ProHoster > Dienoraštis > Administravimas > DNS per TLS (DoT) ir DNS-over-HTTPS (DoH) naudojimo rizikos sumažinimas

DNS per TLS (DoT) ir DNS-over-HTTPS (DoH) naudojimo rizikos sumažinimas

DNS per TLS (DoT) ir DNS-over-HTTPS (DoH) naudojimo rizikos sumažinimasSumažinti DoH ir DoT naudojimo riziką

DoH ir DoT apsauga

Ar kontroliuojate savo DNS srautą? Organizacijos investuoja daug laiko, pinigų ir pastangų siekdamos apsaugoti savo tinklus. Tačiau viena sritis, kuriai dažnai neskiriama pakankamai dėmesio, yra DNS.

Gera DNS keliamos rizikos apžvalga Verisign pristatymas konferencijoje Infosecurity.

DNS per TLS (DoT) ir DNS-over-HTTPS (DoH) naudojimo rizikos sumažinimas31% apklaustų išpirkos reikalaujančių programų grupių naudojo DNS raktų mainams. Tyrimo rezultatai

31% apklaustų „ransomware“ klasių naudojo DNS raktų mainams.

Problema rimta. Remiantis Palo Alto Networks Unit 42 tyrimų laboratorija, maždaug 85 % kenkėjiškų programų naudoja DNS komandų ir valdymo kanalui sukurti, todėl užpuolikai gali lengvai įterpti kenkėjiškų programų į jūsų tinklą ir pavogti duomenis. Nuo pat pradžių DNS srautas buvo beveik nešifruotas ir gali būti lengvai analizuojamas naudojant NGFW saugos mechanizmus. 

Atsirado nauji DNS protokolai, skirti padidinti DNS ryšių konfidencialumą. Juos aktyviai palaiko pirmaujantys naršyklių ir kiti programinės įrangos pardavėjai. Šifruotas DNS srautas netrukus pradės augti įmonių tinkluose. Šifruotas DNS srautas, kuris nėra tinkamai išanalizuotas ir neišspręstas įrankiais, kelia pavojų įmonės saugumui. Pavyzdžiui, tokia grėsmė yra kriptovaliutos, kurios naudoja DNS keistis šifravimo raktais. Užpuolikai dabar reikalauja kelių milijonų dolerių išpirkos, kad atkurtų prieigą prie jūsų duomenų. Pavyzdžiui, „Garmin“ sumokėjo 10 mln.

Tinkamai sukonfigūruoti NGFW gali uždrausti arba apsaugoti DNS-over-TLS (DoT) naudojimą ir gali būti naudojami neleisti naudoti DNS per HTTPS (DoH), leidžiant analizuoti visą DNS srautą jūsų tinkle.

Kas yra užšifruotas DNS?

Kas yra DNS

Domenų vardų sistema (DNS) išsprendžia žmonėms suprantamus domenų vardus (pavyzdžiui, adresus). www.paloaltonetworks.com ) į IP adresus (pvz., 34.107.151.202). Kai vartotojas įveda domeno pavadinimą į žiniatinklio naršyklę, naršyklė siunčia DNS užklausą į DNS serverį, prašydama su tuo domeno pavadinimu susieto IP adreso. Atsakydamas DNS serveris grąžina IP adresą, kurį naudos ši naršyklė.

DNS užklausos ir atsakymai tinkle siunčiami paprastu tekstu, nešifruoti, todėl jis yra pažeidžiamas šnipinėjant arba keičiant atsakymą ir nukreipiant naršyklę į kenkėjiškus serverius. Dėl DNS šifravimo sunku sekti arba pakeisti DNS užklausas perdavimo metu. DNS užklausų ir atsakymų šifravimas apsaugo jus nuo „Man-in-the-Middle“ atakų ir atlieka tas pačias funkcijas, kaip ir tradicinis paprasto teksto DNS (domeno vardų sistemos) protokolas. 

Per pastaruosius kelerius metus buvo pristatyti du DNS šifravimo protokolai:

  1. DNS per HTTPS (DoH)

  2. DNS virš TLS (DoT)

Šie protokolai turi vieną bendrą bruožą: jie sąmoningai slepia DNS užklausas nuo bet kokio perėmimo... ir nuo organizacijos apsaugos darbuotojų. Protokolai pirmiausia naudoja TLS (Transport Layer Security), kad užmegztų šifruotą ryšį tarp kliento, teikiančio užklausas, ir serverio, sprendžiančio DNS užklausas per prievadą, kuris paprastai nenaudojamas DNS srautui.

DNS užklausų konfidencialumas yra didelis šių protokolų pliusas. Tačiau jie kelia problemų apsaugos darbuotojams, kurie turi stebėti tinklo srautą ir aptikti bei blokuoti kenkėjiškus ryšius. Kadangi protokolų įgyvendinimas skiriasi, DoH ir DoT analizės metodai skirsis.

DNS per HTTPS (DoH)

DNS per TLS (DoT) ir DNS-over-HTTPS (DoH) naudojimo rizikos sumažinimasDNS HTTPS viduje

DoH naudoja gerai žinomą 443 prievadą HTTPS, dėl kurio RFC konkrečiai nurodo, kad siekiama „sumaišyti DoH srautą su kitu HTTPS srautu tame pačiame ryšyje“, „apsunkinti DNS srauto analizę“ ir taip apeiti įmonės kontrolę. ( RFC 8484 DoH 8.1 skirsnis ). DoH protokolas naudoja TLS šifravimą ir užklausų sintaksę, kurią teikia bendrieji HTTPS ir HTTP/2 standartai, pridedant DNS užklausas ir atsakymus prie standartinių HTTP užklausų.

Su DoH susijusi rizika

Jei negalite atskirti įprasto HTTPS srauto nuo DoH užklausų, jūsų organizacijos programos gali (ir bus) apeiti vietinius DNS nustatymus, peradresuodamos užklausas į trečiųjų šalių serverius, atsakančius į DoH užklausas, o tai apeina bet kokį stebėjimą, ty sunaikina galimybę valdyti DNS srautą. Idealiu atveju turėtumėte valdyti DoH naudodami HTTPS iššifravimo funkcijas. 

И „Google“ ir „Mozilla“ įdiegė DoH galimybes naujausioje savo naršyklių versijoje, ir abi įmonės pagal numatytuosius nustatymus naudoja DoH visoms DNS užklausoms. „Microsoft“ taip pat kuria planus apie DoH integravimą į savo operacines sistemas. Neigiama yra tai, kad ne tik geros reputacijos programinės įrangos įmonės, bet ir užpuolikai pradėjo naudoti DoH kaip priemonę apeiti tradicines įmonių užkardos priemones. (Pavyzdžiui, peržiūrėkite šiuos straipsnius: „PsiXBot“ dabar naudoja „Google DoH“. , PsiXBot ir toliau tobulėja atnaujinta DNS infrastruktūra и Godlua užpakalinių durų analizė .) Bet kuriuo atveju tiek geras, tiek kenkėjiškas DoH srautas bus nepastebėtas, todėl organizacija bus akla piktam DoH naudojimui kaip kanalui kontroliuoti kenkėjiškas programas (C2) ir pavogti neskelbtinus duomenis.

DoH eismo matomumo ir kontrolės užtikrinimas

Kaip geriausią DoH valdymo sprendimą, rekomenduojame sukonfigūruoti NGFW, kad iššifruotų HTTPS srautą ir blokuotų DoH srautą (programos pavadinimas: dns-over-https). 

Pirmiausia įsitikinkite, kad NGFW sukonfigūruotas iššifruoti HTTPS geriausių iššifravimo būdų vadovas.

Antra, sukurkite programos srauto taisyklę „dns-over-https“, kaip parodyta toliau:

DNS per TLS (DoT) ir DNS-over-HTTPS (DoH) naudojimo rizikos sumažinimas„Palo Alto Networks“ NGFW taisyklė, skirta blokuoti DNS per HTTPS

Kaip laikiną alternatyvą (jei jūsų organizacija nėra visiškai įdiegusi HTTPS iššifravimo), NGFW gali būti sukonfigūruotas taip, kad taikytų veiksmą „neleisti“ programos ID „dns-over-https“, tačiau šis efektas apsiribos tam tikrų duomenų blokavimu. žinomi DoH serveriai pagal jų domeno pavadinimą, taigi kaip be HTTPS iššifravimo DoH srautas negali būti visiškai patikrintas (žr.  Applipedia iš Palo Alto Networks   ir ieškokite „dns-over-https“).

DNS per TLS (DoT)

DNS per TLS (DoT) ir DNS-over-HTTPS (DoH) naudojimo rizikos sumažinimasDNS TLS viduje

Nors DoH protokolas linkęs maišytis su kitu srautu tame pačiame prievade, vietoj to DoT pagal nutylėjimą naudoja specialų prievadą, skirtą vieninteliam tikslui, net specialiai neleidžiant to paties prievado naudoti tradiciniam nešifruotam DNS srautui ( RFC 7858, 3.1 skirsnis ).

DoT protokolas naudoja TLS, kad užtikrintų šifravimą, apimantį standartines DNS protokolo užklausas, srautą naudojant gerai žinomą 853 prievadą ( RFC 7858 6 skyrius ). DoT protokolas buvo sukurtas tam, kad organizacijoms būtų lengviau blokuoti srautą prievade arba priimti srautą, bet įgalinti iššifravimą tame prievade.

Su DoT susijusi rizika

„Google“ įdiegė DoT savo kliente „Android 9 Pie“ ir naujesnės versijos , su numatytuoju nustatymu automatiškai naudoti DoT, jei yra. Jei įvertinote riziką ir esate pasirengę naudoti DoT organizaciniu lygiu, tinklo administratoriai turi aiškiai leisti išeinantį srautą per 853 prievadą per savo perimetrą šiam naujam protokolui.

DoT srauto matomumo ir kontrolės užtikrinimas

Remdamiesi jūsų organizacijos reikalavimais, rekomenduojame kaip geriausią DoT valdymo praktiką.

  • Sukonfigūruokite NGFW, kad iššifruotų visą srautą, skirtą paskirties prievadui 853. Iššifravus srautą, DoT bus rodomas kaip DNS programa, kuriai galėsite atlikti bet kokį veiksmą, pvz., įgalinti prenumeratą Palo Alto tinklų DNS sauga valdyti DGA domenus arba esamus DNS įdubimas ir anti-spyware.

  • Alternatyva yra, kad programos ID variklis visiškai blokuotų „dns-over-tls“ srautą 853 prievade. Paprastai tai blokuojama pagal numatytuosius nustatymus, nereikia jokių veiksmų (nebent konkrečiai leidžiate „dns-over-tls“ programą arba prievado srautą 853).

Šaltinis: www.habr.com

Добавить комментарий