DoH болон DoT ашиглах эрсдэлийг багасгах
DoH болон DoT хамгаалалт
Та DNS урсгалаа хянадаг уу? Байгууллагууд сүлжээгээ хамгаалахын тулд маш их цаг хугацаа, мөнгө, хүчин чармайлт гаргадаг. Гэсэн хэдий ч хангалттай анхаарал татдаггүй нэг хэсэг бол DNS юм.
DNS-ийн авчирдаг эрсдлийн талаархи сайн тойм Мэдээллийн аюулгүй байдлын хурал дээр.
Судалгаанд хамрагдсан ransomware ангиудын 31% нь түлхүүр солилцохдоо DNS ашигласан.Судалгааны үр дүн
Судалгаанд хамрагдсан ransomware ангиудын 31% нь түлхүүр солилцохдоо DNS ашигладаг.
Асуудал ноцтой байна. Palo Alto Networks Unit 42 судалгааны лабораторийн мэдээлснээр хорлонтой программ хангамжийн 85 орчим хувь нь DNS-ийг команд болон хяналтын суваг үүсгэхийн тулд ашигладаг бөгөөд халдагчид таны сүлжээнд хортой програм суулгахаас гадна өгөгдлийг хулгайлах боломжийг олгодог. Байгуулагдсанаасаа хойш DNS траффик нь шифрлэгдээгүй бөгөөд NGFW аюулгүй байдлын механизмаар хялбархан дүн шинжилгээ хийх боломжтой.
DNS холболтын нууцлалыг нэмэгдүүлэх зорилготой DNS-ийн шинэ протоколууд гарч ирэв. Тэдгээрийг тэргүүлэгч хөтөч үйлдвэрлэгчид болон бусад програм хангамжийн үйлдвэрлэгчид идэвхтэй дэмждэг. Удахгүй корпорацийн сүлжээнд шифрлэгдсэн DNS урсгал нэмэгдэж эхэлнэ. Шифрлэгдсэн DNS траффик нь зохих ёсоор дүн шинжилгээ хийж, багаж хэрэгслээр шийдэгдээгүй байгаа нь компанийн аюулгүй байдалд эрсдэл учруулдаг. Жишээлбэл, ийм аюул нь DNS ашиглан шифрлэлтийн түлхүүр солилцдог криптолокаторууд юм. Халдагчид одоо таны мэдээлэлд хандах эрхийг сэргээхийн тулд хэдэн сая долларын золиос нэхэж байна. Жишээлбэл, Garmin 10 сая доллар төлсөн.
Зөв тохируулагдсан тохиолдолд NGFW-ууд нь DNS-over-TLS (DoT)-ийн хэрэглээг үгүйсгэх эсвэл хамгаалах боломжтой бөгөөд DNS-over-HTTPS (DoH)-ийн хэрэглээг үгүйсгэхэд ашиглагдаж, сүлжээн дэх бүх DNS урсгалыг шинжлэх боломжийг олгоно.
Шифрлэгдсэн DNS гэж юу вэ?
DNS гэж юу вэ
Домэйн нэрийн систем (DNS) нь хүний унших боломжтой домэйн нэрийг (жишээ нь хаяг ) IP хаяг руу (жишээлбэл, 34.107.151.202). Хэрэглэгч вэб хөтөч рүү домэйн нэр оруулах үед хөтөч DNS сервер рүү DNS асуулга илгээж, тухайн домэйн нэртэй холбоотой IP хаягийг асууна. Үүний хариуд DNS сервер нь энэ хөтчийн ашиглах IP хаягийг буцаана.
DNS асуулга болон хариултыг сүлжээгээр шифрлэгдээгүй энгийн текст хэлбэрээр илгээдэг бөгөөд энэ нь тагнуул хийх, хариуг өөрчлөх, хөтчийг хортой сервер рүү дахин чиглүүлэхэд өртөмтгий болгодог. DNS шифрлэлт нь дамжуулах явцад DNS хүсэлтийг хянах эсвэл өөрчлөхөд хүндрэл учруулдаг. DNS хүсэлт болон хариултыг шифрлэх нь таныг уламжлалт энгийн DNS (Домэйн Нэрийн Систем) протоколтой ижил функцийг гүйцэтгэхийн зэрэгцээ Дундад хүн халдлагаас хамгаална.
Сүүлийн хэдэн жилийн хугацаанд DNS шифрлэлтийн хоёр протоколыг нэвтрүүлсэн:
-
DNS-over-HTTPS (DoH)
-
DNS-over-TLS (DoT)
Эдгээр протоколууд нь нэг нийтлэг зүйлтэй: тэд DNS хүсэлтийг аливаа хөндлөнгийн оролцооноос... мөн байгууллагын хамгаалалтын ажилтнуудаас зориудаар нуудаг. Протоколууд нь ихэвчлэн TLS (Transport Layer Security) -ийг ихэвчлэн DNS урсгалд ашиглагддаггүй портоор дамжуулан асуулга хийж буй үйлчлүүлэгч болон DNS асуулгыг шийдвэрлэх серверийн хооронд шифрлэгдсэн холболтыг бий болгоход ашигладаг.
DNS асуулгын нууцлал нь эдгээр протоколуудын том давуу тал юм. Гэсэн хэдий ч тэд сүлжээний урсгалыг хянаж, хортой холболтыг илрүүлж, хаах ёстой хамгаалалтын ажилтнуудад асуудал үүсгэдэг. Протоколууд нь хэрэгжилтээрээ ялгаатай байдаг тул шинжилгээний арга нь ЭМГ болон ДоТ хоёрын хооронд ялгаатай байх болно.
HTTPS (DoH) дээрх DNS
HTTPS доторх DNS
DoH нь HTTPS-ийн хувьд сайн мэддэг 443 портыг ашигладаг бөгөөд RFC нь "ижил холболт дээрх DoH урсгалыг бусад HTTPS траффиктэй холих", "DNS урсгалыг шинжлэхэд хүндрэл учруулах" бөгөөд ингэснээр корпорацийн хяналтыг тойрч гарах зорилготой гэж тусгайлан заасан байдаг. ( ). DoH протокол нь TLS шифрлэлт болон нийтлэг HTTPS болон HTTP/2 стандартаар хангагдсан хүсэлтийн синтаксийг ашигладаг бөгөөд стандарт HTTP хүсэлтүүд дээр DNS хүсэлт болон хариултуудыг нэмдэг.
ЭМГ-тай холбоотой эрсдэлүүд
Хэрэв та байнгын HTTPS урсгалыг ЭМГ-ын хүсэлтээс ялгаж чадахгүй бол танай байгууллагын программууд ЭМГ-ын хүсэлтэд хариу өгөх гуравдагч талын сервер рүү хүсэлтийг дахин чиглүүлэх замаар орон нутгийн DNS тохиргоог тойрч гарах боломжтой (мөн хийх болно) нь аливаа хяналтыг тойрч гарах, өөрөөр хэлбэл, DNS урсгалыг хянах. Хамгийн тохиромжтой нь та HTTPS код тайлах функцийг ашиглан DoH-г хянах хэрэгтэй.
И Хөтчийнхөө хамгийн сүүлийн хувилбарт байгаа бөгөөд хоёр компани бүх DNS хүсэлтүүдэд DoH-г анхдагчаар ашиглахаар ажиллаж байна. ЭМГ-ыг үйлдлийн системдээ нэгтгэх талаар. Сул тал нь зөвхөн нэр хүндтэй программ хангамжийн компаниуд төдийгүй халдагчид DoH-ийг корпорацийн галт ханын уламжлалт арга хэмжээг тойрч гарах хэрэгсэл болгон ашиглаж эхэлсэн явдал юм. (Жишээ нь, дараах нийтлэлүүдийг уншина уу: , и .) Аль ч тохиолдолд ЭМГ-ын сайн болон хортой урсгал хоёулаа илрэхгүй байх бөгөөд байгууллага нь ЭМГ-ыг хортой программыг (C2) хянах, нууц мэдээллийг хулгайлах суваг болгон хорлонтой ашиглахыг харалган болгоно.
ЭМГ-ын хөдөлгөөний үзэгдэх орчин, хяналтыг хангах
ЭМГ-ын хяналтын хамгийн сайн шийдэл болохын хувьд бид HTTPS траффикийн кодыг тайлж, ЭМГ-ын урсгалыг хаахын тулд NGFW-г тохируулахыг зөвлөж байна (програмын нэр: dns-over-https).
Нэгдүгээрт, NGFW нь HTTPS кодыг тайлахаар тохируулагдсан эсэхийг шалгаарай .
Хоёрдугаарт, доор үзүүлсэн шиг "dns-over-https" програмын урсгалын дүрмийг бий болго.
Palo Alto Networks NGFW-ийн DNS-over-HTTPS-г блоклох дүрэм
Түр зуурын хувилбар болгон (хэрэв танай байгууллага HTTPS код тайлалтыг бүрэн хэрэгжүүлээгүй бол) NGFW-г "dns-over-https" програмын ID-д "үгүйсгэх" үйлдлийг хийхээр тохируулж болох боловч үр нөлөө нь зарим нэг худгийг блоклохоор хязгаарлагдах болно. DoH серверүүдийг домэйн нэрээр нь мэддэг тул HTTPS код тайлахгүйгээр ЭМГ-ын траффикийг хэрхэн бүрэн шалгах боломжгүй (харна уу). болон "dns-over-https" гэж хайна уу).
TLS дээгүүр DNS (DoT)
TLS доторх DNS
DoH протокол нь нэг порт дээрх бусад траффиктэй холилдох хандлагатай байдаг бол DoT нь тухайн портыг уламжлалт шифрлэгдээгүй DNS траффикт ашиглахыг тусгайлан хориглосон ч гэсэн зөвхөн энэ зорилгоор нөөцлөгдсөн тусгай портыг ашигладаг. ).
DoT протокол нь сайн мэддэг порт 853 () ашиглан урсгалтай стандарт DNS протоколын асуулгыг багтаасан шифрлэлт өгөхийн тулд TLS ашигладаг. ). DoT протокол нь байгууллагуудад порт дээрх траффикийг хаахад хялбар болгох, эсвэл траффик хүлээн авах боловч тухайн порт дээр шифрлэлтийг идэвхжүүлэх зорилгоор бүтээгдсэн.
DoT-тэй холбоотой эрсдэлүүд
Google DoT-ийг үйлчлүүлэгчдээ нэвтрүүлсэн , хэрэв боломжтой бол DoT-г автоматаар ашиглах үндсэн тохиргоотой. Хэрэв та эрсдлийг үнэлж, байгууллагын түвшинд DoT ашиглахад бэлэн байгаа бол сүлжээний администраторууд энэхүү шинэ протоколын периметрээр дамжуулан 853-р портын гадагш чиглэсэн урсгалыг тодорхой зөвшөөрөх шаардлагатай.
DoT урсгалын харагдах байдал, хяналтыг хангах
DoT хяналтын шилдэг туршлагын хувьд бид танай байгууллагын шаардлагад үндэслэн дээр дурдсан зүйлсийн аль нэгийг санал болгож байна.
-
NGFW-г 853-р зорьсон портын бүх урсгалын кодыг тайлахын тулд тохируулна уу. Траффикийн кодыг тайлснаар DoT нь DNS програм болж гарч ирэх бөгөөд үүнд та захиалгаа идэвхжүүлэх гэх мэт ямар ч үйлдэл хийх боломжтой болно. DGA домэйн эсвэл одоо байгаа домайныг хянах болон тагнуулын эсрэг.
-
Өөр нэг хувилбар бол App-ID хөдөлгүүр нь 853-р порт дээрх "dns-over-tls" урсгалыг бүрэн блоклох явдал юм. Энэ нь ихэвчлэн өгөгдмөлөөр блоклогддог бөгөөд ямар ч үйлдэл хийх шаардлагагүй (хэрэв та "dns-over-tls" програм эсвэл портыг тусгайлан зөвшөөрөхгүй бол замын хөдөлгөөн 853).
Эх сурвалж: www.habr.com