Minimere risikoen ved bruk av DNS-over-TLS (DoT) og DNS-over-HTTPS (DoH)

Minimere risikoen ved bruk av DoH og DoT

DoH og DoT-beskyttelse

Kontrollerer du DNS-trafikken din? Organisasjoner investerer mye tid, penger og krefter på å sikre nettverkene sine. Et område som ofte ikke får nok oppmerksomhet er imidlertid DNS.

En god oversikt over risikoen som DNS medfører er Verisign presentasjon på Infosecurity-konferansen.

31 % av de spurte løsepengevareklassene brukte DNS for nøkkelutveksling. Studiefunn

31 % av de undersøkte løsepengevareklassene brukte DNS for nøkkelutveksling.

Problemet er alvorlig. I følge forskningslaboratoriet Palo Alto Networks Unit 42 bruker omtrent 85 % av skadelig programvare DNS for å etablere en kommando- og kontrollkanal, slik at angripere enkelt kan injisere skadevare i nettverket ditt samt stjele data. Siden oppstarten har DNS-trafikk stort sett vært ukryptert og kan enkelt analyseres av NGFW-sikkerhetsmekanismer. 

Nye protokoller for DNS har dukket opp for å øke konfidensialiteten til DNS-tilkoblinger. De støttes aktivt av ledende nettleserleverandører og andre programvareleverandører. Kryptert DNS-trafikk vil snart begynne å vokse i bedriftsnettverk. Kryptert DNS-trafikk som ikke er ordentlig analysert og løst av verktøy utgjør en sikkerhetsrisiko for et selskap. En slik trussel er for eksempel kryptologgere som bruker DNS til å utveksle krypteringsnøkler. Angripere krever nå løsepenger på flere millioner dollar for å gjenopprette tilgangen til dataene dine. Garmin, for eksempel, betalte 10 millioner dollar.

Når de er riktig konfigurert, kan NGFW-er nekte eller beskytte bruken av DNS-over-TLS (DoT) og kan brukes til å nekte bruken av DNS-over-HTTPS (DoH), slik at all DNS-trafikk på nettverket ditt kan analyseres.

Hva er kryptert DNS?

Hva er DNS

Domain Name System (DNS) løser menneskelesbare domenenavn (for eksempel adresse www.paloaltonetworks.com ) til IP-adresser (for eksempel 34.107.151.202). Når en bruker skriver inn et domenenavn i en nettleser, sender nettleseren en DNS-spørring til DNS-serveren og ber om IP-adressen knyttet til det domenenavnet. Som svar returnerer DNS-serveren IP-adressen som denne nettleseren vil bruke.

DNS-spørringer og -svar sendes over nettverket i ren tekst, ukryptert, noe som gjør det sårbart for spionering eller endring av svaret og omdirigerer nettleseren til ondsinnede servere. DNS-kryptering gjør det vanskelig for DNS-forespørsler å spores eller endres under overføring. Kryptering av DNS-forespørsler og svar beskytter deg mot Man-in-the-Middle-angrep mens du utfører samme funksjonalitet som den tradisjonelle DNS-protokollen (Domain Name System). 

I løpet av de siste årene har to DNS-krypteringsprotokoller blitt introdusert:

1. DNS-over-HTTPS (DoH)

2. DNS-over-TLS (DoT)

Disse protokollene har én ting til felles: de skjuler bevisst DNS-forespørsler fra enhver avskjæring ... og fra organisasjonens sikkerhetsvakter også. Protokollene bruker primært TLS (Transport Layer Security) for å etablere en kryptert forbindelse mellom en klient som gjør spørringer og en server som løser DNS-spørringer over en port som normalt ikke brukes til DNS-trafikk.

Konfidensialiteten til DNS-spørringer er et stort pluss med disse protokollene. De utgjør imidlertid problemer for sikkerhetsvakter som må overvåke nettverkstrafikk og oppdage og blokkere ondsinnede forbindelser. Fordi protokollene er forskjellige i implementeringen, vil analysemetodene variere mellom DoH og DoT.

DNS over HTTPS (DoH)

DNS inne i HTTPS

DoH bruker den velkjente porten 443 for HTTPS, som RFC spesifikt sier at hensikten er å "blande DoH-trafikk med annen HTTPS-trafikk på samme forbindelse", "gjøre det vanskelig å analysere DNS-trafikk" og dermed omgå bedriftskontroller ( RFC 8484 DoH del 8.1 ). DoH-protokollen bruker TLS-kryptering og forespørselssyntaksen levert av de vanlige HTTPS- og HTTP/2-standardene, og legger til DNS-forespørsler og svar på toppen av standard HTTP-forespørsler.

Risiko forbundet med DoH

Hvis du ikke kan skille vanlig HTTPS-trafikk fra DoH-forespørsler, kan (og vil) applikasjoner i organisasjonen omgå lokale DNS-innstillinger ved å omdirigere forespørsler til tredjepartsservere som svarer på DoH-forespørsler, som omgår all overvåking, det vil si ødelegger muligheten til å kontrollere DNS-trafikken. Ideelt sett bør du kontrollere DoH ved å bruke HTTPS-dekrypteringsfunksjoner. 

И Google og Mozilla har implementert DoH-funksjoner i den nyeste versjonen av nettleserne, og begge selskapene jobber med å bruke DoH som standard for alle DNS-forespørsler. Microsoft utvikler også planer om å integrere DoH i deres operativsystemer. Ulempen er at ikke bare anerkjente programvareselskaper, men også angripere har begynt å bruke DoH som et middel til å omgå tradisjonelle bedriftsbrannmurtiltak. (Se for eksempel gjennom følgende artikler: PsiXBot bruker nå Google DoH , PsiXBot fortsetter å utvikle seg med oppdatert DNS-infrastruktur и Godlua bakdørsanalyse .) I begge tilfeller vil både god og ondsinnet DoH-trafikk forbli uoppdaget, noe som gjør organisasjonen blind for den ondsinnede bruken av DoH som en kanal for å kontrollere skadelig programvare (C2) og stjele sensitive data.

Sikre synlighet og kontroll over DoH-trafikken

Som den beste løsningen for DoH-kontroll anbefaler vi å konfigurere NGFW til å dekryptere HTTPS-trafikk og blokkere DoH-trafikk (programnavn: dns-over-https). 

Først må du sørge for at NGFW er konfigurert til å dekryptere HTTPS, ifølge en guide til de beste dekrypteringsteknikkene.

For det andre, lag en regel for programtrafikk "dns-over-https" som vist nedenfor:

Palo Alto Networks NGFW-regel for å blokkere DNS-over-HTTPS

Som et midlertidig alternativ (hvis organisasjonen din ikke har implementert HTTPS-dekryptering fullt ut), kan NGFW konfigureres til å bruke en "avslå"-handling på "dns-over-https"-applikasjons-IDen, men effekten vil være begrenset til å blokkere visse brønn- kjente DoH-servere etter domenenavnet deres, så hvordan uten HTTPS-dekryptering kan ikke DoH-trafikken bli fullstendig inspisert (se  Applipedia fra Palo Alto Networks   og søk etter "dns-over-https").

DNS over TLS (DoT)

DNS inne i TLS

Mens DoH-protokollen har en tendens til å blande seg med annen trafikk på samme port, bruker DoT i stedet som standard en spesiell port reservert for det eneste formålet, og til og med spesifikt ikke tillate at den samme porten brukes av tradisjonell ukryptert DNS-trafikk ( RFC 7858, del 3.1 ).

DoT-protokollen bruker TLS for å gi kryptering som innkapsler standard DNS-protokollspørringer, med trafikk som bruker den velkjente porten 853 ( RFC 7858 del 6 ). DoT-protokollen ble designet for å gjøre det enklere for organisasjoner å blokkere trafikk på en port, eller akseptere trafikk, men aktivere dekryptering på den porten.

Risiko forbundet med DoT

Google har implementert DoT i sin klient Android 9 Pie og nyere , med standardinnstillingen for å bruke DoT automatisk hvis tilgjengelig. Hvis du har vurdert risikoen og er klar til å bruke DoT på organisasjonsnivå, må du ha nettverksadministratorer til å eksplisitt tillate utgående trafikk på port 853 gjennom deres omkrets for denne nye protokollen.

Sikre synlighet og kontroll over DoT-trafikk

Som en beste praksis for DoT-kontroll anbefaler vi noen av de ovennevnte, basert på organisasjonens krav:

• Konfigurer NGFW til å dekryptere all trafikk for målport 853. Ved å dekryptere trafikk vil DoT vises som en DNS-applikasjon som du kan bruke hvilken som helst handling på, for eksempel aktivere abonnement Palo Alto Networks DNS-sikkerhet for å kontrollere DGA-domener eller et eksisterende DNS synkehull og anti-spyware.

• Et alternativ er å la App-ID-motoren fullstendig blokkere 'dns-over-tls'-trafikk på port 853. Dette er vanligvis blokkert som standard, ingen handling er nødvendig (med mindre du spesifikt tillater 'dns-over-tls'-applikasjon eller porttrafikk 853).

Kilde: www.habr.com