🥇ຫຼຸດຜ່ອນຄວາມສ່ຽງຂອງການໃຊ້ DNS-over-TLS (DoT) ແລະ DNS-over-HTTPS (DoH)

ການຫຼຸດຜ່ອນຄວາມສ່ຽງຂອງການນໍາໃຊ້ DoH ແລະ DoT

ການປົກປ້ອງ DoH ແລະ DoT

ທ່ານຄວບຄຸມການຈະລາຈອນ DNS ຂອງທ່ານບໍ? ອົງການຈັດຕັ້ງລົງທຶນຫຼາຍທີ່ໃຊ້ເວລາ, ເງິນ, ແລະຄວາມພະຍາຍາມໃນການຮັບປະກັນເຄືອຂ່າຍຂອງເຂົາເຈົ້າ. ຢ່າງໃດກໍຕາມ, ພື້ນທີ່ຫນຶ່ງທີ່ມັກຈະບໍ່ໄດ້ຮັບຄວາມສົນໃຈພຽງພໍແມ່ນ DNS.

ພາບລວມທີ່ດີຂອງຄວາມສ່ຽງທີ່ DNS ເອົາມາແມ່ນ ການນໍາສະເຫນີ Verisign ໃນກອງປະຊຸມຄວາມປອດໄພ.

31% ຂອງຫ້ອງຮຽນ ransomware ທີ່ສໍາຫຼວດໃຊ້ DNS ສໍາລັບການແລກປ່ຽນທີ່ສໍາຄັນ

31% ຂອງຫ້ອງຮຽນ ransomware ທີ່ສໍາຫຼວດໃຊ້ DNS ສໍາລັບການແລກປ່ຽນທີ່ສໍາຄັນ.

ບັນຫາແມ່ນຮ້າຍແຮງ. ອີງຕາມຫ້ອງທົດລອງການຄົ້ນຄວ້າ Palo Alto Networks Unit 42, ປະມານ 85% ຂອງ malware ໃຊ້ DNS ເພື່ອສ້າງຊ່ອງທາງຄໍາສັ່ງແລະການຄວບຄຸມ, ອະນຸຍາດໃຫ້ຜູ້ໂຈມຕີສາມາດໃສ່ malware ເຂົ້າໄປໃນເຄືອຂ່າຍຂອງທ່ານໄດ້ຢ່າງງ່າຍດາຍເຊັ່ນດຽວກັນກັບລັກຂໍ້ມູນ. ນັບຕັ້ງແຕ່ການເລີ່ມຕົ້ນຂອງມັນ, ການຈາລະຈອນ DNS ໄດ້ຖືກບໍ່ໄດ້ເຂົ້າລະຫັດສ່ວນໃຫຍ່ແລະສາມາດວິເຄາະໄດ້ງ່າຍໂດຍກົນໄກຄວາມປອດໄພ NGFW.

ໂປໂຕຄອນໃຫມ່ສໍາລັບ DNS ໄດ້ເກີດຂື້ນເພື່ອແນໃສ່ເພີ່ມຄວາມລັບຂອງການເຊື່ອມຕໍ່ DNS. ພວກເຂົາເຈົ້າໄດ້ຮັບການສະຫນັບສະຫນູນຢ່າງຈິງຈັງໂດຍຜູ້ຂາຍຕົວທ່ອງເວັບຊັ້ນນໍາແລະຜູ້ຂາຍຊອບແວອື່ນໆ. ການເຂົ້າລະຫັດ DNS ທີ່ເຂົ້າລະຫັດຈະເລີ່ມຂະຫຍາຍຕົວໃນເຄືອຂ່າຍຂອງບໍລິສັດໃນໄວໆນີ້. ການເຂົ້າລະຫັດ DNS ທີ່ບໍ່ໄດ້ຖືກວິເຄາະແລະແກ້ໄຂຢ່າງຖືກຕ້ອງໂດຍເຄື່ອງມືເຮັດໃຫ້ເກີດຄວາມສ່ຽງດ້ານຄວາມປອດໄພຕໍ່ບໍລິສັດ. ຕົວຢ່າງ, ໄພຂົ່ມຂູ່ດັ່ງກ່າວແມ່ນ cryptolockers ທີ່ໃຊ້ DNS ເພື່ອແລກປ່ຽນລະຫັດການເຂົ້າລະຫັດ. ໃນປັດຈຸບັນຜູ້ໂຈມຕີກໍາລັງຮຽກຮ້ອງໃຫ້ມີຄ່າໄຖ່ຫຼາຍລ້ານໂດລາເພື່ອຟື້ນຟູການເຂົ້າເຖິງຂໍ້ມູນຂອງທ່ານ. ສໍາລັບຕົວຢ່າງ, Garmin ຈ່າຍ 10 ລ້ານໂດລາ.

ເມື່ອຕັ້ງຄ່າຢ່າງຖືກຕ້ອງ, NGFWs ສາມາດປະຕິເສດຫຼືປົກປ້ອງການນໍາໃຊ້ DNS-over-TLS (DoT) ແລະສາມາດນໍາໃຊ້ເພື່ອປະຕິເສດການນໍາໃຊ້ DNS-over-HTTPS (DoH), ອະນຸຍາດໃຫ້ການຈະລາຈອນ DNS ທັງຫມົດໃນເຄືອຂ່າຍຂອງທ່ານຖືກວິເຄາະ.

DNS ທີ່ຖືກເຂົ້າລະຫັດແມ່ນຫຍັງ?

DNS ແມ່ນຫຍັງ

ລະບົບຊື່ໂດເມນ (DNS) ແກ້ໄຂຊື່ໂດເມນທີ່ມະນຸດສາມາດອ່ານໄດ້ (ຕົວຢ່າງ, ທີ່ຢູ່ www.paloaltonetworks.com ) ໄປຫາທີ່ຢູ່ IP (ຕົວຢ່າງ: 34.107.151.202). ເມື່ອຜູ້ໃຊ້ໃສ່ຊື່ໂດເມນເຂົ້າໄປໃນຕົວທ່ອງເວັບ, ຕົວທ່ອງເວັບຈະສົ່ງຄໍາຖາມ DNS ໄປຫາເຄື່ອງແມ່ຂ່າຍ DNS, ຮ້ອງຂໍໃຫ້ມີທີ່ຢູ່ IP ທີ່ກ່ຽວຂ້ອງກັບຊື່ໂດເມນນັ້ນ. ໃນການຕອບສະຫນອງ, ເຄື່ອງແມ່ຂ່າຍ DNS ສົ່ງຄືນທີ່ຢູ່ IP ທີ່ຕົວທ່ອງເວັບນີ້ຈະໃຊ້.

ການສອບຖາມແລະການຕອບ DNS ຖືກສົ່ງໄປທົ່ວເຄືອຂ່າຍໃນຂໍ້ຄວາມທໍາມະດາ, ບໍ່ໄດ້ເຂົ້າລະຫັດ, ເຮັດໃຫ້ມັນມີຄວາມສ່ຽງຕໍ່ການ spying ຫຼືການປ່ຽນແປງການຕອບສະຫນອງແລະການປ່ຽນເສັ້ນທາງຂອງຕົວທ່ອງເວັບໄປຫາເຄື່ອງແມ່ຂ່າຍທີ່ເປັນອັນຕະລາຍ. ການເຂົ້າລະຫັດ DNS ເຮັດໃຫ້ມັນຍາກສໍາລັບການຮ້ອງຂໍ DNS ທີ່ຈະຕິດຕາມຫຼືປ່ຽນແປງໃນລະຫວ່າງການສົ່ງ. ການເຂົ້າລະຫັດການຮ້ອງຂໍແລະການຕອບສະຫນອງ DNS ປົກປ້ອງທ່ານຈາກການໂຈມຕີແບບ Man-in-the-Middle ໃນຂະນະທີ່ປະຕິບັດຫນ້າທີ່ດຽວກັນກັບໂປໂຕຄອນ DNS plaintext (Domain Name System) ແບບດັ້ງເດີມ.

ໃນຊຸມປີມໍ່ໆມານີ້, ສອງໂປໂຕຄອນການເຂົ້າລະຫັດ DNS ໄດ້ຖືກນໍາສະເຫນີ:

DNS-over-HTTPS (DoH)
DNS-over-TLS (DoT)

ໂປໂຕຄອນເຫຼົ່ານີ້ມີສິ່ງຫນຶ່ງທີ່ພົບເລື້ອຍ: ພວກເຂົາເຈົ້າໂດຍເຈດຕະນາເຊື່ອງການຮ້ອງຂໍ DNS ຈາກການຂັດຂວາງໃດໆ ... ແລະຈາກຜູ້ຮັກສາຄວາມປອດໄພຂອງອົງການເຊັ່ນກັນ. ໂປຣໂຕຄໍຕົ້ນຕໍແມ່ນໃຊ້ TLS (ຄວາມປອດໄພຊັ້ນການຂົນສົ່ງ) ເພື່ອສ້າງການເຊື່ອມຕໍ່ເຂົ້າລະຫັດລະຫວ່າງລູກຄ້າທີ່ເຮັດການສອບຖາມ ແລະເຊີບເວີແກ້ໄຂບັນຫາ DNS queries ຜ່ານພອດທີ່ບໍ່ຖືກນໍາໃຊ້ເປັນປົກກະຕິສໍາລັບການຈະລາຈອນ DNS.

ຄວາມລັບຂອງການສອບຖາມ DNS ແມ່ນບວກໃຫຍ່ຂອງໂປໂຕຄອນເຫຼົ່ານີ້. ຢ່າງໃດກໍຕາມ, ພວກເຂົາເຈົ້າສ້າງບັນຫາສໍາລັບຜູ້ຮັກສາຄວາມປອດໄພທີ່ຕ້ອງຕິດຕາມກວດກາການຈະລາຈອນເຄືອຂ່າຍແລະກວດພົບແລະສະກັດການເຊື່ອມຕໍ່ທີ່ເປັນອັນຕະລາຍ. ເນື່ອງຈາກວ່າໂປໂຕຄອນແຕກຕ່າງກັນໃນການປະຕິບັດຂອງພວກເຂົາ, ວິທີການວິເຄາະຈະແຕກຕ່າງກັນລະຫວ່າງ DoH ແລະ DoT.

DNS ຜ່ານ HTTPS (DoH)

DNS ພາຍໃນ HTTPS

DoH ໃຊ້ພອດ 443 ທີ່ມີຊື່ສຽງສໍາລັບ HTTPS, ເຊິ່ງ RFC ໂດຍສະເພາະລະບຸວ່າຄວາມຕັ້ງໃຈແມ່ນເພື່ອ "ປະສົມການຈາລະຈອນ DoH ກັບການຈະລາຈອນ HTTPS ອື່ນໆໃນການເຊື່ອມຕໍ່ດຽວກັນ", "ເຮັດໃຫ້ມັນຍາກທີ່ຈະວິເຄາະການຈະລາຈອນ DNS" ແລະດັ່ງນັ້ນຈຶ່ງຫລີກລ້ຽງການຄວບຄຸມຂອງບໍລິສັດ. ( RFC 8484 DoH ພາກທີ 8.1 ). ໂປໂຕຄອນ DoH ໃຊ້ການເຂົ້າລະຫັດ TLS ແລະ syntax ການຮ້ອງຂໍທີ່ສະຫນອງໂດຍມາດຕະຖານ HTTPS ແລະ HTTP/2 ທົ່ວໄປ, ເພີ່ມຄໍາຮ້ອງຂໍ DNS ແລະການຕອບສະຫນອງຢູ່ເທິງສຸດຂອງຄໍາຮ້ອງຂໍ HTTP ມາດຕະຖານ.

ຄວາມສ່ຽງທີ່ກ່ຽວຂ້ອງກັບ DoH

ຖ້າທ່ານບໍ່ສາມາດແຍກແຍະການຈາລະຈອນ HTTPS ປົກກະຕິຈາກການຮ້ອງຂໍ DoH, ຫຼັງຈາກນັ້ນແອັບພລິເຄຊັນຕ່າງໆພາຍໃນອົງການຂອງທ່ານສາມາດ (ແລະຈະ) ຂ້າມການຕັ້ງຄ່າ DNS ທ້ອງຖິ່ນໂດຍການປ່ຽນເສັ້ນທາງໄປຫາເຄື່ອງແມ່ຂ່າຍຂອງພາກສ່ວນທີສາມທີ່ຕອບສະຫນອງຕໍ່ຄໍາຮ້ອງຂໍ DoH, ເຊິ່ງຂ້າມການຕິດຕາມໃດໆ, ນັ້ນແມ່ນ, ທໍາລາຍຄວາມສາມາດໃນການ ຄວບຄຸມການຈະລາຈອນ DNS. ໂດຍວິທີທາງການ, ທ່ານຄວນຄວບຄຸມ DoH ໂດຍໃຊ້ຫນ້າທີ່ຖອດລະຫັດ HTTPS.

И Google ແລະ Mozilla ໄດ້ປະຕິບັດຄວາມສາມາດຂອງ DoH ໃນເວີຊັນຫຼ້າສຸດຂອງຕົວທ່ອງເວັບຂອງພວກເຂົາ, ແລະບໍລິສັດທັງສອງກໍາລັງເຮັດວຽກເພື່ອໃຊ້ DoH ໂດຍຄ່າເລີ່ມຕົ້ນສໍາລັບການຮ້ອງຂໍ DNS ທັງຫມົດ. Microsoft ຍັງກໍາລັງພັດທະນາແຜນການ ກ່ຽວກັບການລວມ DoH ເຂົ້າໃນລະບົບປະຕິບັດການຂອງພວກເຂົາ. ຂໍ້ເສຍແມ່ນວ່າບໍ່ພຽງແຕ່ບໍລິສັດຊໍແວທີ່ມີຊື່ສຽງເທົ່ານັ້ນ, ແຕ່ຍັງຜູ້ໂຈມຕີໄດ້ເລີ່ມໃຊ້ DoH ເປັນວິທີການຂ້າມຜ່ານມາດຕະການໄຟວໍຂອງບໍລິສັດແບບດັ້ງເດີມ. (ຕົວຢ່າງ, ທົບທວນບົດຄວາມຕໍ່ໄປນີ້: ຕອນນີ້ PsiXBot ໃຊ້ Google DoH , PsiXBot ສືບຕໍ່ພັດທະນາດ້ວຍໂຄງສ້າງພື້ນຖານ DNS ທີ່ຖືກປັບປຸງ и ການວິເຄາະທາງຫລັງຂອງ Godlua .) ໃນກໍລະນີໃດກໍ່ຕາມ, ທັງການຈາລະຈອນ DoH ທີ່ດີ ແລະເປັນອັນຕະລາຍຈະບໍ່ຖືກກວດພົບ, ເຮັດໃຫ້ອົງກອນຕາບອດຕໍ່ກັບການໃຊ້ DoH ທີ່ເປັນອັນຕະລາຍເປັນທໍ່ເພື່ອຄວບຄຸມ malware (C2) ແລະລັກຂໍ້ມູນທີ່ລະອຽດອ່ອນ.

ຮັບປະກັນການເບິ່ງເຫັນແລະການຄວບຄຸມການຈາລະຈອນ DoH

ເປັນການແກ້ໄຂທີ່ດີທີ່ສຸດສໍາລັບການຄວບຄຸມ DoH, ພວກເຮົາແນະນໍາໃຫ້ຕັ້ງຄ່າ NGFW ເພື່ອຖອດລະຫັດການເຂົ້າຊົມ HTTPS ແລະຕັນການຈາລະຈອນ DoH (ຊື່ແອັບພລິເຄຊັນ: dns-over-https).

ທໍາອິດ, ໃຫ້ແນ່ໃຈວ່າ NGFW ຖືກຕັ້ງຄ່າເພື່ອຖອດລະຫັດ HTTPS, ອີງຕາມ ຄູ່ມືກ່ຽວກັບເຕັກນິກການຖອດລະຫັດທີ່ດີທີ່ສຸດ.

ອັນທີສອງ, ສ້າງກົດລະບຽບການຈາລະຈອນຂອງແອັບພລິເຄຊັນ "dns-over-https" ດັ່ງທີ່ສະແດງຂ້າງລຸ່ມນີ້:

Palo Alto Networks ກົດລະບຽບ NGFW ເພື່ອສະກັດ DNS-over-HTTPS

ເປັນທາງເລືອກຊົ່ວຄາວ (ຖ້າອົງການຂອງເຈົ້າບໍ່ໄດ້ປະຕິບັດການຖອດລະຫັດ HTTPS ຢ່າງສົມບູນ), NGFW ສາມາດຖືກຕັ້ງຄ່າເພື່ອນໍາໃຊ້ການປະຕິບັດ "ປະຕິເສດ" ກັບ ID ແອັບພລິເຄຊັນ "dns-over-https", ແຕ່ຜົນກະທົບຈະຖືກຈໍາກັດຕໍ່ການຂັດຂວາງບາງອັນ. ເຊີບເວີ DoH ຮູ້ຈັກໂດຍຊື່ໂດເມນຂອງພວກເຂົາ, ດັ່ງນັ້ນວິທີການທີ່ບໍ່ມີການຖອດລະຫັດ HTTPS, ການຈະລາຈອນ DoH ບໍ່ສາມາດຖືກກວດສອບຢ່າງເຕັມສ່ວນ (ເບິ່ງ. Applipedia ຈາກ Palo Alto Networks ແລະຄົ້ນຫາ "dns-over-https").

DNS ຜ່ານ TLS (DoT)

DNS ພາຍໃນ TLS

ໃນຂະນະທີ່ໂປໂຕຄອນ DoH ມີແນວໂນ້ມທີ່ຈະຜະສົມຜະສານກັບການຈະລາຈອນອື່ນໆໃນພອດດຽວກັນ, DoT ແທນທີ່ຈະໃຊ້ພອດພິເສດທີ່ສະຫງວນໄວ້ສໍາລັບຈຸດປະສົງດຽວເທົ່ານັ້ນ, ເຖິງແມ່ນວ່າໂດຍສະເພາະການບໍ່ອະນຸຍາດໃຫ້ພອດດຽວກັນຖືກນໍາໃຊ້ໂດຍການຈະລາຈອນ DNS ທີ່ບໍ່ເຂົ້າລະຫັດແບບດັ້ງເດີມ ( RFC 7858, ພາກທີ 3.1 ).

ໂປໂຕຄອນ DoT ໃຊ້ TLS ເພື່ອສະຫນອງການເຂົ້າລະຫັດທີ່ encapsulates ມາດຕະຖານ DNS protocol queries, ມີການຈະລາຈອນໂດຍໃຊ້ພອດ 853 ທີ່ມີຊື່ສຽງ ( RFC 7858 ພາກທີ 6 ). ໂປໂຕຄອນ DoT ຖືກອອກແບບມາເພື່ອເຮັດໃຫ້ອົງກອນສາມາດສະກັດກັ້ນການຈະລາຈອນໃນຜອດໄດ້ງ່າຍຂຶ້ນ, ຫຼືຍອມຮັບການຈະລາຈອນແຕ່ເປີດໃຊ້ການຖອດລະຫັດໃນພອດນັ້ນ.

ຄວາມສ່ຽງທີ່ກ່ຽວຂ້ອງກັບ DoT

Google ໄດ້ປະຕິບັດ DoT ໃນລູກຄ້າຂອງຕົນ Android 9 Pie ແລະຕໍ່ມາ , ດ້ວຍການຕັ້ງຄ່າເລີ່ມຕົ້ນທີ່ຈະໃຊ້ DoT ໂດຍອັດຕະໂນມັດຖ້າມີ. ຖ້າທ່ານໄດ້ປະເມີນຄວາມສ່ຽງແລະພ້ອມທີ່ຈະໃຊ້ DoT ໃນລະດັບອົງການຈັດຕັ້ງ, ຫຼັງຈາກນັ້ນທ່ານຈໍາເປັນຕ້ອງໃຫ້ຜູ້ບໍລິຫານເຄືອຂ່າຍອະນຸຍາດໃຫ້ການຈະລາຈອນຂາອອກໃນທ່າເຮືອ 853 ຜ່ານຂອບເຂດຂອງພວກເຂົາສໍາລັບໂປໂຕຄອນໃຫມ່ນີ້.

ຮັບປະກັນການເບິ່ງເຫັນແລະການຄວບຄຸມການຈາລະຈອນ DoT

ໃນຖານະເປັນການປະຕິບັດທີ່ດີທີ່ສຸດສໍາລັບການຄວບຄຸມ DoT, ພວກເຮົາແນະນໍາໃດໆຂ້າງເທິງ, ອີງຕາມຄວາມຕ້ອງການຂອງອົງການຂອງທ່ານ:

ຕັ້ງຄ່າ NGFW ເພື່ອຖອດລະຫັດທຣາບຟິກທັງໝົດສຳລັບພອດປາຍທາງ 853. ໂດຍການຖອດລະຫັດການຈາລະຈອນ, DoT ຈະປາກົດເປັນແອັບພລິເຄຊັນ DNS ທີ່ທ່ານສາມາດນຳໃຊ້ໄດ້ເຊັ່ນ: ເປີດການສະໝັກສະມາຊິກ. Palo Alto Networks DNS Security ເພື່ອຄວບຄຸມໂດເມນ DGA ຫຼືອັນທີ່ມີຢູ່ແລ້ວ DNS Sinkholing ແລະຕ້ານ spyware.
ທາງເລືອກອື່ນແມ່ນໃຫ້ເຄື່ອງຈັກ App-ID ຂັດຂວາງການຈະລາຈອນ 'dns-over-tls' ຢ່າງສົມບູນຢູ່ໃນພອດ 853. ໂດຍປົກກະຕິນີ້ຈະຖືກບລັອກໂດຍຄ່າເລີ່ມຕົ້ນ, ບໍ່ມີການດໍາເນີນການໃດໆ (ເວັ້ນເສຍແຕ່ວ່າທ່ານອະນຸຍາດໃຫ້ສະເພາະ 'dns-over-tls' ແອັບພລິເຄຊັນຫຼືພອດ. ຈະລາຈອນ 853).

ແຫຼ່ງຂໍ້ມູນ: www.habr.com

ການຫຼຸດຜ່ອນຄວາມສ່ຽງຂອງການໃຊ້ DNS-over-TLS (DoT) ແລະ DNS-over-HTTPS (DoH)