ProHoster > Blog > fitantanan-draharaha > Manamaivana ny loza ateraky ny fampiasana DNS-over-TLS (DoT) sy DNS-over-HTTPS (DoH)

Manamaivana ny loza ateraky ny fampiasana DNS-over-TLS (DoT) sy DNS-over-HTTPS (DoH)

Manamaivana ny loza ateraky ny fampiasana DNS-over-TLS (DoT) sy DNS-over-HTTPS (DoH)Manamaivana ny loza ateraky ny fampiasana DoH sy DoT

Fiarovana ny DoH sy DoT

Mifehy ny fifamoivoizana DNS-nao ve ianao? Mandany fotoana sy vola ary ezaka be ny fikambanana amin'ny fiarovana ny tambajotra. Na izany aza, faritra iray izay matetika tsy mahasarika ny saina dia ny DNS.

Ny fijery tsara momba ny risika entin'ny DNS dia Fampisehoana Verisign tamin'ny fihaonambe Infosecurity.

Manamaivana ny loza ateraky ny fampiasana DNS-over-TLS (DoT) sy DNS-over-HTTPS (DoH)Ny 31% amin'ireo kilasy ransomware nohadihadiana dia nampiasa DNS ho an'ny fifanakalozana fototra

Ny 31% amin'ireo kilasy ransomware nohadihadiana dia nampiasa DNS ho an'ny fifanakalozana fanalahidy.

Mafy ny olana. Araka ny laboratoara fikarohana Palo Alto Networks Unit 42, manodidina ny 85% amin'ny malware no mampiasa DNS hananganana fantsona baiko sy fanaraha-maso, ahafahan'ny mpanafika mampiditra mora foana ny malware ao amin'ny tambajotrao ary mangalatra angon-drakitra. Hatramin'ny nanombohany, ny fifamoivoizana DNS dia tsy voafehy amin'ny ankapobeny ary azo zahana mora amin'ny alΓ lan'ny rafitra fiarovana NGFW. 

Nipoitra ny protocole vaovao ho an'ny DNS mikendry ny hampitombo ny tsiambaratelon'ny fifandraisana DNS. Izy ireo dia tohanan'ny mpivarotra navigateur malaza sy mpivarotra rindrambaiko hafa. Hanomboka hitombo tsy ho ela amin'ny tambajotran'ny orinasa ny fifamoivoizana DNS voarakitra. Ny fifamoivoizana DNS encrypted izay tsy voadinika tsara sy voavaha amin'ny fitaovana dia miteraka risika amin'ny fiarovana ny orinasa iray. Ohatra, ny fandrahonana toy izany dia ny cryptolockers izay mampiasa DNS hanakalozana fanalahidy fanafenana. Mitaky vidim-panavotana an-tapitrisa dolara izao ny mpanafika mba hamerenana ny fidirana amin'ny angonao. Garmin, ohatra, dia nandoa 10 tapitrisa dolara.

Rehefa amboarina araka ny tokony ho izy dia afaka mandΓ  na miaro ny fampiasana DNS-over-TLS (DoT) ny NGFW ary azo ampiasaina handΓ  ny fampiasana DNS-over-HTTPS (DoH), ahafahan'ny fifamoivoizana DNS rehetra ao amin'ny tambajotranao ho voadinika.

Inona no atao hoe DNS encrypted?

Inona no atao hoe DNS

Ny Domain Name System (DNS) dia mamaha ny anaran-tsehatra azo vakina (ohatra, adiresy www.paloaltonetworks.com ) mankany amin'ny adiresy IP (ohatra, 34.107.151.202). Rehefa mampiditra anaran-tsehatra ao anaty navigateur web ny mpampiasa iray, dia mandefa fanontaniana DNS amin'ny mpizara DNS ny navigateur, mangataka ny adiresy IP mifandray amin'io anaran-tsehatra io. Ho setrin'izany dia mamerina ny adiresy IP izay hampiasain'ity navigateur ity ny mpizara DNS.

Ny fanontaniana sy valiny DNS dia alefa manerana ny tambajotra amin'ny lahatsoratra tsotra, tsy misy encryption, ka mahatonga azy ho mora amin'ny fitsikilovana na fanovana ny valiny ary mamindra ny navigateur amin'ny lohamilina ratsy. Ny fanafenana DNS dia manasarotra ny fanarahana na ny fanovana ny fangatahana DNS mandritra ny fandefasana. Miaro anao amin'ny fanafihan'ny Man-in-the-Middle ny famandrihana ny fangatahana sy ny valin-kafatra DNS raha toa ka manao asa mitovy amin'ny protocole DNS (Domain Name System) nentim-paharazana. 

Tao anatin'ny taona vitsivitsy izay, protocole fanafenana DNS roa no nampidirina:

  1. DNS-mihoatra ny HTTPS (DoH)

  2. DNS-over-TLS (DoT)

Misy zavatra iombonan'ireo protocole ireo: minia manafina ny fangatahana DNS amin'ny fisakanana rehetra... ary amin'ny mpiambina ny fikambanana ihany koa. Ny protocole dia mampiasa voalohany indrindra ny TLS (Transport Layer Security) mba hametrahana fifandraisana misy miafina eo amin'ny mpanjifa manao fanontaniana sy ny mpizara mamaha ny fanontaniana DNS amin'ny seranana izay tsy ampiasaina amin'ny fifamoivoizana DNS.

Ny tsiambaratelon'ny fangatahana DNS dia tombony lehibe amin'ireo protocols ireo. Na izany aza, miteraka olana ho an'ny mpiambina izay tsy maintsy manara-maso ny fifamoivoizana amin'ny tambajotra izy ireo ary mamantatra sy manakana ny fifandraisana ratsy. Satria tsy mitovy ny protocole amin'ny fampiharana azy, ny fomba famakafakana dia tsy mitovy eo amin'ny DoH sy ny DoT.

DNS mihoatra ny HTTPS (DoH)

Manamaivana ny loza ateraky ny fampiasana DNS-over-TLS (DoT) sy DNS-over-HTTPS (DoH)DNS ao anaty HTTPS

Ny DoH dia mampiasa ny seranan-tsambo malaza 443 ho an'ny HTTPS, izay nanambaran'ny RFC manokana fa ny tanjona dia ny "hamafangaro ny fifamoivoizana DoH amin'ny fifamoivoizana HTTPS hafa amin'ny fifandraisana mitovy", "manasarotra ny famakafakana ny fifamoivoizana DNS" ary noho izany dia misoroka ny fanaraha-maso ny orinasa. ( RFC 8484 DoH Fizarana 8.1 ). Ny protocole DoH dia mampiasa encryption TLS sy ny rindranasan'ny fangatahana omen'ny fenitra HTTPS sy HTTP/2 mahazatra, manampy ny fangatahana DNS sy valiny eo ambonin'ny fangatahana HTTP mahazatra.

Loza mifandray amin'ny DoH

Raha tsy afaka manavaka ny fifamoivoizana HTTPS mahazatra amin'ny fangatahan'ny DoH ianao, dia afaka (ary ho) handalo ny firafitry ny DNS eo an-toerana ny fampiharana ao anatin'ny fikambananao amin'ny alΓ lan'ny fandefasana fangatahana any amin'ireo lohamilina an'ny antoko fahatelo mamaly ny fangatahana DoH, izay mandingana ny fanaraha-maso rehetra, izany hoe manimba ny fahafaha-manao. mifehy ny fifamoivoizana DNS. Ny tsara indrindra dia tokony hifehezanao ny DoH amin'ny fampiasana ny fiasa decryption HTTPS. 

И Google sy Mozilla dia nampihatra ny fahaizan'ny DoH amin'ny dikan-teny farany amin'ny mpitety tranonkalany, ary samy miasa ny orinasa roa hampiasa ny DoH ho default ho an'ny fangatahana DNS rehetra. Mamolavola drafitra ihany koa i Microsoft amin'ny fampidirana ny DoH amin'ny rafitra fiasan'izy ireo. Ny lafy ratsiny dia tsy ny orinasa rindrambaiko malaza ihany, fa ny mpanafika ihany koa dia nanomboka nampiasa ny DoH ho fitaovana handosirana ny fepetra firewall mahazatra. (Ohatra, avereno jerena ireto lahatsoratra manaraka ireto: Mampiasa Google DoH izao ny PsiXBot , PsiXBot dia mitohy mivoatra miaraka amin'ny fotodrafitrasa DNS nohavaozina ΠΈ Godlua backdoor analysis .) Na izany na tsy izany, na ny fifamoivoizana DoH tsara na ratsy dia tsy ho voamarika, ka hahatonga ny fikambanana ho jamba amin'ny fampiasana ratsy ny DoH ho toy ny fantsona hifehezana ny malware (C2) sy hangalarana angona saro-pady.

Miantoka ny fahitana sy ny fanaraha-maso ny fifamoivoizana DoH

Amin'ny maha vahaolana tsara indrindra amin'ny fanaraha-maso ny DoH, dia manoro hevitra izahay ny hanefa ny NGFW mba hamadika ny fifamoivoizana HTTPS sy hanakanana ny fifamoivoizana DoH (anarana fampiharana: dns-over-https). 

Voalohany, ataovy azo antoka fa ny NGFW dia natsangana hamadika ny HTTPS, araka ny torolalana ho an'ny teknika decryption tsara indrindra.

Faharoa, mamorona fitsipika momba ny fifamoivoizana fampiharana "dns-over-https" araka ny aseho eto ambany:

Manamaivana ny loza ateraky ny fampiasana DNS-over-TLS (DoT) sy DNS-over-HTTPS (DoH)Palo Alto Networks NGFW Fitsipika hanakanana DNS-over-HTTPS

Amin'ny maha solontena vonjimaika (raha tsy nampihatra tanteraka ny decryption HTTPS ny fikambananao), ny NGFW dia azo amboarina hampihatra hetsika "mandΓ " amin'ny ID fampiharana "dns-over-https", fa ny vokatra dia ho voafetra amin'ny fanakanana tsara- ireo mpizara DoH fantatra amin'ny anaran'ny sehatra misy azy, koa ahoana raha tsy misy ny decryption HTTPS, dia tsy azo jerena tanteraka ny fifamoivoizana DoH (jereo  Applipedia avy amin'ny Palo Alto Networks   ary tadiavo ny "dns-over-https").

DNS amin'ny TLS (DoT)

Manamaivana ny loza ateraky ny fampiasana DNS-over-TLS (DoT) sy DNS-over-HTTPS (DoH)DNS ao anaty TLS

Raha toa ka mirona hifangaro amin'ny fifamoivoizana hafa ao amin'ny seranan-tsambo iray ihany ny protocole DoH, ny DoT kosa dia tsy mampiasa seranan-tsambo manokana natokana ho an'izany tanjona izany, eny fa na dia tsy mamela ny seranan-tsambo iray aza tsy hampiasain'ny fifamoivoizana DNS nentim-paharazana tsy voafehy ( RFC 7858, Fizarana 3.1 ).

Ny protocol DoT dia mampiasa TLS mba hanomezana encryption izay mameno ny fangatahana protocol DNS mahazatra, miaraka amin'ny fifamoivoizana mampiasa ny port 853 malaza ( RFC 7858 fizarana 6 ). Ny protocole DoT dia natao hanamora ny fanamoran'ny fikambanana ny fanakanana ny fifamoivoizana amin'ny seranana iray, na hanaiky ny fifamoivoizana nefa ahafahana mamadika an'io seranana io.

Ny risika mifandraika amin'ny DoT

Google dia nametraka DoT tamin'ny mpanjifany Android 9 Pie sy aoriana , miaraka amin'ny filaharana default hampiasa ho azy ny DoT raha misy. Raha nanombantombana ny loza mety hitranga ianao ary vonona ny hampiasa ny DoT eo amin'ny sehatry ny fandaminana, dia mila manana mpitantana ny tambajotra ianao hamela mazava ny fifamoivoizana mivoaka amin'ny seranan-tsambo 853 amin'ny vakim-paritra ho an'ity protocol vaovao ity.

Miantoka ny fahitana sy ny fanaraha-maso ny fifamoivoizana DoT

Amin'ny maha fanao tsara indrindra amin'ny fanaraha-maso ny DoT, dia manoro ny iray amin'ireto voalaza etsy ambony ireto izahay, mifototra amin'ny fepetra takian'ny fikambananao:

  • Ampifanaraho ny NGFW hamadika ny fifamoivoizana rehetra ho an'ny seranan-tsambo 853. Amin'ny alΓ lan'ny famongorana ny fifamoivoizana, ny DoT dia hiseho ho toy ny rindranasa DNS izay ahafahanao mampihatra ny hetsika rehetra, toy ny famandrihana. Palo Alto Networks DNS Security hifehy ny sehatra DGA na ny efa misy DNS Sinkholing ary anti-spyware.

  • Ny hafa dia ny fananana ny motera App-ID manakana tanteraka ny fifamoivoizana 'dns-over-tls' amin'ny seranan-tsambo 853. Matetika no voasakana izany, tsy misy hetsika ilaina (raha tsy avelanao manokana ny fampiharana 'dns-over-tls' na fifamoivoizana amin'ny seranana. 853).

Source: www.habr.com

Add a comment