https" тиркеме трафигинин эрежесин түзүңүз:
Palo Alto Networks NGFW эрежеси DNS-over-HTTPS бөгөттөө
Убактылуу альтернатива катары (эгерде сиздин уюмуңуз HTTPS шифрлөөсүн толугу менен ишке ашыра элек болсо), NGFW "dns-over-https" колдонмо идентификаторуна "баш тартуу" аракетин колдонуу үчүн конфигурацияланышы мүмкүн, бирок эффект белгилүү бир кудуктарды бөгөттөө менен чектелет. Домендик аталышы боюнча белгилүү DoH серверлери, ошондуктан HTTPS шифрлөөсүз кантип DoH трафигин толук текшерүүгө болбойт (караңыз жана "dns-over-https" издөө).
TLS аркылуу DNS (DoT)
TLS ичиндеги DNS
DoH протоколу ошол эле порттогу башка трафик менен аралашууга умтулса, DoT анын ордуна ошол эле максатта сакталган атайын портту колдонот, атүгүл ошол эле портту салттуу шифрленбеген DNS трафиги тарабынан колдонууга атайын уруксат бербейт ( ).
DoT протоколу белгилүү 853 портун колдонгон трафик менен стандарттык DNS протоколунун сурамдарын камтыган шифрлөө үчүн TLS колдонот. ). DoT протоколу уюмдарга порттогу трафикти бөгөттөөнү же трафикти кабыл алууну жеңилдетүү үчүн иштелип чыккан, бирок ал портто шифрди чечүүнү иштетет.
DoT менен байланышкан тобокелдиктер
Google өзүнүн кардарында DoT киргизди , бар болсо, автоматтык түрдө DoT колдонуу үчүн демейки жөндөө менен. Эгер сиз тобокелдиктерди баалаган болсоңуз жана DoTди уюштуруу деңгээлинде колдонууга даяр болсоңуз, анда тармак администраторлору бул жаңы протоколдун периметри аркылуу 853-портто чыгуучу трафикке ачык уруксат бериши керек.
DoT трафиктин көрүнүшүн жана контролун камсыз кылуу
DoT көзөмөлүнүн эң мыкты тажрыйбасы катары, уюмуңуздун талаптарынын негизинде жогоруда айтылгандардын бирин сунуштайбыз:
-
NGFWти көздөгөн порт 853 үчүн бардык трафиктин шифрин чечмелөө үчүн конфигурациялаңыз. Трафиктин шифрин чечмелөө менен, DoT жазылууну иштетүү сыяктуу каалаган аракеттерди колдоно ала турган DNS колдонмосу катары пайда болот. DGA домендерин же учурдагы домендерди башкаруу жана антишпиондук программалар.
-
Альтернатива катары App-ID кыймылдаткычы 853-портто "dns-over-tls" трафигин толугу менен бөгөттөшү керек. Бул адатта демейки боюнча бөгөттөлөт, эч кандай аракет талап кылынбайт (эгер сиз "dns-over-tls" тиркемесин же портуна атайын уруксат бербесеңиз. жол кыймылы 853).
Source: www.habr.com