DNS-over-TLS (DoT) နှင့် DNS-over-HTTPS (DoH) ကို အသုံးပြုခြင်း၏ အန္တရာယ်များကို လျှော့ချခြင်း

DoH နှင့် DoT အသုံးပြုခြင်း၏ အန္တရာယ်များကို လျှော့ချခြင်း။

DoH နှင့် DoT ကာကွယ်မှု

သင်၏ DNS အသွားအလာကို သင်ထိန်းချုပ်ပါသလား။ အဖွဲ့အစည်းများသည် ၎င်းတို့၏ကွန်ရက်များကို လုံခြုံစေရန်အတွက် အချိန်၊ ငွေနှင့် အားထုတ်မှုများစွာကို ရင်းနှီးမြှုပ်နှံကြသည်။ သို့သော်လည်း လုံလောက်သော အာရုံစိုက်မှုမရသော ဧရိယာတစ်ခုမှာ DNS ဖြစ်သည်။

DNS ပေးဆောင်သော အန္တရာယ်များအကြောင်း ကောင်းသော ခြုံငုံသုံးသပ်ချက်မှာ Verisign တင်ပြခြင်း။ Infosecurity ညီလာခံမှာ။

စစ်တမ်းကောက်ယူထားသော ransomware အတန်းများ၏ 31% သည် သော့လဲလှယ်မှုအတွက် DNS ကိုအသုံးပြုသည်။ လေ့လာမှုတွေ့ရှိချက်များ

စစ်တမ်းကောက်ယူခဲ့သည့် ransomware အတန်းများ၏ 31% သည် သော့လဲလှယ်မှုအတွက် DNS ကို အသုံးပြုခဲ့သည်။

ပြဿနာက ပြင်းထန်တယ်။ Palo Alto Networks Unit 42 သုတေသနဓာတ်ခွဲခန်းအရ၊ ခန့်မှန်းခြေအားဖြင့် malware 85% သည် command နှင့် control channel တစ်ခုတည်ထောင်ရန် DNS ကိုအသုံးပြုပြီး တိုက်ခိုက်သူများသည် သင့်ကွန်ရက်ထဲသို့ malware များအလွယ်တကူထည့်သွင်းနိုင်သည့်အပြင် data များကိုခိုးယူနိုင်စေပါသည်။ စတင်တည်ထောင်ချိန်မှစ၍၊ DNS အသွားအလာကို ကြီးကြီးမားမား ကုဒ်ဝှက်မထားဘဲ NGFW လုံခြုံရေးယန္တရားများဖြင့် အလွယ်တကူ ခွဲခြမ်းစိတ်ဖြာနိုင်သည်။ 

DNS အတွက် ပရိုတိုကောအသစ်များသည် DNS ချိတ်ဆက်မှုများ၏ လျှို့ဝှက်မှုကို တိုးမြှင့်ရန်အတွက် ရည်ရွယ်၍ ထွက်ပေါ်လာခြင်းဖြစ်သည်။ ၎င်းတို့ကို ဦးဆောင်ဘရောက်ဆာရောင်းချသူများနှင့် အခြားဆော့ဖ်ဝဲရောင်းချသူများမှ တက်ကြွစွာပံ့ပိုးပေးပါသည်။ ကုဒ်ဝှက်ထားသော DNS လမ်းကြောင်းသည် မကြာမီတွင် ကော်ပိုရိတ်ကွန်ရက်များတွင် စတင်ကြီးထွားလာပါမည်။ ကိရိယာများဖြင့် ကောင်းစွာခွဲခြမ်းစိတ်ဖြာပြီး ဖြေရှင်းမထားသော ကုဒ်ဝှက်ထားသော DNS လမ်းကြောင်းသည် ကုမ္ပဏီတစ်ခုအတွက် လုံခြုံရေးအန္တရာယ်ဖြစ်စေသည်။ ဥပမာအားဖြင့်၊ ထိုသို့သောခြိမ်းခြောက်မှုသည် ကုဒ်ဝှက်ခြင်းသော့များလဲလှယ်ရန် DNS ကိုအသုံးပြုသည့် cryptolockers ဖြစ်သည်။ ယခုအခါ တိုက်ခိုက်သူများသည် သင့်ဒေတာကို ပြန်လည်ရယူရန် ဒေါ်လာသန်းပေါင်းများစွာ ရွေးနုတ်ဖိုးကို တောင်းဆိုနေကြသည်။ ဥပမာအားဖြင့် Garmin သည် $10 million ပေးခဲ့သည်။

စနစ်တကျပြင်ဆင်သတ်မှတ်ထားသည့်အခါ NGFW များသည် DNS-over-TLS (DoT) အသုံးပြုမှုကို ငြင်းနိုင် သို့မဟုတ် ကာကွယ်နိုင်ပြီး DNS-over-HTTPS (DoH) အသုံးပြုမှုကို ငြင်းပယ်ရန်၊ သင့်ကွန်ရက်ပေါ်ရှိ DNS အသွားအလာအားလုံးကို ခွဲခြမ်းစိတ်ဖြာရန် ခွင့်ပြုနိုင်သည်။

ကုဒ်ဝှက်ထားသော DNS ဆိုသည်မှာ အဘယ်နည်း။

DNS ဆိုတာဘာလဲ

Domain Name System (DNS) သည် လူသားဖတ်နိုင်သော ဒိုမိန်းအမည်များကို ဖြေရှင်းပေးသည် (ဥပမာ၊ လိပ်စာ www.paloaltonetworks.com ) IP လိပ်စာများသို့ (ဥပမာ၊ 34.107.151.202)။ အသုံးပြုသူတစ်ဦးသည် ဝဘ်ဘရောက်ဆာတစ်ခုသို့ ဒိုမိန်းအမည်တစ်ခုထည့်သွင်းသောအခါ၊ ဘရောက်ဆာသည် DNS ဆာဗာထံသို့ DNS မေးမြန်းမှုကို ပေးပို့ပြီး ၎င်းဒိုမိန်းအမည်နှင့် ဆက်စပ်နေသည့် IP လိပ်စာကို တောင်းဆိုပါသည်။ တုံ့ပြန်မှုအနေဖြင့်၊ DNS ဆာဗာသည် ဤဘရောက်ဆာအသုံးပြုမည့် IP လိပ်စာကို ပြန်ပေးသည်။

DNS စုံစမ်းမေးမြန်းချက်များနှင့် တုံ့ပြန်မှုများကို ရိုးရှင်းသောစာသားဖြင့် ကွန်ရက်တစ်လျှောက် ပေးပို့သည်၊ ကုဒ်ဝှက်မထားဘဲ၊ ၎င်းသည် သူလျှိုလုပ်ခြင်း သို့မဟုတ် တုံ့ပြန်မှုကို ပြောင်းလဲခြင်းနှင့် ဘရောက်ဆာအား အန္တရာယ်ရှိသော ဆာဗာများသို့ ပြန်ညွှန်းရန် အားနည်းစေသည်။ DNS ကုဒ်ဝှက်ခြင်းသည် ထုတ်လွှင့်နေစဉ်အတွင်း DNS တောင်းဆိုမှုများကို ခြေရာခံရန် သို့မဟုတ် ပြောင်းလဲရန် ခက်ခဲစေသည်။ DNS တောင်းဆိုမှုများနှင့် တုံ့ပြန်မှုများကို ကုဒ်ဝှက်ခြင်းသည် ရိုးရာ plaintext DNS (Domain Name System) ပရိုတိုကောကဲ့သို့ တူညီသောလုပ်ဆောင်နိုင်စွမ်းကို လုပ်ဆောင်နေစဉ် Man-in-the-Middle တိုက်ခိုက်မှုများမှ သင့်ကို ကာကွယ်ပေးပါသည်။ 

လွန်ခဲ့သည့်နှစ်အနည်းငယ်အတွင်း၊ DNS ကုဒ်ဝှက်ခြင်း ပရိုတိုကောနှစ်ခုကို မိတ်ဆက်ခဲ့သည်-

1. DNS-over-HTTPS (DoH)

2. DNS-over-TLS (DoT)

ဤပရိုတိုကောများတွင် တူညီသောအရာတစ်ခုရှိသည်- ၎င်းတို့သည် ကြားဖြတ်ဟန့်တားခြင်းမှ DNS တောင်းဆိုချက်များကို တမင်တကာ ဝှက်ထားသည်... နှင့် အဖွဲ့အစည်း၏ လုံခြုံရေးအစောင့်များထံမှလည်း ဝှက်ထားသည်။ ပရိုတိုကောများသည် ပုံမှန်မဟုတ်သော DNS လမ်းကြောင်းအတွက် ပုံမှန်အသုံးမပြုသော ပို့တ်တစ်ခုပေါ်ရှိ ကလိုင်းယင့်တစ်ခုမှ စုံစမ်းမေးမြန်းမှုများပြုလုပ်သည့် client နှင့် DNS မေးမြန်းမှုများကို ဖြေရှင်းသည့်ဆာဗာကြားတွင် ကုဒ်ဝှက်ထားသောချိတ်ဆက်မှုတစ်ခုတည်ဆောက်ရန် ပရိုတိုကောများသည် TLS (သယ်ယူပို့ဆောင်ရေးအလွှာလုံခြုံရေး) ကို အဓိကအသုံးပြုသည်။

DNS စုံစမ်းမှုများ၏ လျှို့ဝှက်ထားမှုသည် ဤပရိုတိုကောများ၏ ကြီးမားသောပေါင်းစပ်မှုတစ်ခုဖြစ်သည်။ သို့သော်လည်း ၎င်းတို့သည် ကွန်ရက်အသွားအလာကို စောင့်ကြည့်ကာ အန္တရာယ်ရှိသော ဆက်သွယ်မှုများကို ရှာဖွေပြီး ပိတ်ဆို့ရမည့် လုံခြုံရေးအစောင့်များအတွက် ပြဿနာများ ဖြစ်ပေါ်စေသည်။ ပရိုတိုကောများသည် ၎င်းတို့၏ အကောင်အထည်ဖော်မှုတွင် ကွဲပြားသောကြောင့်၊ ခွဲခြမ်းစိတ်ဖြာမှုနည်းလမ်းများသည် DoH နှင့် DoT အကြား ကွဲပြားမည်ဖြစ်သည်။

HTTPS (DoH) ကျော် DNS

HTTPS အတွင်းရှိ DNS

DoH သည် HTTPS အတွက် လူသိများသော ပို့တ် 443 ကို အသုံးပြုပြီး RFC သည် "တူညီသောချိတ်ဆက်မှုတွင် အခြား HTTPS အသွားအလာနှင့် DoH အသွားအလာကို ရောနှောရန်" ဟူသော ရည်ရွယ်ချက်ဖြင့် "DNS အသွားအလာကို ခွဲခြမ်းစိတ်ဖြာရန် ခက်ခဲစေသည်" နှင့် ကော်ပိုရိတ်ထိန်းချုပ်မှုများကို ရှောင်တိမ်းရန် ရည်ရွယ်ထားသည်။ ( RFC 8484 DoH အပိုင်း 8.1 ) DoH ပရိုတိုကောသည် TLS ကုဒ်ဝှက်ခြင်းအား အသုံးပြု၍ ဘုံ HTTPS နှင့် HTTP/2 စံနှုန်းများမှ ပေးဆောင်သော တောင်းဆိုချက်အထားအသိုကို အသုံးပြုကာ ပုံမှန် HTTP တောင်းဆိုမှုများ၏ထိပ်တွင် DNS တောင်းဆိုမှုများနှင့် တုံ့ပြန်မှုများကို ပေါင်းထည့်ပါသည်။

DoH နှင့်ဆက်စပ်သောအန္တရာယ်များ

DoH တောင်းဆိုမှုများမှ ပုံမှန် HTTPS အသွားအလာကို ခွဲခြား၍မရပါက၊ သင့်အဖွဲ့အစည်းအတွင်းရှိ အပလီကေးရှင်းများသည် DoH တောင်းဆိုချက်များကို တုံ့ပြန်သည့် ပြင်ပဆာဗာများသို့ တောင်းဆိုချက်များကို ပြန်လည်ညွှန်းပေးခြင်းဖြင့်၊ သင်၏အဖွဲ့အစည်းအတွင်းရှိ အပလီကေးရှင်းများသည် DoH တောင်းဆိုချက်များကို တုံ့ပြန်သည့် ပြင်ပဆာဗာများသို့ လမ်းကြောင်းလွဲပေးခြင်းဖြင့်၊ DNS လမ်းကြောင်းကို ထိန်းချုပ်ပါ။ အကောင်းဆုံးကတော့ HTTPS ကုဒ်ဝှက်ခြင်းလုပ်ဆောင်ချက်တွေကို အသုံးပြုပြီး DoH ကို ထိန်းချုပ်သင့်ပါတယ်။ 

И Google နှင့် Mozilla တို့သည် DoH စွမ်းရည်များကို အကောင်အထည်ဖော်ခဲ့သည်။ ၎င်းတို့၏ဘရောက်ဆာများ၏နောက်ဆုံးဗားရှင်းတွင်ဖြစ်ပြီး၊ ကုမ္ပဏီနှစ်ခုစလုံးသည် DNS တောင်းဆိုမှုအားလုံးအတွက် ပုံမှန်အားဖြင့် DoH ကိုအသုံးပြုရန် လုပ်ဆောင်နေပါသည်။ Microsoft ကလည်း အစီအစဉ်တွေ ရေးဆွဲနေပါတယ်။ DoH ကို ၎င်းတို့၏လည်ပတ်မှုစနစ်များတွင် ပေါင်းစည်းခြင်းအပေါ်။ အားနည်းချက်မှာ ဂုဏ်သိက္ခာရှိသော ဆော့ဖ်ဝဲလ်ကုမ္ပဏီများသာမက တိုက်ခိုက်သူများသည် ရိုးရာကော်ပိုရိတ် firewall အစီအမံများကို ကျော်လွှားခြင်းနည်းလမ်းအဖြစ် DoH ကို စတင်အသုံးပြုလာကြသည်။ (ဥပမာ၊ အောက်ပါဆောင်းပါးများကို သုံးသပ်ပါ။ ယခု PsiXBot သည် Google DoH ကိုအသုံးပြုသည်။ , PsiXBot သည် မွမ်းမံထားသော DNS အခြေခံအဆောက်အအုံဖြင့် ဆက်လက်တိုးတက်နေပါသည်။ и Godlua backdoor ခွဲခြမ်းစိတ်ဖြာ .) မည်သည့်အခြေအနေမျိုးတွင်မဆို၊ ကောင်းမွန်သောနှင့် အန္တရာယ်ရှိသော DoH လမ်းကြောင်းနှစ်ခုစလုံးသည် ရှာဖွေတွေ့ရှိခြင်းမရှိတော့ဘဲ အဖွဲ့အစည်းအား Malware (C2) ကို ထိန်းချုပ်ရန်နှင့် အရေးကြီးသောဒေတာကို ခိုးယူရန်အတွက် DoH ကို အန္တရာယ်ဖြစ်စေသောပြွန်တစ်ခုအဖြစ် အသုံးပြုခြင်းကို မျက်ကွယ်ပြုစေမည်ဖြစ်သည်။

DoH အသွားအလာကို မြင်နိုင်စွမ်းနှင့် ထိန်းချုပ်မှုသေချာစေခြင်း။

DoH ထိန်းချုပ်မှုအတွက် အကောင်းဆုံးဖြေရှင်းချက်အနေဖြင့် HTTPS အသွားအလာကို ကုဒ်ဝှက်ရန်နှင့် DoH အသွားအလာ (အပလီကေးရှင်းအမည်- dns-over-https). 

ဦးစွာ၊ အဆိုအရ NGFW သည် HTTPS ကို ကုဒ်ဝှက်ရန် ပြင်ဆင်ထားကြောင်း သေချာပါစေ။ အကောင်းဆုံး စာဝှက်စနစ်အတွက် လမ်းညွှန်ချက်.

ဒုတိယ၊ အောက်ဖော်ပြပါအတိုင်း အပလီကေးရှင်းအသွားအလာ "dns-over-https" အတွက် စည်းမျဉ်းတစ်ခု ဖန်တီးပါ။

DNS-over-HTTPS ကိုပိတ်ဆို့ရန် Palo Alto Networks NGFW စည်းမျဉ်း

ကြားဖြတ်အခြားရွေးချယ်စရာတစ်ခုအနေဖြင့် (သင်၏အဖွဲ့အစည်းသည် HTTPS ကုဒ်ဝှက်ခြင်းကို အပြည့်အဝအကောင်အထည်မဖော်ပါက)၊ NGFW သည် "dns-over-https" အက်ပ်အိုင်ဒီသို့ "ငြင်းဆိုခြင်း" လုပ်ဆောင်ချက်ကို အသုံးပြုရန် NGFW ကို ပြင်ဆင်သတ်မှတ်နိုင်သော်လည်း အကျိုးသက်ရောက်မှုအချို့ကို ပိတ်ဆို့ရန်အတွက် ကန့်သတ်ထားမည်ဖြစ်သည်။ DoH ဆာဗာများကို ၎င်းတို့၏ ဒိုမိန်းအမည်ဖြင့် သိထားသောကြောင့် HTTPS ကုဒ်ဝှက်ခြင်းမရှိဘဲ DoH အသွားအလာကို အပြည့်အဝ စစ်ဆေးနိုင်မည် မဟုတ်ပါ (ကြည့်ရှုပါ။  Palo Alto Networks မှ Applipedia   "dns-over-https") ကိုရှာပါ။

TLS (DoT) ကျော် DNS

TLS အတွင်းရှိ DNS

DoH ပရိုတိုကောသည် တူညီသောဆိပ်ကမ်းရှိ အခြားအသွားအလာများနှင့် ရောနှောလေ့ရှိသော်လည်း၊ DoT သည် အဆိုပါတစ်ခုတည်းသောရည်ရွယ်ချက်အတွက် သီးသန့်ဆိပ်ကမ်းကို အသုံးပြုရန် ပုံသေသတ်မှတ်ထားပြီး တူညီသောဆိပ်ကမ်းကို ရိုးရာကုဒ်မထားသော DNS အသွားအလာမှ အသုံးပြုခြင်းမှ တားမြစ်ထားသည် ( RFC 7858၊ အပိုင်း 3.1 ).

DoT ပရိုတိုကောသည် လူသိများသော ပို့တ် 853 (သို့) အသုံးပြု၍ သွားလာမှုနှင့်အတူ စံ DNS ပရိုတိုကော မေးမြန်းချက်များကို ဖုံးကွယ်ထားသည့် ကုဒ်ဝှက်ခြင်းကို ပံ့ပိုးပေးရန် TLS ကို အသုံးပြုသည်။ RFC 7858 ပုဒ်မ ၆ ) DoT ပရိုတိုကောသည် အဖွဲ့အစည်းများအတွက် ဆိပ်ကမ်းတစ်ခုပေါ်တွင် အသွားအလာကို ပိတ်ဆို့ရန် သို့မဟုတ် အသွားအလာကို လက်ခံသော်လည်း ထို port တွင် ကုဒ်စာဝှက်ကို ဖွင့်ရန် ပိုမိုလွယ်ကူစေရန် ဒီဇိုင်းထုတ်ထားသည်။

DoT နှင့်ဆက်စပ်သောအန္တရာယ်များ

Google သည် ၎င်း၏ client တွင် DoT ကို အကောင်အထည်ဖော်ခဲ့သည်။ Android 9 Pie နှင့် နောက်ပိုင်းဗားရှင်းများ ရရှိနိုင်ပါက DoT အလိုအလျောက်အသုံးပြုရန် မူရင်းဆက်တင်ဖြင့်။ အကယ်၍ သင်သည် အန္တရာယ်များကို အကဲဖြတ်ပြီး အဖွဲ့အစည်းအဆင့်တွင် DoT ကို အသုံးပြုရန် အဆင်သင့်ဖြစ်ပါက၊ ဤပရိုတိုကောအသစ်အတွက် ဆိပ်ကမ်း 853 တွင် ၎င်းတို့၏ ပတ်၀န်းကျင်တစ်လျှောက် ကွန်ရက်စီမံခန့်ခွဲသူများသည် ပြင်ပအသွားအလာကို ပြတ်သားစွာ ခွင့်ပြုရန် လိုအပ်ပါသည်။

DoT အသွားအလာကို မြင်နိုင်စွမ်းနှင့် ထိန်းချုပ်မှုသေချာစေခြင်း။

DoT ထိန်းချုပ်မှုအတွက် အကောင်းဆုံး အလေ့အကျင့်တစ်ခုအနေဖြင့် သင့်အဖွဲ့အစည်း၏ လိုအပ်ချက်များအပေါ် အခြေခံ၍ အထက်ဖော်ပြပါများထဲမှ တစ်ခုခုကို အကြံပြုလိုသည်-

• ဦးတည်ရာ ပို့တ် 853 အတွက် အသွားအလာအားလုံးကို ကုဒ်ဝှက်ရန် NGFW ကို စီစဉ်သတ်မှတ်ပါ။ အသွားအလာကို ကုဒ်ဝှက်ခြင်းဖြင့် DoT သည် စာရင်းသွင်းမှုဖွင့်ခြင်းကဲ့သို့ မည်သည့်လုပ်ဆောင်ချက်ကိုမဆို သင်အသုံးပြုနိုင်သည့် DNS အပလီကေးရှင်းတစ်ခုအဖြစ် ပေါ်လာပါမည်။ Palo Alto Networks DNS လုံခြုံရေး DGA ဒိုမိန်းများ သို့မဟုတ် ရှိပြီးသားတစ်ခုကို ထိန်းချုပ်ရန် DNS Sinkholing နှင့် anti-Spyware

• အခြားရွေးချယ်စရာတစ်ခုမှာ App-ID အင်ဂျင်သည် port 853 တွင် 'dns-over-tls' အသွားအလာကို လုံးဝပိတ်ဆို့ထားရန်ဖြစ်သည်။ ၎င်းကို ပုံမှန်အားဖြင့် ပိတ်ဆို့ထားပြီး မည်သည့်လုပ်ဆောင်ချက်မျှ မလိုအပ်ပါ ('dns-over-tls' အပလီကေးရှင်း သို့မဟုတ် ဆိပ်ကမ်းအသွားအလာကို အထူးခွင့်ပြုမထားပါက၊ ၈၅၃)။

source: www.habr.com