D'Risike vum Gebrauch vun DoH an DoT minimiséieren
DoH an DoT Schutz
Kontrolléiert Dir Ären DNS Traffic? Organisatiounen investéieren vill Zäit, Suen an Effort fir hir Netzwierker ze sécheren. Wéi och ëmmer, ee Gebitt dat dacks net genuch Opmierksamkeet kritt ass DNS.
E gudden Iwwerbléck iwwer d'Risiken déi DNS bréngt ass op der Infosecurity Konferenz.
31% vun de Ransomware Klassen, déi befrot goufen, hunn DNS fir Schlësselaustausch benotzt
31% vun de Ransomware Klassen, déi befrot goufen, hunn DNS fir Schlësselaustausch benotzt.
De Problem ass eescht. Geméiss dem Palo Alto Networks Unit 42 Fuerschungslabor, benotzt ongeféier 85% vu Malware DNS fir e Kommando- a Kontrollkanal z'etabléieren, sou datt Ugräifer einfach Malware an Ärem Netz injizéieren an och Daten klauen. Zënter senger Grënnung ass den DNS-Traffic gréisstendeels onverschlësselt a ka ganz einfach duerch NGFW Sécherheetsmechanismen analyséiert ginn.
Nei Protokoller fir DNS sinn entstanen fir d'Vertraulechkeet vun DNS Verbindungen ze erhéijen. Si ginn aktiv vun féierende Browser Ubidder an aner Software Ubidder ënnerstëtzt. Verschlësselte DNS Traffic wäert séier a Firmennetzwierker wuessen. Verschlësselte DNS Traffic deen net korrekt analyséiert a geléist gëtt duerch Tools stellt e Sécherheetsrisiko fir eng Firma. Zum Beispill, sou eng Bedrohung ass Kryptolocker déi DNS benotze fir Verschlësselungsschlësselen auszetauschen. Ugräifer fuerderen elo e Léisegeld vun e puer Milliounen Dollar fir den Zougang zu Ären Donnéeën ze restauréieren. Garmin, zum Beispill, huet $ 10 Milliounen bezuelt.
Wann se richteg konfiguréiert sinn, kënnen NGFWs d'Benotzung vun DNS-over-TLS (DoT) verleegnen oder schützen a kënne benotzt ginn fir d'Benotzung vun DNS-over-HTTPS (DoH) ze verleegnen, fir datt all DNS-Traffic op Ärem Netz analyséiert gëtt.
Wat ass verschlësselte DNS?
Wat ass DNS
Den Domain Name System (DNS) léist mënschlech liesbar Domain Nimm (zum Beispill Adress ) op IP Adressen (zum Beispill 34.107.151.202). Wann e Benotzer en Domain Numm an e Webbrowser agitt, schéckt de Browser eng DNS-Ufro un den DNS-Server, fir d'IP Adress, déi mat deem Domain Numm assoziéiert ass, ze froen. Als Äntwert gëtt den DNS-Server d'IP Adress zréck, déi dëse Browser benotzt.
DNS Ufroen an Äntwerte ginn iwwer d'Netzwierk am Kloertext geschéckt, onverschlësselt, sou datt et vulnérabel ass fir ze spionéieren oder d'Äntwert z'änneren an de Browser op béiswëlleg Serveren ëmgeleet. DNS Verschlësselung mécht et schwéier fir DNS Ufroe während der Iwwerdroung ze verfolgen oder z'änneren. Verschlësselung vun DNS Ufroen an Äntwerte schützt Iech vu Man-in-the-Middle Attacken wärend Dir déiselwecht Funktionalitéit ausféiert wéi den traditionelle Kloertext DNS (Domain Name System) Protokoll.
An de leschte Joren sinn zwee DNS Verschlësselungsprotokoller agefouert ginn:
-
DNS-over-HTTPS (DoH)
-
DNS-over-TLS (DoT)
Dës Protokoller hunn eng Saach gemeinsam: si verstoppen bewosst DNS-Ufroe vun all Interceptioun ... an och vun de Sécherheetsleit vun der Organisatioun. D'Protokoller benotzen haaptsächlech TLS (Transport Layer Security) fir eng verschlësselte Verbindung tëscht engem Client deen Ufroen mécht an engem Server deen DNS Ufroen iwwer e Port opléist deen normalerweis net fir DNS Traffic benotzt gëtt.
D'Vertraulechkeet vun DNS Ufroen ass e grousse Plus vun dëse Protokoller. Wéi och ëmmer, si stellen Probleemer fir Sécherheetsleit, déi den Netzverkéier musse iwwerwaachen a béiswëlleg Verbindungen erkennen a blockéieren. Well d'Protokoller an hirer Ëmsetzung ënnerscheeden, wäerten d'Analysemethoden tëscht DoH an DoT ënnerscheeden.
DNS iwwer HTTPS (DoH)
DNS bannent HTTPS
DoH benotzt de bekannte Port 443 fir HTTPS, fir deen den RFC speziell seet datt d'Intent ass "DoH Traffic mat aneren HTTPS Traffic op der selwechter Verbindung ze vermëschen", "et schwéier ze analyséieren DNS Traffic" an domat Firmenkontrollen ëmgoen ( ). Den DoH-Protokoll benotzt TLS-Verschlësselung an d'Ufro-Syntax, déi vun de gemeinsame HTTPS- an HTTP/2-Standarden zur Verfügung gestallt gëtt, addéiere DNS-Ufroen an Äntwerten uewen op Standard HTTP-Ufroen.
Risiken verbonne mat DoH
Wann Dir net reguläre HTTPS-Traffic vun DoH-Ufroen z'ënnerscheeden, da kënnen (a wäerten) Uwendungen an Ärer Organisatioun lokal DNS-Astellunge ëmgoen andeems Dir Ufroen op Drëtt-Partei-Server redirectéiert, déi op DoH-Ufroe reagéieren, déi all Iwwerwaachung ëmgoen, dat heescht, d'Fäegkeet zerstéiert kontrolléiert den DNS Traffic. Idealerweis sollt Dir DoH mat HTTPS Entschlësselungsfunktiounen kontrolléieren.
И an der leschter Versioun vun hire Browser, a béid Firme schaffen DoH als Standard fir all DNS Ufroen ze benotzen. iwwer d'Integratioun vun DoH an hire Betribssystemer. De Nodeel ass datt net nëmmen renomméiert Softwarefirmen, awer och Ugräifer ugefaang hunn DoH ze benotzen als Mëttel fir traditionell Firme Firewall Moossnamen ze ëmgoen. (Zum Beispill, iwwerpréift déi folgend Artikelen: , и .) An all Fall, souwuel gutt a béiswëlleg DoH Traffic wäert ondetektéiert ginn, loosst d'Organisatioun blann fir déi béiswëlleg Notzung vun DoH als Conduit fir Malware (C2) ze kontrolléieren an sensibel Donnéeën ze klauen.
Assuréieren Visibilitéit a Kontroll vum DoH Traffic
Als déi bescht Léisung fir DoH Kontroll, empfeelen mir NGFW ze konfiguréieren fir den HTTPS Traffic ze entschlësselen an den DoH Traffic ze blockéieren (Uwendungsnumm: dns-over-https).
Als éischt, gitt sécher datt NGFW konfiguréiert ass fir HTTPS ze entschlësselen, laut .
Zweetens, erstellt eng Regel fir Applikatiounsverkéier "dns-over-https" wéi hei ënnendrënner:
Palo Alto Networks NGFW Regel fir DNS-iwwer-HTTPS ze blockéieren
Als Zwëschenzäit Alternativ (wann Är Organisatioun net voll HTTPS-Entschlësselung implementéiert huet), kann NGFW konfiguréiert ginn fir eng "verleegnen" Aktioun op d'Dns-over-https Applikatioun ID ze gëllen, awer den Effekt wäert limitéiert sinn op d'Blockéierung vu bestëmmte Well- bekannt DoH Server duerch hiren Domain Numm, also wéi ouni HTTPS Entschlësselung, kann den DoH Traffic net komplett iwwerpréift ginn (kuckt a sichen no "dns-over-https").
DNS iwwer TLS (DoT)
DNS bannent TLS
Wärend den DoH Protokoll tendéiert mat anere Traffic um selwechten Hafen ze mëschen, ass DoT amplaz Standard fir e speziellen Hafen ze benotzen deen fir dësen eenzegen Zweck reservéiert ass, och speziell net erlaabt datt dee selwechten Hafen vum traditionellen onverschlësselten DNS Traffic benotzt gëtt ( ).
Den DoT Protokoll benotzt TLS fir Verschlësselung ze bidden déi Standard DNS Protokoll Ufroen encapsuléiert, mam Traffic mat dem bekannte Port 853 ( ). Den DoT Protokoll gouf entwéckelt fir Organisatiounen et méi einfach ze maachen Traffic op engem Hafen ze blockéieren, oder Traffic ze akzeptéieren awer d'Entschlësselung op deem Hafen z'aktivéieren.
Risiken verbonne mat DoT
Google huet DoT a sengem Client implementéiert , mat der Standardastellung fir automatesch DoT ze benotzen wann verfügbar. Wann Dir d'Risiken bewäert hutt a prett sidd fir DoT op organisatoreschem Niveau ze benotzen, da musst Dir Netzwierkadministrateuren explizit ausginn Traffic um Hafen 853 duerch hire Perimeter fir dësen neie Protokoll erlaben.
Assuréiert Visibilitéit a Kontroll vum DoT Traffic
Als bescht Praxis fir DoT Kontroll, empfeelen mir eng vun den uewe genannten, baséiert op den Ufuerderunge vun Ärer Organisatioun:
-
NGFW konfiguréieren fir all Traffic fir Destinatiounsport ze entschlësselen 853. Duerch Entschlësselung vum Traffic erschéngt DoT als DNS-Applikatioun op déi Dir all Handlung gëlle kënnt, wéi zum Beispill Abonnement aktivéieren DGA Domainen ze kontrolléieren oder eng bestehend an Anti-Spyware.
-
Eng Alternativ ass den App-ID-Motor komplett 'dns-over-tls' Traffic um Hafen 853 ze blockéieren. Dëst ass normalerweis als Standard blockéiert, keng Handlung erfuerderlech (ausser Dir speziell 'dns-over-tls' Applikatioun oder Port Traffic erlaabt 853).
Source: will.com