DNS-over-TLS (DoT) un DNS-over-HTTPS (DoH) izmantoÅ”anas risku samazinÄÅ”ana lÄ«dz minimumam
DoH un DoT lietoÅ”anas risku samazinÄÅ”ana lÄ«dz minimumam
DoH un DoT aizsardzība
Vai jÅ«s kontrolÄjat savu DNS trafiku? OrganizÄcijas iegulda daudz laika, naudas un pūļu savu tÄ«klu nodroÅ”inÄÅ”anÄ. TomÄr viena joma, kurai bieži netiek pievÄrsta pietiekama uzmanÄ«ba, ir DNS.
Labs pÄrskats par DNS radÄ«tajiem riskiem ir Verisign prezentÄcija InfodroŔības konferencÄ.
31% aptaujÄto ransomware klaÅ”u atslÄgu apmaiÅai izmantoja DNS. PÄtÄ«juma rezultÄti
31% aptaujÄto ransomware klaÅ”u atslÄgu apmaiÅai izmantoja DNS.
ProblÄma ir nopietna. SaskaÅÄ ar Palo Alto Networks Unit 42 pÄtniecÄ«bas laboratoriju, aptuveni 85% ļaunprÄtÄ«gas programmatÅ«ras izmanto DNS, lai izveidotu komandu un kontroles kanÄlu, ļaujot uzbrucÄjiem viegli ievadÄ«t ļaunprÄtÄ«gu programmatÅ«ru jÅ«su tÄ«klÄ, kÄ arÄ« nozagt datus. KopÅ” tÄs izveides DNS trafiks lielÄkoties ir bijis neÅ”ifrÄts, un to var viegli analizÄt ar NGFW droŔības mehÄnismiem.
Ir parÄdÄ«juÅ”ies jauni DNS protokoli, kuru mÄrÄ·is ir palielinÄt DNS savienojumu konfidencialitÄti. Tos aktÄ«vi atbalsta vadoÅ”ie pÄrlÅ«kprogrammu pÄrdevÄji un citi programmatÅ«ras pÄrdevÄji. Å ifrÄtÄs DNS trafika apjoms drÄ«zumÄ sÄks pieaugt korporatÄ«vajos tÄ«klos. Å ifrÄta DNS trafika, kas nav pareizi analizÄta un atrisinÄta ar rÄ«kiem, rada droŔības risku uzÅÄmumam. PiemÄram, Å”Äds drauds ir Å”ifrÄÅ”anas bloÄ·ÄtÄji, kas izmanto DNS, lai apmainÄ«tos ar Å”ifrÄÅ”anas atslÄgÄm. UzbrucÄji tagad pieprasa vairÄku miljonu dolÄru izpirkuma maksu, lai atjaunotu piekļuvi jÅ«su datiem. Garmin, piemÄram, samaksÄja 10 miljonus dolÄru.
Ja tie ir pareizi konfigurÄti, NGFW var liegt vai aizsargÄt DNS-over-TLS (DoT) izmantoÅ”anu, un tos var izmantot, lai liegtu DNS-over-HTTPS (DoH) izmantoÅ”anu, ļaujot analizÄt visu DNS trafiku jÅ«su tÄ«klÄ.
Kas ir Å”ifrÄtais DNS?
Kas ir DNS
DomÄna vÄrdu sistÄma (DNS) atrisina cilvÄkiem lasÄmus domÄna nosaukumus (piemÄram, adreses). www.paloaltonetworks.com ) uz IP adresÄm (piemÄram, 34.107.151.202). Kad lietotÄjs tÄ«mekļa pÄrlÅ«kprogrammÄ ievada domÄna nosaukumu, pÄrlÅ«kprogramma nosÅ«ta DNS vaicÄjumu DNS serverim, pieprasot ar Å”o domÄna nosaukumu saistÄ«to IP adresi. Atbildot uz to, DNS serveris atgriež IP adresi, ko izmantos Ŕī pÄrlÅ«kprogramma.
DNS vaicÄjumi un atbildes tiek sÅ«tÄ«tas tÄ«klÄ vienkÄrÅ”Ä tekstÄ, neÅ”ifrÄti, padarot to neaizsargÄtu pret spiegoÅ”anu vai atbildes mainÄ«Å”anu un pÄrlÅ«kprogrammas novirzÄ«Å”anu uz ļaunprÄtÄ«giem serveriem. DNS Å”ifrÄÅ”ana apgrÅ«tina DNS pieprasÄ«jumu izsekoÅ”anu vai mainÄ«Å”anu pÄrraides laikÄ. DNS pieprasÄ«jumu un atbilžu Å”ifrÄÅ”ana pasargÄ jÅ«s no Man-in-the-Middle uzbrukumiem, vienlaikus veicot to paÅ”u funkcionalitÄti, ko tradicionÄlais vienkÄrÅ”Ä teksta DNS (Domain Name System) protokols.
Dažu pÄdÄjo gadu laikÄ ir ieviesti divi DNS Å”ifrÄÅ”anas protokoli:
DNS, izmantojot HTTPS (DoH)
DNS-over-TLS (DoT)
Å iem protokoliem ir viena kopÄ«ga iezÄ«me: tie apzinÄti slÄpj DNS pieprasÄ«jumus no jebkÄdas pÄrtverÅ”anas... un arÄ« no organizÄcijas apsardzes darbiniekiem. Protokoli galvenokÄrt izmanto TLS (Transport Layer Security), lai izveidotu Å”ifrÄtu savienojumu starp klientu, kas veic vaicÄjumus, un serveri, kas atrisina DNS vaicÄjumus, izmantojot portu, kas parasti netiek izmantots DNS trafikam.
DNS vaicÄjumu konfidencialitÄte ir liels Å”o protokolu pluss. TomÄr tie rada problÄmas apsardzes darbiniekiem, kuriem jÄuzrauga tÄ«kla trafiks un jÄatklÄj un jÄbloÄ·Ä Ä¼aunprÄtÄ«gi savienojumi. TÄ kÄ protokoli atŔķiras pÄc to ievieÅ”anas, analÄ«zes metodes DoH un DoT atŔķiras.
DNS, izmantojot HTTPS (DoH)
DNS HTTPS iekÅ”ienÄ
DoH HTTPS izmanto labi zinÄmo portu 443, par kuru RFC Ä«paÅ”i norÄda, ka nolÅ«ks ir "sajaukt DoH trafiku ar citu HTTPS trafiku tajÄ paÅ”Ä savienojumÄ", "apgrÅ«tinÄt DNS trafika analÄ«zi" un tÄdÄjÄdi apiet korporatÄ«vÄs kontroles. ( RFC 8484 DoH 8.1. sadaļa ). DoH protokols izmanto TLS Å”ifrÄÅ”anu un pieprasÄ«juma sintaksi, ko nodroÅ”ina vispÄrÄjie HTTPS un HTTP/2 standarti, pievienojot DNS pieprasÄ«jumus un atbildes standarta HTTP pieprasÄ«jumiem.
Ar DoH saistītie riski
Ja nevarat atŔķirt parasto HTTPS trafiku no DoH pieprasÄ«jumiem, jÅ«su organizÄcijas lietojumprogrammas var (un arÄ« darÄ«s) apiet vietÄjos DNS iestatÄ«jumus, novirzot pieprasÄ«jumus uz treÅ”o puÅ”u serveriem, kas atbild uz DoH pieprasÄ«jumiem, kas apiet jebkÄdu uzraudzÄ«bu, tas ir, iznÄ«cina iespÄju kontrolÄt DNS trafiku. IdeÄlÄ gadÄ«jumÄ jums vajadzÄtu kontrolÄt DoH, izmantojot HTTPS atÅ”ifrÄÅ”anas funkcijas.
Š Google un Mozilla ir ieviesuÅ”i DoH iespÄjas jaunÄkajÄ pÄrlÅ«kprogrammu versijÄ, un abi uzÅÄmumi strÄdÄ, lai pÄc noklusÄjuma izmantotu DoH visiem DNS pieprasÄ«jumiem. ArÄ« Microsoft izstrÄdÄ plÄnus par DoH integrÄÅ”anu savÄs operÄtÄjsistÄmÄs. NegatÄ«vÄ puse ir tÄda, ka ne tikai cienÄ«jami programmatÅ«ras uzÅÄmumi, bet arÄ« uzbrucÄji ir sÄkuÅ”i izmantot DoH kÄ lÄ«dzekli tradicionÄlo korporatÄ«vo ugunsmÅ«ra pasÄkumu apieÅ”anai. (PiemÄram, pÄrskatiet Å”Ädus rakstus: PsiXBot tagad izmanto Google DoH , PsiXBot turpina attÄ«stÄ«ties ar atjauninÄtu DNS infrastruktÅ«ru Šø Godlua aizmugures durvju analÄ«ze .) JebkurÄ gadÄ«jumÄ gan laba, gan ļaunprÄtÄ«ga DoH datplÅ«sma paliks neatklÄta, atstÄjot organizÄciju aklu pret DoH ļaunprÄtÄ«gu izmantoÅ”anu kÄ kanÄlu, lai kontrolÄtu ļaunprÄtÄ«gu programmatÅ«ru (C2) un nozagtu sensitÄ«vus datus.
DoH satiksmes redzamÄ«bas un kontroles nodroÅ”inÄÅ”ana
KÄ labÄko risinÄjumu DoH kontrolei mÄs iesakÄm konfigurÄt NGFW, lai atÅ”ifrÄtu HTTPS trafiku un bloÄ·Ätu DoH trafiku (lietojumprogrammas nosaukums: dns-over-https).
Palo Alto Networks NGFW noteikums, lai bloÄ·Ätu DNS, izmantojot HTTPS
KÄ pagaidu alternatÄ«vu (ja jÅ«su organizÄcija nav pilnÄ«bÄ ieviesusi HTTPS atÅ”ifrÄÅ”anu) NGFW var konfigurÄt, lai lietotu lietojumprogrammas ID "dns-over-https" lietotu darbÄ«bu "noliegt", taÄu efekts aprobežosies ar noteiktu labi bloÄ·ÄÅ”anu. zinÄmi DoH serveri pÄc to domÄna nosaukuma, kÄ tad bez HTTPS atÅ”ifrÄÅ”anas DoH trafiku nevar pilnÄ«bÄ pÄrbaudÄ«t (sk. Applipedia no Palo Alto Networks un meklÄjiet "dns-over-https").
DNS, izmantojot TLS (DoT)
DNS iekÅ”Ä TLS
Lai gan DoH protokols mÄdz sajaukties ar citu trafiku tajÄ paÅ”Ä portÄ, DoT tÄ vietÄ pÄc noklusÄjuma izmanto Ä«paÅ”u portu, kas rezervÄts Å”im vienÄ«gajam mÄrÄ·im, pat Ä«paÅ”i neļaujot to paÅ”u portu izmantot tradicionÄlajai neÅ”ifrÄtai DNS trafikam ( RFC 7858, 3.1. sadaļa ).
DoT protokols izmanto TLS, lai nodroÅ”inÄtu Å”ifrÄÅ”anu, kas iekapsulÄ standarta DNS protokola vaicÄjumus ar trafiku, izmantojot labi zinÄmo portu 853 ( RFC 7858 6. sadaļa ). DoT protokols tika izstrÄdÄts, lai organizÄcijÄm bÅ«tu vieglÄk bloÄ·Ät trafiku portÄ vai pieÅemt trafiku, bet iespÄjot atÅ”ifrÄÅ”anu Å”ajÄ portÄ.
Ar DoT saistītie riski
Google savÄ klientÄ ir ieviesis DoT Android 9 Pie un jaunÄkas versijas , ar noklusÄjuma iestatÄ«jumu automÄtiski izmantot DoT, ja tas ir pieejams. Ja esat novÄrtÄjis riskus un esat gatavs izmantot DoT organizÄcijas lÄ«menÄ«, jums ir nepiecieÅ”ams, lai tÄ«kla administratori skaidri atļautu izejoÅ”o trafiku 853. portÄ caur savu perimetru Å”im jaunajam protokolam.
DoT satiksmes redzamÄ«bas un kontroles nodroÅ”inÄÅ”ana
KÄ DoT kontroles paraugpraksi mÄs iesakÄm jebkuru no iepriekÅ” minÄtajÄm darbÄ«bÄm, pamatojoties uz jÅ«su organizÄcijas prasÄ«bÄm:
KonfigurÄjiet NGFW, lai atÅ”ifrÄtu visu datplÅ«smu galamÄrÄ·a portam 853. AtÅ”ifrÄjot trafiku, DoT parÄdÄ«sies kÄ DNS lietojumprogramma, kurai varat veikt jebkuru darbÄ«bu, piemÄram, iespÄjot abonementu. Palo Alto Networks DNS droŔība lai kontrolÄtu DGA domÄnus vai esoÅ”u DNS sinkholing un pretspiegprogrammatÅ«ra.
AlternatÄ«va ir likt App-ID programmai pilnÄ«bÄ bloÄ·Ät "dns-over-tls" trafiku portÄ 853. Tas parasti tiek bloÄ·Äts pÄc noklusÄjuma, nav jÄveic nekÄdas darbÄ«bas (ja vien jÅ«s Ä«paÅ”i neatļaujat "dns-over-tls" lietojumprogrammu vai porta trafiku. 853).