ProHoster > Blog > Pentadbiran > Meminimumkan risiko menggunakan DNS-over-TLS (DoT) dan DNS-over-HTTPS (DoH)
Meminimumkan risiko menggunakan DNS-over-TLS (DoT) dan DNS-over-HTTPS (DoH)
Meminimumkan risiko menggunakan DoH dan DoT
Perlindungan DoH dan DoT
Adakah anda mengawal trafik DNS anda? Organisasi melaburkan banyak masa, wang dan usaha untuk memastikan rangkaian mereka. Walau bagaimanapun, satu kawasan yang sering tidak mendapat perhatian yang mencukupi ialah DNS.
Gambaran keseluruhan yang baik tentang risiko yang dibawa oleh DNS ialah Persembahan Verisign di persidangan Infosecurity.
31% daripada kelas perisian tebusan yang ditinjau menggunakan DNS untuk pertukaran kunci. Penemuan Kajian
31% daripada kelas perisian tebusan yang ditinjau menggunakan DNS untuk pertukaran kunci.
Masalahnya serius. Menurut makmal penyelidikan Unit 42 Palo Alto Networks, kira-kira 85% perisian hasad menggunakan DNS untuk mewujudkan saluran arahan dan kawalan, membolehkan penyerang menyuntik perisian hasad dengan mudah ke dalam rangkaian anda serta mencuri data. Sejak penubuhannya, trafik DNS sebahagian besarnya tidak disulitkan dan boleh dianalisis dengan mudah oleh mekanisme keselamatan NGFW.
Protokol baharu untuk DNS telah muncul bertujuan untuk meningkatkan kerahsiaan sambungan DNS. Mereka secara aktif disokong oleh vendor penyemak imbas terkemuka dan vendor perisian lain. Trafik DNS yang disulitkan tidak lama lagi akan mula berkembang dalam rangkaian korporat. Trafik DNS yang disulitkan yang tidak dianalisis dan diselesaikan dengan betul oleh alatan menimbulkan risiko keselamatan kepada syarikat. Sebagai contoh, ancaman sedemikian ialah cryptolockers yang menggunakan DNS untuk menukar kunci penyulitan. Penyerang kini menuntut wang tebusan beberapa juta dolar untuk memulihkan akses kepada data anda. Garmin, sebagai contoh, membayar $10 juta.
Apabila dikonfigurasikan dengan betul, NGFW boleh menafikan atau melindungi penggunaan DNS-over-TLS (DoT) dan boleh digunakan untuk menafikan penggunaan DNS-over-HTTPS (DoH), membenarkan semua trafik DNS pada rangkaian anda dianalisis.
Apakah DNS yang disulitkan?
Apakah itu DNS
Sistem Nama Domain (DNS) menyelesaikan nama domain yang boleh dibaca manusia (contohnya, alamat www.paloaltonetworks.com ) ke alamat IP (contohnya, 34.107.151.202). Apabila pengguna memasukkan nama domain ke dalam penyemak imbas web, penyemak imbas menghantar pertanyaan DNS ke pelayan DNS, meminta alamat IP yang dikaitkan dengan nama domain tersebut. Sebagai tindak balas, pelayan DNS mengembalikan alamat IP yang akan digunakan oleh penyemak imbas ini.
Pertanyaan dan respons DNS dihantar merentasi rangkaian dalam teks biasa, tidak disulitkan, menjadikannya terdedah kepada pengintipan atau menukar respons dan mengubah hala penyemak imbas ke pelayan berniat jahat. Penyulitan DNS menyukarkan permintaan DNS untuk dikesan atau ditukar semasa penghantaran. Menyulitkan permintaan dan respons DNS melindungi anda daripada serangan Man-in-the-Middle sambil melaksanakan fungsi yang sama seperti protokol DNS (Sistem Nama Domain) tradisional.
Sejak beberapa tahun kebelakangan ini, dua protokol penyulitan DNS telah diperkenalkan:
DNS-over-HTTPS (DoH)
DNS-over-TLS (DoT)
Protokol ini mempunyai satu persamaan: mereka sengaja menyembunyikan permintaan DNS daripada sebarang pemintasan... dan daripada pengawal keselamatan organisasi itu juga. Protokol terutamanya menggunakan TLS (Transport Layer Security) untuk mewujudkan sambungan yang disulitkan antara klien membuat pertanyaan dan pelayan menyelesaikan pertanyaan DNS melalui port yang biasanya tidak digunakan untuk trafik DNS.
Kerahsiaan pertanyaan DNS adalah kelebihan besar protokol ini. Walau bagaimanapun, ia menimbulkan masalah kepada pengawal keselamatan yang mesti memantau trafik rangkaian dan mengesan serta menyekat sambungan berniat jahat. Oleh kerana protokol berbeza dalam pelaksanaannya, kaedah analisis akan berbeza antara DoH dan DoT.
DNS melalui HTTPS (DoH)
DNS dalam HTTPS
DoH menggunakan port 443 yang terkenal untuk HTTPS, yang mana RFC secara khusus menyatakan bahawa tujuannya adalah untuk "mencampurkan trafik DoH dengan trafik HTTPS lain pada sambungan yang sama", "menyukarkan untuk menganalisis trafik DNS" dan dengan itu memintas kawalan korporat ( RFC 8484 DoH Seksyen 8.1 ). Protokol DoH menggunakan penyulitan TLS dan sintaks permintaan yang disediakan oleh standard HTTPS dan HTTP/2 biasa, menambahkan permintaan dan respons DNS di atas permintaan HTTP standard.
Risiko yang berkaitan dengan DoH
Jika anda tidak dapat membezakan trafik HTTPS biasa daripada permintaan DoH, maka aplikasi dalam organisasi anda boleh (dan akan) memintas tetapan DNS setempat dengan mengubah hala permintaan ke pelayan pihak ketiga yang bertindak balas kepada permintaan DoH, yang memintas sebarang pemantauan, iaitu, memusnahkan keupayaan untuk mengawal trafik DNS. Sebaik-baiknya, anda harus mengawal DoH menggunakan fungsi penyahsulitan HTTPS.
Sebagai penyelesaian terbaik untuk kawalan DoH, kami mengesyorkan agar anda mengkonfigurasi NGFW untuk menyahsulit trafik HTTPS dan menyekat trafik DoH (nama aplikasi: dns-over-https).
Kedua, buat peraturan untuk trafik aplikasi "dns-over-https" seperti yang ditunjukkan di bawah:
Peraturan NGFW Rangkaian Palo Alto untuk Sekat DNS-over-HTTPS
Sebagai alternatif interim (jika organisasi anda belum melaksanakan penyahsulitan HTTPS sepenuhnya), NGFW boleh dikonfigurasikan untuk menggunakan tindakan "menafikan" pada ID aplikasi "dns-over-https", tetapi kesannya akan terhad kepada menyekat telaga tertentu- pelayan DoH dikenali dengan nama domain mereka, jadi bagaimana tanpa penyahsulitan HTTPS, trafik DoH tidak boleh diperiksa sepenuhnya (lihat Applipedia dari Palo Alto Networks dan cari "dns-over-https").
DNS melalui TLS (DoT)
DNS di dalam TLS
Walaupun protokol DoH cenderung bercampur dengan trafik lain pada port yang sama, DoT sebaliknya lalai menggunakan port khas yang dikhaskan untuk tujuan tersebut, malah secara khusus tidak membenarkan port yang sama daripada digunakan oleh trafik DNS tradisional yang tidak disulitkan ( RFC 7858, Bahagian 3.1 ).
Protokol DoT menggunakan TLS untuk menyediakan penyulitan yang merangkum pertanyaan protokol DNS standard, dengan trafik menggunakan port 853 yang terkenal ( RFC 7858 seksyen 6 ). Protokol DoT direka bentuk untuk memudahkan organisasi menyekat trafik pada port, atau menerima trafik tetapi mendayakan penyahsulitan pada port tersebut.
Risiko yang berkaitan dengan DoT
Google telah melaksanakan DoT dalam pelanggannya Android 9 Pie dan lebih baharu , dengan tetapan lalai untuk menggunakan DoT secara automatik jika tersedia. Jika anda telah menilai risiko dan bersedia untuk menggunakan DoT di peringkat organisasi, maka anda perlu meminta pentadbir rangkaian secara eksplisit membenarkan trafik keluar pada port 853 melalui perimeter mereka untuk protokol baharu ini.
Memastikan keterlihatan dan kawalan trafik DoT
Sebagai amalan terbaik untuk kawalan DoT, kami mengesyorkan mana-mana perkara di atas, berdasarkan keperluan organisasi anda:
Konfigurasikan NGFW untuk menyahsulit semua trafik untuk port destinasi 853. Dengan menyahsulit trafik, DoT akan muncul sebagai aplikasi DNS yang mana anda boleh menggunakan sebarang tindakan, seperti membolehkan langganan Keselamatan DNS Rangkaian Palo Alto untuk mengawal domain DGA atau domain sedia ada DNS Sinkholing dan anti-perisian intip.
Alternatifnya ialah dengan mempunyai enjin App-ID menyekat sepenuhnya trafik 'dns-over-tls' pada port 853. Ini biasanya disekat secara lalai, tiada tindakan diperlukan (melainkan anda membenarkan aplikasi atau port 'dns-over-tls' secara khusus lalu lintas 853).