It-tnaqqis tar-riskji tal-użu tad-DoH u d-DoT
Protezzjoni DoH u DoT
Tikkontrolla t-traffiku tad-DNS tiegħek? L-organizzazzjonijiet jinvestu ħafna ħin, flus u sforz biex jiżguraw in-netwerks tagħhom. Madankollu, qasam wieħed li ħafna drabi ma jġibx biżżejjed attenzjoni huwa d-DNS.
Ħarsa ġenerali tajba tar-riskji li ġġib id-DNS hija fil-konferenza Infosecurity.
31% tal-klassijiet tar-ransomware mistħarrġa użaw DNS għall-iskambju taċ-ċavetta
31% tal-klassijiet tar-ransomware mistħarrġa użaw DNS għall-iskambju taċ-ċavetta.
Il-problema hija serja. Skont Palo Alto Networks Unit 42 laboratorju ta 'riċerka, madwar 85% tal-malware juża DNS biex jistabbilixxi kanal ta' kmand u kontroll, li jippermetti lill-attakkanti jinjettaw faċilment malware fin-netwerk tiegħek kif ukoll jisirqu d-dejta. Sa mill-bidu tiegħu, it-traffiku tad-DNS kien fil-biċċa l-kbira mhux kriptat u jista 'jiġi analizzat faċilment minn mekkaniżmi ta' sigurtà NGFW.
Tfaċċaw protokolli ġodda għad-DNS bil-għan li tiżdied il-kunfidenzjalità tal-konnessjonijiet tad-DNS. Huma appoġġjati b'mod attiv minn bejjiegħa ewlenin tal-brawżers u bejjiegħa oħra tas-softwer. It-traffiku tad-DNS encrypted dalwaqt jibda jikber fin-netwerks korporattivi. It-traffiku tad-DNS kriptat li ma jiġix analizzat u solvut sew b'għodod joħloq riskju għas-sigurtà għal kumpanija. Pereżempju, theddida bħal din hija cryptolockers li jużaw DNS biex jiskambjaw ċwievet ta 'encryption. L-attakkanti issa qed jitolbu fidwa ta’ diversi miljuni ta’ dollari biex jirrestawraw l-aċċess għad-dejta tiegħek. Garmin, pereżempju, ħallset $10 miljun.
Meta kkonfigurati sew, NGFWs jistgħu jiċħdu jew jipproteġu l-użu ta 'DNS-over-TLS (DoT) u jistgħu jintużaw biex jiċħdu l-użu ta' DNS-over-HTTPS (DoH), li jippermettu li jiġi analizzat it-traffiku DNS kollu fuq in-netwerk tiegħek.
X'inhu DNS encrypted?
X'inhu DNS
Is-Sistema tal-Ismijiet tad-Dominju (DNS) issolvi l-ismijiet tad-dominju li jinqraw mill-bniedem (per eżempju, l-indirizz ) għal indirizzi IP (pereżempju, 34.107.151.202). Meta utent idaħħal isem ta' dominju f'web browser, il-browser jibgħat mistoqsija DNS lis-server DNS, u jitlob l-indirizz IP assoċjat ma' dak l-isem tad-dominju. Bi tweġiba, is-server DNS jirritorna l-indirizz IP li dan il-browser se juża.
Mistoqsijiet u tweġibiet tad-DNS jintbagħtu madwar in-netwerk f'test sempliċi, mhux kriptat, li jagħmilha vulnerabbli għall-ispjunjar jew il-bidla tar-rispons u direzzjoni mill-ġdid tal-browser għal servers malizzjużi. Il-kriptaġġ tad-DNS jagħmilha diffiċli biex it-talbiet tad-DNS jiġu ssorveljati jew mibdula waqt it-trażmissjoni. Il-kriptaġġ tat-talbiet u r-risposti tad-DNS jipproteġik minn attakki Man-in-the-Middle filwaqt li twettaq l-istess funzjonalità bħall-protokoll tradizzjonali tad-DNS (Domain Name System).
Matul l-aħħar ftit snin, ġew introdotti żewġ protokolli ta' encryption DNS:
-
DNS-over-HTTPS (DoH)
-
DNS-over-TLS (DoT)
Dawn il-protokolli għandhom ħaġa waħda komuni: jaħbu deliberatament it-talbiet tad-DNS minn kwalunkwe interċettazzjoni... u mill-gwardji tas-sigurtà tal-organizzazzjoni wkoll. Il-protokolli jużaw primarjament TLS (Transport Layer Security) biex jistabbilixxu konnessjoni kriptata bejn klijent li jagħmel mistoqsijiet u server li jsolvi mistoqsijiet DNS fuq port li normalment ma jintużax għat-traffiku DNS.
Il-kunfidenzjalità tal-mistoqsijiet DNS hija vantaġġ kbir ta 'dawn il-protokolli. Madankollu, huma joħolqu problemi għall-gwardji tas-sigurtà li għandhom jimmonitorjaw it-traffiku tan-netwerk u jiskopru u jimblokkaw konnessjonijiet malizzjużi. Minħabba li l-protokolli jvarjaw fl-implimentazzjoni tagħhom, il-metodi ta 'analiżi se jvarjaw bejn DoH u DoT.
DNS fuq HTTPS (DoH)
DNS ġewwa HTTPS
DoH juża l-port magħruf 443 għall-HTTPS, li għalih l-RFC speċifikament jiddikjara li l-intenzjoni hija li "tħallat traffiku DoH ma 'traffiku HTTPS ieħor fuq l-istess konnessjoni", "tagħmilha diffiċli biex tanalizza t-traffiku DNS" u b'hekk tevita l-kontrolli korporattivi. ( ). Il-protokoll DoH juża encryption TLS u s-sintassi tat-talba pprovduta mill-istandards komuni HTTPS u HTTP/2, u jżid talbiet u tweġibiet DNS fuq talbiet HTTP standard.
Riskji assoċjati mad-DoH
Jekk ma tistax tiddistingwi t-traffiku HTTPS regolari minn talbiet DoH, allura l-applikazzjonijiet fi ħdan l-organizzazzjoni tiegħek jistgħu (u ser) jaħarbu l-issettjar tad-DNS lokali billi jerġgħu jidderieġu t-talbiet lil servers ta’ partijiet terzi li jirrispondu għal talbiet DoH, li jevita kwalunkwe monitoraġġ, jiġifieri, jeqred il-kapaċità li tikkontrolla t-traffiku DNS. Idealment, għandek tikkontrolla DoH billi tuża funzjonijiet ta 'deċifrar HTTPS.
И fl-aħħar verżjoni tal-browsers tagħhom, u ż-żewġ kumpaniji qed jaħdmu biex jużaw id-DoH awtomatikament għat-talbiet kollha tad-DNS. dwar l-integrazzjoni tad-DoH fis-sistemi operattivi tagħhom. L-iżvantaġġ huwa li mhux biss il-kumpaniji tas-softwer ta 'fama, iżda wkoll l-attakkanti bdew jużaw id-DoH bħala mezz biex jinjoraw il-miżuri tal-firewall korporattivi tradizzjonali. (Pereżempju, irrevedi l-artikoli li ġejjin: , и .) Fi kwalunkwe każ, kemm it-traffiku DoH tajjeb kif ukoll malizzjuż ma jindunax, u jħalli lill-organizzazzjoni għama għall-użu malizzjuż tad-DoH bħala kondjuwit biex tikkontrolla l-malware (C2) u tisraq dejta sensittiva.
L-iżgurar tal-viżibilità u l-kontroll tat-traffiku tad-DoH
Bħala l-aħjar soluzzjoni għall-kontroll DoH, nirrakkomandaw li tikkonfigura NGFW biex jiddeċifra t-traffiku HTTPS u jimblokka t-traffiku DoH (isem l-applikazzjoni: dns-over-https).
L-ewwel, kun żgur li NGFW huwa kkonfigurat biex jiddeċifra HTTPS, skond .
It-tieni, oħloq regola għat-traffiku tal-applikazzjoni "dns-over-https" kif muri hawn taħt:
Palo Alto Networks NGFW Regola biex Imblokka DNS-over-HTTPS
Bħala alternattiva interim (jekk l-organizzazzjoni tiegħek ma implimentatx bis-sħiħ id-dekriptaġġ HTTPS), NGFW jista' jiġi kkonfigurat biex japplika azzjoni ta' "ċaħda" għall-ID tal-applikazzjoni "dns-over-https", iżda l-effett se jkun limitat għall-imblukkar ta' ċerti well- servers DoH magħrufa bl-isem tad-dominju tagħhom, allura kif mingħajr decryption HTTPS, it-traffiku DoH ma jistax jiġi spezzjonat bis-sħiħ (ara u fittex "dns-over-https").
DNS fuq TLS (DoT)
DNS ġewwa TLS
Filwaqt li l-protokoll DoH għandu tendenza li jitħallat ma 'traffiku ieħor fuq l-istess port, id-DoT minflok ma jużax port speċjali riżervat għal dak l-iskop uniku, anke speċifikament ma jippermettix li l-istess port jintuża minn traffiku DNS tradizzjonali mhux encrypted ( ).
Il-protokoll DoT juża TLS biex jipprovdi kriptaġġ li jiġbor mistoqsijiet standard dwar protokoll DNS, bit-traffiku juża l-port magħruf 853 ( ). Il-protokoll DoT kien iddisinjat biex jagħmilha aktar faċli għall-organizzazzjonijiet li jimblukkaw it-traffiku fuq port, jew jaċċettaw it-traffiku iżda jippermettu d-deċifrar fuq dak il-port.
Riskji assoċjati mad-DoT
Google implimentat DoT fil-klijent tagħha , bl-issettjar default biex awtomatikament juża DoT jekk disponibbli. Jekk ivvalutajt ir-riskji u lest biex tuża DoT fil-livell organizzattiv, allura jeħtieġ li jkollok amministraturi tan-netwerk espliċitament jippermettu t-traffiku 'l barra fuq il-port 853 permezz tal-perimetru tagħhom għal dan il-protokoll il-ġdid.
L-iżgurar tal-viżibilità u l-kontroll tat-traffiku DoT
Bħala l-aħjar prattika għall-kontroll DoT, nirrakkomandaw kwalunkwe minn dawn ta' hawn fuq, ibbażati fuq ir-rekwiżiti tal-organizzazzjoni tiegħek:
-
Ikkonfigura NGFW biex jiddeċifra t-traffiku kollu għall-port tad-destinazzjoni 853. Billi jiddeċifra t-traffiku, id-DoT se jidher bħala applikazzjoni DNS li għaliha tista' tapplika kwalunkwe azzjoni, bħall-abilitazzjoni tal-abbonament biex jikkontrollaw dominji DGA jew wieħed eżistenti u anti-spyware.
-
Alternattiva hija li l-magna tal-App-ID timblokka kompletament it-traffiku 'dns-over-tls' fuq il-port 853. Dan normalment ikun imblukkat b'mod awtomatiku, ma tkun meħtieġa l-ebda azzjoni (sakemm ma tippermettix speċifikament l-applikazzjoni jew il-port 'dns-over-tls' traffiku 853).
Sors: www.habr.com