🥇 DNS-over-TLS (DoT) र DNS-over-HTTPS (DoH) प्रयोग गर्ने जोखिमहरू न्यूनीकरण गर्दै

DoH र DoT प्रयोग गर्ने जोखिमहरू कम गर्दै

DoH र DoT सुरक्षा

के तपाइँ तपाइँको DNS ट्राफिक नियन्त्रण गर्नुहुन्छ? संगठनहरूले आफ्नो नेटवर्कहरू सुरक्षित गर्न धेरै समय, पैसा र प्रयास लगानी गर्छन्। यद्यपि, एक क्षेत्र जुन प्रायः पर्याप्त ध्यान नदिने DNS हो।

DNS ले ल्याउने जोखिमहरूको राम्रो सिंहावलोकन हो Verisign प्रस्तुति सूचना सुरक्षा सम्मेलनमा।

सर्वेक्षण गरिएका 31% ransomware वर्गहरूले कुञ्जी विनिमयको लागि DNS प्रयोग गरे। अध्ययन निष्कर्षहरू

सर्वेक्षण गरिएको 31% ransomware वर्गहरूले कुञ्जी विनिमयको लागि DNS प्रयोग गरे।

समस्या गम्भीर छ। Palo Alto Networks Unit 42 रिसर्च ल्याबका अनुसार, लगभग 85% मालवेयरले कमांड र कन्ट्रोल च्यानल स्थापना गर्न DNS प्रयोग गर्दछ, जसले आक्रमणकारीहरूलाई सजिलैसँग तपाईंको नेटवर्कमा मालवेयर इन्जेक्ट गर्न र डाटा चोरी गर्न अनुमति दिन्छ। यसको स्थापना पछि, DNS ट्राफिक ठूलो मात्रामा एन्क्रिप्टेड गरिएको छ र NGFW सुरक्षा संयन्त्रहरू द्वारा सजिलै विश्लेषण गर्न सकिन्छ।

DNS का लागि नयाँ प्रोटोकलहरू DNS जडानहरूको गोपनीयता बढाउने उद्देश्यले देखा परेको छ। तिनीहरू सक्रिय रूपमा अग्रणी ब्राउजर विक्रेताहरू र अन्य सफ्टवेयर विक्रेताहरू द्वारा समर्थित छन्। ईन्क्रिप्टेड DNS ट्राफिक चाँडै कर्पोरेट नेटवर्कहरूमा बढ्न सुरु हुनेछ। ईन्क्रिप्टेड DNS ट्राफिक जुन ठीकसँग विश्लेषण गरिएको छैन र उपकरणहरूद्वारा समाधान गरिएको छैन कम्पनीको लागि सुरक्षा जोखिम हुन्छ। उदाहरणका लागि, यस्तो खतरा क्रिप्टोलोकरहरू हो जसले एन्क्रिप्शन कुञ्जीहरू आदानप्रदान गर्न DNS प्रयोग गर्दछ। आक्रमणकारीहरूले अब तपाईंको डाटामा पहुँच पुनर्स्थापित गर्न लाखौं डलरको फिरौती मागिरहेका छन्। गार्मिन, उदाहरणका लागि, $ 10 मिलियन तिर्यो।

ठीकसँग कन्फिगर गर्दा, NGFWs ले DNS-over-TLS (DoT) को प्रयोगलाई अस्वीकार वा सुरक्षा गर्न सक्छ र DNS-over-HTTPS (DoH) को प्रयोगलाई अस्वीकार गर्न प्रयोग गर्न सकिन्छ, तपाईंको नेटवर्कमा सबै DNS ट्राफिकलाई विश्लेषण गर्न अनुमति दिँदै।

एन्क्रिप्टेड DNS के हो?

DNS के हो

डोमेन नाम प्रणाली (DNS) ले मानव-पढ्न सकिने डोमेन नामहरू (उदाहरणका लागि, ठेगाना) समाधान गर्छ www.paloaltonetworks.com ) IP ठेगानाहरूमा (उदाहरणका लागि, 34.107.151.202)। जब प्रयोगकर्ताले वेब ब्राउजरमा डोमेन नाम प्रविष्ट गर्छ, ब्राउजरले DNS सर्भरमा DNS क्वेरी पठाउँछ, त्यो डोमेन नामसँग सम्बन्धित IP ठेगानाको लागि सोध्छ। प्रतिक्रियामा, DNS सर्भरले IP ठेगाना फिर्ता गर्छ जुन यो ब्राउजरले प्रयोग गर्नेछ।

DNS प्रश्नहरू र प्रतिक्रियाहरू नेटवर्कमा सादा पाठमा पठाइन्छ, एन्क्रिप्ट नगरिएको, यसलाई जासुसी गर्न वा प्रतिक्रिया परिवर्तन गर्न र ब्राउजरलाई दुर्भावनापूर्ण सर्भरहरूमा रिडिरेक्ट गर्नको लागि कमजोर बनाउँछ। DNS इन्क्रिप्सनले DNS अनुरोधहरूलाई ट्र्याक गर्न वा प्रसारणको समयमा परिवर्तन गर्न गाह्रो बनाउँछ। DNS अनुरोधहरू र प्रतिक्रियाहरू इन्क्रिप्ट गर्नाले पारंपरिक प्लेनटेक्स्ट DNS (डोमेन नेम सिस्टम) प्रोटोकलको रूपमा समान कार्यक्षमता प्रदर्शन गर्दा म्यान-इन-द-मिडल आक्रमणहरूबाट तपाईंलाई बचाउँछ।

विगत केही वर्षहरूमा, दुई DNS एन्क्रिप्शन प्रोटोकलहरू प्रस्तुत गरिएको छ:

DNS-over-HTTPS (DoH)
DNS-over-TLS (DoT)

यी प्रोटोकलहरूमा एउटा कुरा समान छ: तिनीहरूले जानाजानी कुनै पनि अवरोधबाट DNS अनुरोधहरू लुकाउँछन्... र संगठनका सुरक्षा गार्डहरूबाट पनि। प्रोटोकलहरूले मुख्य रूपमा TLS (ट्रान्सपोर्ट लेयर सेक्युरिटी) को प्रयोग गर्दछ क्लाइन्ट बनाउने प्रश्नहरू र DNS ट्राफिकको लागि सामान्यतया प्रयोग नगरिएको पोर्टमा DNS प्रश्नहरू समाधान गर्ने सर्भर बीचको इन्क्रिप्टेड जडान स्थापना गर्न।

DNS प्रश्नहरूको गोपनीयता यी प्रोटोकलहरूको ठूलो प्लस हो। यद्यपि, तिनीहरूले सुरक्षा गार्डहरूका लागि समस्याहरू खडा गर्छन् जसले नेटवर्क ट्राफिकको निगरानी गर्नुपर्छ र दुर्भावनापूर्ण जडानहरू पत्ता लगाउन र ब्लक गर्नुपर्छ। किनभने प्रोटोकलहरू तिनीहरूको कार्यान्वयनमा भिन्न हुन्छन्, विश्लेषण विधिहरू DoH र DoT बीच फरक हुनेछन्।

HTTPS (DoH) मा DNS

HTTPS भित्र DNS

DoH ले HTTPS का लागि प्रख्यात पोर्ट 443 प्रयोग गर्दछ, जसको लागि RFC ले विशेष रूपमा बताउँछ कि "उही जडानमा अन्य HTTPS ट्राफिकसँग DoH ट्राफिक मिक्स गर्ने", "DNS ट्राफिकको विश्लेषण गर्न गाह्रो बनाउने" र यसरी कर्पोरेट नियन्त्रणहरूलाई बेवास्ता गर्ने। ( RFC 8484 DoH खण्ड 8.1 )। DoH प्रोटोकलले TLS एन्क्रिप्शन र सामान्य HTTPS र HTTP/2 मापदण्डहरूद्वारा प्रदान गरिएको अनुरोध सिन्ट्याक्स प्रयोग गर्दछ, मानक HTTP अनुरोधहरूको शीर्षमा DNS अनुरोधहरू र प्रतिक्रियाहरू थप्दै।

DoH सँग सम्बन्धित जोखिमहरू

यदि तपाइँ DoH अनुरोधहरूबाट नियमित HTTPS ट्राफिक छुट्याउन सक्नुहुन्न भने, तपाइँको संगठन भित्रका अनुप्रयोगहरूले स्थानीय DNS सेटिङहरू बाइपास गर्न सक्छन् (र हुनेछ) DoH अनुरोधहरूको जवाफ दिने तेस्रो-पक्ष सर्भरहरूमा अनुरोधहरू रिडिरेक्ट गरेर, जसले कुनै पनि निगरानीलाई बाइपास गर्दछ, अर्थात्, क्षमतालाई नष्ट गर्दछ। DNS यातायात नियन्त्रण। आदर्श रूपमा, तपाईंले HTTPS डिक्रिप्शन प्रकार्यहरू प्रयोग गरेर DoH नियन्त्रण गर्नुपर्छ।

И गुगल र मोजिलाले DoH क्षमताहरू लागू गरेका छन् तिनीहरूको ब्राउजरको नवीनतम संस्करणमा, र दुबै कम्पनीहरूले सबै DNS अनुरोधहरूको लागि पूर्वनिर्धारित रूपमा DoH प्रयोग गर्न काम गरिरहेका छन्। माइक्रोसफ्टले पनि योजनाहरू विकास गरिरहेको छ DoH लाई तिनीहरूको अपरेटिङ सिस्टमहरूमा एकीकृत गर्नमा। नकारात्मक पक्ष यो हो कि प्रतिष्ठित सफ्टवेयर कम्पनीहरू मात्र होइन, तर आक्रमणकारीहरूले पनि पारंपरिक कर्पोरेट फायरवाल उपायहरू बाइपास गर्ने माध्यमको रूपमा DoH प्रयोग गर्न थालेका छन्। (उदाहरणका लागि, निम्न लेखहरू समीक्षा गर्नुहोस्: PsiXBot अब Google DoH प्रयोग गर्दछ , PsiXBot अपडेट गरिएको DNS पूर्वाधारको साथ विकसित हुन जारी छ и Godlua ब्याकडोर विश्लेषण .) दुबै अवस्थामा, दुबै राम्रो र खराब DoH ट्राफिक पत्ता लगाउन नसकिनेछ, जसले संगठनलाई मालवेयर (C2) नियन्त्रण गर्न र संवेदनशील डेटा चोरी गर्न कन्ड्युटको रूपमा DoH को खराब प्रयोगमा अन्धो बनाउँछ।

DoH ट्राफिकको दृश्यता र नियन्त्रण सुनिश्चित गर्दै

DoH नियन्त्रणको लागि उत्तम समाधानको रूपमा, हामी NGFW लाई HTTPS ट्राफिक डिक्रिप्ट गर्न र DoH ट्राफिक (एप्लिकेशनको नाम: dns-over-https) लाई रोक्न सिफारिस गर्छौं।

पहिले, निश्चित गर्नुहोस् कि NGFW HTTPS डिक्रिप्ट गर्न कन्फिगर गरिएको छ, अनुसार उत्तम डिक्रिप्शन प्रविधिहरूको लागि गाइड.

दोस्रो, तल देखाइए अनुसार एप्लिकेसन ट्राफिक "dns-over-https" को लागी नियम बनाउनुहोस्:

Palo Alto Networks NGFW नियम DNS-over-HTTPS ब्लक गर्न

अन्तरिम विकल्पको रूपमा (यदि तपाइँको संगठनले HTTPS डिक्रिप्शन पूर्ण रूपमा लागू गरेको छैन भने), NGFW लाई "dns-over-https" अनुप्रयोग ID मा "अस्वीकार" कार्य लागू गर्न कन्फिगर गर्न सकिन्छ, तर प्रभाव निश्चित राम्रो-अवरोध गर्नमा सीमित हुनेछ। DoH सर्भरहरूलाई तिनीहरूको डोमेन नामद्वारा चिनिन्छ, त्यसैले कसरी HTTPS डिक्रिप्शन बिना, DoH ट्राफिक पूर्ण रूपमा निरीक्षण गर्न सकिँदैन (हेर्नुहोस् पालो अल्टो नेटवर्क्सबाट एपिपिडिया र "dns-over-https" खोज्नुहोस्)।

TLS (DoT) मा DNS

TLS भित्र DNS

जबकि DoH प्रोटोकल एउटै पोर्टमा अन्य ट्राफिकसँग मिल्न जान्छ, DoT ले त्यो एकमात्र उद्देश्यको लागि आरक्षित विशेष पोर्ट प्रयोग गर्नको लागि पूर्वनिर्धारित गर्दछ, विशेष गरी एउटै पोर्टलाई परम्परागत अनइन्क्रिप्टेड DNS ट्राफिक द्वारा प्रयोग गर्न अस्वीकार गर्दै ( RFC 7858, खण्ड 3.1 ).

DoT प्रोटोकलले एन्क्रिप्शन प्रदान गर्न TLS को प्रयोग गर्दछ जसले मानक DNS प्रोटोकल प्रश्नहरू समावेश गर्दछ, ट्राफिकसँग प्रख्यात पोर्ट 853 ( RFC 7858 खण्ड 6 )। DoT प्रोटोकल संगठनहरूलाई पोर्टमा ट्राफिक रोक्न, वा ट्राफिक स्वीकार गर्न तर त्यो पोर्टमा डिक्रिप्शन सक्षम गर्न सजिलो बनाउन डिजाइन गरिएको थियो।

DoT सँग सम्बन्धित जोखिमहरू

Google ले आफ्नो ग्राहकमा DoT लागू गरेको छ एन्ड्रोइड 9 पाई र पछि , उपलब्ध भएमा स्वतः DoT प्रयोग गर्न पूर्वनिर्धारित सेटिङको साथ। यदि तपाईंले जोखिमहरूको मूल्याङ्कन गर्नुभएको छ र संगठनात्मक स्तरमा DoT प्रयोग गर्न तयार हुनुहुन्छ भने, तपाईंले नेटवर्क प्रशासकहरूलाई यस नयाँ प्रोटोकलको लागि तिनीहरूको परिधि मार्फत पोर्ट 853 मा आउटबाउन्ड ट्राफिकलाई स्पष्ट रूपमा अनुमति दिन आवश्यक छ।

DoT ट्राफिकको दृश्यता र नियन्त्रण सुनिश्चित गर्दै

DoT नियन्त्रणको लागि उत्तम अभ्यासको रूपमा, हामी तपाईंको संगठनको आवश्यकताहरूको आधारमा माथिको कुनै पनि सिफारिस गर्छौं:

गन्तव्य पोर्ट 853 को लागि सबै ट्राफिक डिक्रिप्ट गर्न NGFW कन्फिगर गर्नुहोस्। ट्राफिक डिक्रिप्ट गरेर, DoT एक DNS अनुप्रयोगको रूपमा देखा पर्नेछ जसमा तपाईंले सदस्यता सक्षम गर्ने जस्ता कार्यहरू लागू गर्न सक्नुहुन्छ। पालो अल्टो नेटवर्क DNS सुरक्षा DGA डोमेन वा अवस्थित एक नियन्त्रण गर्न DNS Sinkholing र विरोधी स्पायवेयर।
एउटा विकल्प भनेको एप-आईडी इन्जिनले पोर्ट ८५३ मा 'dns-over-tls' ट्राफिकलाई पूर्ण रूपमा अवरुद्ध गर्नु हो। यो सामान्यतया पूर्वनिर्धारित रूपमा अवरुद्ध हुन्छ, कुनै कारबाही आवश्यक पर्दैन (जबसम्म तपाईंले 'dns-over-tls' अनुप्रयोग वा पोर्टलाई विशेष रूपमा अनुमति दिनुहुन्न। यातायात 853)।

स्रोत: www.habr.com

DNS-over-TLS (DoT) र DNS-over-HTTPS (DoH) प्रयोग गर्ने जोखिमहरू कम गर्दै