ProHoster > Π‘Π»ΠΎΠ³ > administratio > Minima pericula utendi DNS-super-TLS (DoT) et DNS-super-HTTPS (DoH)

Minima pericula utendi DNS-super-TLS (DoT) et DNS-super-HTTPS (DoH)

Minima pericula utendi DNS-super-TLS (DoT) et DNS-super-HTTPS (DoH)Minima pericula usus DoH et DoT

DoH et Dot praesidium

DNS negotiationis tuae control? Aliquam tempus placerat lacus, pretium sollicitudin ligula iaculis et. Una tamen regio quae saepe non satis attendit est DNS.

Bonus prospectus periculorum qui DNS adfert is Verisign praesentationis ad colloquium Infosecurity.

Minima pericula utendi DNS-super-TLS (DoT) et DNS-super-HTTPS (DoH)XXXI% redemptionis classes aspexit usus DNS pro key commutationem. Studium Inventiones

31% mercium genera perlustravit usus DNS pro clavis commutationis.

Quaestio gravis est. Secundum Palo Alto Networks Unitas 42 investigationis lab, circiter 85% de usuum malware DNS ad imperium et canalem moderandum instituendum, oppugnatores permittens facile malware in retia tua ac data furandi injicere. Cum eius inchoatio, DNS negotiatio late unencrypta est et facile per machinas securitatis NGFW resolvitur. 

Nova protocolla pro DNS ortae sunt quae in secreto DNS nexus augendae erant. Active fulciuntur ducendo venditores navigatri aliosque mercatores programmatis. DNS Encrypted negotiatio mox in retiacula corporata crescere incipiet. DNS encrypted negotiationis, quod non recte resolvitur et resolvitur per instrumenta, periculum securitatis ad societatem ponit. Exempli gratia, talis comminatio est cryptolockers qui DNS utuntur ad claves encryption commutandas. Oppugnatores nunc redemptionem plurium milionum dollariorum flagitant ut aditus ad notitias tuas restituas. Garmin, exempli gratia, $10 decies centena millia solvit.

Cum recte figuratur, NGFWs usum DNS-super-TLS (DoT) negare vel tueri potest et usum DNS-super-HTTPS (DoH) negando adhiberi potest, omnia DNS negotiatio in retia tua enucleanda permittens.

Quid est encryptus DNS?

Quid est DNS?

Nomen Domain System (DNS) nomina domain humana legibilia resolvit (exempli gratia, inscriptio www.paloaltonetworks.com ) ad IP inscriptiones (exempli gratia 34.107.151.202). Cum user nomen domain in navigatrum interretialem intrat, navigatrum interrogationem DNS mittit servo DNS, rogans pro IP electronica coniungitur cum nomine regio. Respondens DNS server remittit locum IP inscriptionis quae hoc navigatrum utetur.

DNS interrogationes et responsa mittuntur per retiaculum in textu plano, unencrypted, ut vulnerari possint explorandi vel mutandi responsionem et redirectionem navigandi ad malevolos servientes. DNS encryption difficilem reddit petitiones DNS in transmissione investiganda vel mutanda. DNS Encrypting petitiones et responsiones te ab Man-in-mediis oppugnationibus protegit dum eandem functionem quam traditionalem protocollum DNS (Domain Name System) exercens. 

Praeteritis his paucis annis duo DNS encryption protocolla introducta sunt;

  1. DNS-super-HTTPS (DoH)

  2. DNS-super-TLS (DoT)

Haec protocolla unum habent commune: DNS petitiones ab omni interceptione de industria occultant... et a custodibus ianitoribus ordinandis. Protocolla principaliter utuntur TLS (Securitatis Transport Layer) ad nexum encryptum inter clientem quaerendum facientem et servo solvendis quaestionibus DNS super portum adhibitis pro DNS negotiationis consuete non est adhibitum.

Secretum DNS queries magnum est plus horum protocollarum. Nihilominus quaestiones ponunt pro custodibus securitatis qui monitores retis debent et hospites malignos deprehendere et impedire. Quoniam protocolla differunt in exsecutione, methodi analysi inter DoH et DoT differunt.

Vesci super HTTPS (DoH)

Minima pericula utendi DNS-super-TLS (DoT) et DNS-super-HTTPS (DoH)Vesci intus HTTPS

DoH portu notissimo utitur 443 pro HTTPS, pro quo RFC nominatim asserit intentionem "DoH commercii miscere cum aliis HTTPS commercii eiusdem connexionis", "difficilem analysim DNS negotiationis" facere et sic corporatum imperium circumvenire. ( RFC 8484 DoH Sectio 8.1 ). Protocollum DoH encryption utitur TLS et syntaxi rogatu cautum a signis communibus HTTPS et HTTP/2, additis DNS petitionibus et responsionibus super petitionibus vexillum HTTP.

Pericula consociata cum DoH

Si regulares HTTPS negotiationes a DoH petitionibus distinguere non potes, applicationes intra ordinationem tuam (et voluntas) praeterire possunt locorum DNS occasus, redirecting petitiones ad tertiam partem servientibus petitionibus DoH respondentibus, quae omnem vigilantiam praetermittit, id est, facultatem destruit. DNS control negotiationis. Specimen, HTTPS decryption functiones uti debetis DoH moderari. 

И Google et Mozilla facultatem DoH impleverunt in postrema versione navigatorum suorum, et utraque societas DoH per defaltam pro omnibus petitionibus DNS uti laborant. Microsoft etiam developing consilia de integrando DoH in systemata operativa sua. In downside est quod non solum societates programmata honestae, sed etiam oppugnatores DoH uti coeperunt ut mensurae firewall corporati traditionalis transgrediendi. (Exempli gratia, sequentia capita recense; PsiXBot nunc utitur Google DoH , PsiXBot pergit evolve cum infrastructura updated DNS ΠΈ Posticam analysis Godlua .) In utroque casu, tam boni quam malitiosi DoH negotiatio inobservata, relinquens ordinationem caecam ad usum malignorum DoH ut aquaeductus ad imperium malware (C2) et notitia sensitiva furantur.

Ensuring turpis et imperium DoH negotiationis

Ut optima solutio ad DoH imperium, commendamus figurans NGFW ad minutum HTTPS commercium et impedimentum DoH negotiationis (applicatio nominis: dns-super-https). 

Primum, fac NGFW configuratum minutum HTTPS, secundum to dux est optimus decryption techniques.

Secundo, regulam adhibendi negotiandi "dns-super-http" creandi, ut infra ostendetur:

Minima pericula utendi DNS-super-TLS (DoT) et DNS-super-HTTPS (DoH)Palo Alto Networks NGFW dominare ad DNS angustos super-HTTPS

Velut interim aliud (si ordinatio tua HTTPS decryptionem plene non implevit), NGFW configurari potest ut actionem "dns-super-http" applicandi ID "negare", sed effectus finietur ad certum bene claudendum. notum DoH servientibus per nomen dominii sui, ut quomodo sine decryptione HTTPS, negotiatio DoH plene inspici non possit (cf.  Applipedia ex Palo Alto Networks   et quaerere "dns-super https").

Vesci super TLS (DoT)

Minima pericula utendi DNS-super-TLS (DoT) et DNS-super-HTTPS (DoH)Vesci intus TLS

Dum DoH protocollum miscere tendit cum aliis mercationibus in eodem portu, DoT pro defaltis utendo speciali portu ad hoc solum destinato reservato, etiam nominatim eundem portum dissuadens ab usu tralaticio DNS unencrypto tradito. RFC 7858, Β§ 3.1 ).

Protocollum DOT TLS utitur ad encryptionem quae encapsulat vexillum DNS protocollum quaestionis, cum commercii notis portubus 853 utens. RFC 7858 section 6 ). Protocollum DoT destinatum erat ut facilius Instituta mercaturam in portum clauderent, vel negotiationem acciperent sed in illo portu decryptionem darent.

Consociata cum DoT metus

Google implevit DoT in cliente suo Android IX Pie et postea , cum occasu defectus ad automatice utendi DoT si available. Si pericula aestimavistis et in gradu normali DoT uti parati sunt, tunc administratores retis expresse habere debes negotiatio extra portum 853 per suum ambitum ad novum hoc protocollum.

Prospicere visio et imperium DOT negotiationis

Ut optimam praxim ad DoT imperium, quemlibet horum commendamus, nixum postulatis tuis organizationis:

  • Configurare NGFW ad minuendum omnia negotiatio ad portum 853. Per decrypting mercaturam, DNS apparebit applicatione DNS cui quamlibet actionem applicare potes, ut subscriptionem efficiat. Palo Alto Networks DNS Securitatis ad imperium DGA domains vel ad existentium unum DNS Sinkholing et anti- spyware.

  • Vel debet habere machinam App-ID omnino clausuram 'dns-super-tls' negotiationis in portu 853. Hoc plerumque per defaltam impeditur, nulla actio requiritur (nisi nominatim permittitis 'dns-super-tls' applicationem vel portum. negotiatio 853).

Source: www.habr.com