ProHoster > Блог > Whakahaerenga > Te whakaiti i nga tupono o te whakamahi DNS-over-TLS (DoT) me DNS-over-HTTPS (DoH)
Te whakaiti i nga tupono o te whakamahi DNS-over-TLS (DoT) me DNS-over-HTTPS (DoH)
Te whakaiti i nga tupono o te whakamahi DoH me DoT
Parenga DoH me DoT
Kei te whakahaere koe i to hokohoko DNS? He nui te wa, te moni me te whakapau kaha a nga whakahaere ki te whakapumau i o raatau whatunga. Heoi, ko tetahi waahi karekau e aro nui ko te DNS.
He tirohanga pai mo nga tupono ka kawea mai e DNS Whakaaturanga Verisign i te hui Infosecurity.
31% o nga karaehe ransomware i rangahauhia i whakamahia te DNS mo te whakawhiti matua
31% o nga karaehe ransomware i rangahauhia i whakamahia te DNS mo te whakawhiti matua.
He nui te raruraru. E ai ki a Palo Alto Networks Unit 42 taiwhanga rangahau, tata ki te 85% o te hunga kino e whakamahi ana i te DNS ki te whakatu i tetahi hongere whakahau me te whakahaere, ka taea e nga kaiwhaiwhai te whakauru ngawari ki to whatunga me te tahae raraunga. Mai i tona timatanga, ko te nuinga o nga waka DNS kaore i whakamunatia, ka taea te wetewetehia e nga tikanga haumarutanga NGFW.
Kua puta nga tikanga hou mo DNS e whai ana ki te whakanui ake i te muna o nga hononga DNS. Kei te kaha tautokohia e nga kaihoko kaitirotiro rangatira me etahi atu kaihoko rorohiko. Ko nga hokohoko DNS kua whakamunatia ka timata te tipu ki nga whatunga umanga. Ko nga hokohoko DNS kua whakamunatia kaore i te tika te tātarihia me te whakatau e nga taputapu he raru haumaru ki tetahi kamupene. Hei tauira, ko taua riri he cryptolockers e whakamahi ana i te DNS ki te whakawhiti i nga taviri whakamunatanga. Inaianei kei te tono nga kaiwhaiwhai he utu mo te maha miriona taara hei whakahoki mai i te uru ki o raraunga. Ko Garmin, hei tauira, he $10 miriona te utu.
Ina whirihora tika, ka taea e nga NGFW te whakakore, te tiaki ranei i te whakamahinga o DNS-over-TLS (DoT) ka taea te whakamahi ki te whakakore i te whakamahi DNS-over-HTTPS (DoH), ka taea te tirotiro i nga hokohoko DNS katoa i runga i to whatunga.
He aha te DNS whakamunatia?
He aha te DNS
Ka whakatauhia e te Pūnaha Ingoa Rohe (DNS) nga ingoa rohe ka taea e te tangata te panui (hei tauira, te wahitau www.paloaltonetworks.com ) ki nga wahitau IP (hei tauira, 34.107.151.202). Ina whakauru tetahi kaiwhakamahi i tetahi ingoa rohe ki roto i te tirotiro tukutuku, ka tukuna e te kaitirotiro he patai DNS ki te tūmau DNS, me te tono mo te wahitau IP e hono ana ki taua ingoa rohe. Hei whakautu, ka whakahokia e te tūmau DNS te wāhitau IP ka whakamahia e tenei kaitirotiro.
Ka tukuna nga patai DNS me nga whakautu puta noa i te whatunga i roto i nga tuhinga maamaa, kaore i whakamunatia, ka whakaraerae ki te torotoro, ki te whakarereke ranei i te whakautu me te tuku ano i te kaitirotiro ki nga kaitoro kino. Ko te whakamunatanga DNS he uaua mo nga tono DNS ki te whai, ki te whakarereke ranei i te wa tuku. Ma te whakamuna i nga tono me nga whakautu DNS ka tiakina koe mai i nga whakaeke Man-in-the-Middle i a koe e mahi ana i nga mahi rite tonu ki te kawa DNS (Punaha Ingoa Rohe) tuku iho.
I nga tau kua pahure ake nei, e rua nga kawa whakamunatanga DNS kua whakauruhia:
DNS-over-HTTPS (DoH)
DNS-over-TLS (DoT)
Ko enei kawa he mea kotahi: ka huna e ratou nga tono DNS mai i tetahi waahi ... mai i nga kaitiaki haumaru o te whakahaere. Ko te nuinga o nga kawa e whakamahi ana i te TLS (Transport Layer Security) ki te whakatu i tetahi hononga whakamunatia i waenga i te kiritaki e hanga patai ana me tetahi tūmau e whakatau ana i nga patai DNS i runga i te tauranga kaore i te whakamahia mo te hokohoko DNS.
Ko te noho muna o nga patai DNS tetahi taapiri nui o enei tikanga. Heoi, he raruraru mo nga kaitiaki haumaru me aro turuki i nga whakawhitinga whatunga me te kimi me te aukati i nga hononga kino. Na te mea he rereke nga kawa mo te whakatinanatanga, ka rereke nga tikanga tātaritanga i waenga i te DoH me te DoT.
DNS mo HTTPS (DoH)
DNS kei roto HTTPS
Ka whakamahi a DoH i te tauranga rongonui 443 mo HTTPS, e kii ana te RFC ko te hiahia kia "whakaranuhia nga hokohoko DoH me etahi atu hokohoko HTTPS i runga i te hononga kotahi", "kia uaua ki te tarai i nga hokohoko DNS" me te karo i nga mana whakahaere umanga. ( RFC 8484 DoH Wāhanga 8.1 ). Ka whakamahia e te kawa DoH te whakamunatanga TLS me te wetereo tono e whakaratohia ana e nga paerewa HTTPS me te HTTP/2 noa, me te taapiri i nga tono DNS me nga whakautu ki runga ake i nga tono HTTP paerewa.
Nga morearea e pa ana ki a DoH
Mena kaore e taea e koe te wehewehe i nga hokohoko HTTPS mai i nga tono a DoH, ka taea e nga tono i roto i to whakahaere (ka) te karo i nga tautuhinga DNS o te rohe ma te tuku tono ki nga kaiwhakarato tuatoru e whakautu ana ki nga tono a DoH, ka karo i nga mahi tirotiro, ara, ka whakangaro i te kaha ki te mahi. whakahaere i te hokohoko DNS. Ko te tikanga, me whakahaere koe i te DoH ma te whakamahi i nga mahi wetemunatanga HTTPS.
Te whakarite i te tirohanga me te whakahaere i nga waka a DoH
Hei otinga pai mo te mana DoH, ka tūtohu matou kia whirihorahia te NGFW ki te wetewete i te hokohoko HTTPS me te aukati i nga hokohoko DoH (ingoa tono: dns-over-https).
Tuarua, hangaia he ture mo te hokohoko tono "dns-over-https" penei i raro nei:
Palo Alto Networks NGFW Ture ki te aukati DNS-over-HTTPS
Hei taapiri mo te wa poto (mehemea kaore i tino whakatinanahia e to whakahaere te whakamunatanga HTTPS), ka taea te whirihora a NGFW ki te tono "whakakahore" ki te ID tono "dns-over-https", engari ka iti te paanga ki te aukati i etahi pai- e mohiotia ana nga tūmau DoH ma o ratou ingoa rohe, na me pehea ki te kore he whakamunatanga HTTPS, e kore e taea te tirotiro katoa te hokohoko a DoH (tirohia Applipedia mai i Palo Alto Networks me te rapu "dns-over-https").
DNS i runga i te TLS (DoT)
DNS kei roto TLS
Ahakoa kei te uru te kawa DoH ki etahi atu waka i runga i te tauranga kotahi, ka whakaparahako a DoT ki te whakamahi i tetahi tauranga motuhake kua rahuitia mo taua kaupapa anake, tae noa ki te aukati i taua tauranga kia whakamahia e nga waka DNS kore whakamunatia ( RFC 7858, Wāhanga 3.1 ).
Ka whakamahi te kawa DoT i te TLS ki te whakarato whakamunatanga e whakaahuru ana i nga patai kawa DNS paerewa, me nga waka e whakamahi ana i te tauranga rongonui 853 ( RFC 7858 waahanga 6 ). I hoahoatia te kawa DoT kia maamaa ake mo nga whakahaere ki te aukati i nga waka i runga i tetahi tauranga, ki te whakaae ranei ki nga waka engari ka taea te wetemuna ki taua tauranga.
Ngā mōreatanga e pā ana ki te DoT
Kua whakatinanahia e Google te DoT ki tana kaihoko Android 9 Pie me muri mai , me te tautuhinga taunoa ki te whakamahi aunoa i te DoT ki te waatea. Mēnā kua aromatawai koe i ngā mōreatanga, ā, kua reri koe ki te whakamahi i te DoT i te taumata whakahaere, katahi ka hiahia koe ki nga kaiwhakahaere o te whatunga ki te tuku i nga waka ki waho i runga i te tauranga 853 ma o raatau paenga mo tenei kawa hou.
Te whakarite i te tirohanga me te mana whakahaere o nga waka DoT
Hei mahi pai mo te whakahaere DoT, ka tūtohu matou i tetahi o nga mea o runga ake nei, i runga i nga whakaritenga a to whakahaere:
Whirihorahia te NGFW ki te wetewete i nga waka katoa mo te tauranga tauranga 853. Ma te wetewete i nga waka, ka puta a DoT hei tono DNS ka taea e koe te tono i tetahi mahi, penei i te whakaahei ohaurunga Palo Alto Networks DNS Haumarutanga hei whakahaere i nga rohe DGA, i tetahi waahi ranei DNS Sinkholing me te anti-tutei.
Ko tetahi atu ko te whai i te miihini App-ID hei aukati katoa i nga hokohoko 'dns-over-tls' i runga i te tauranga 853. I te nuinga o te waa ka aukatihia tenei ma te taunoa, kaore he mahi (mehemea ka whakaaehia e koe te tono 'dns-over-tls' te tono, te hokohoko tauranga ranei 853).