ProHoster > بلاګ > اداره > د DNS-over-TLS (DoT) او DNS-over-HTTPS (DoH) کارولو خطرونو کمول

د DNS-over-TLS (DoT) او DNS-over-HTTPS (DoH) کارولو خطرونو کمول

د DNS-over-TLS (DoT) او DNS-over-HTTPS (DoH) کارولو خطرونو کمولد DoH او DoT کارولو خطرونو کمول

DoH او DoT محافظت

ایا تاسو خپل DNS ترافیک کنټرول کوئ؟ سازمانونه د خپلو شبکو د خوندي کولو لپاره ډیر وخت، پیسې، او هڅې پانګه اچوي. په هرصورت، یوه ساحه چې ډیری وختونه کافي پاملرنه نه کوي DNS دی.

د خطرونو یوه ښه کتنه چې DNS راوړي Verisign پریزنټشن د انفلاسیون کنفرانس کې.

د DNS-over-TLS (DoT) او DNS-over-HTTPS (DoH) کارولو خطرونو کمولد سروې شوي ransomware ټولګیو 31٪ د کلیدي تبادلې لپاره DNS کارولې. د مطالعې موندنې

د سروې شوي ransomware ټولګیو 31٪ د کلیدي تبادلې لپاره DNS کارولی.

ستونزه جدي ده. د پالو الټو شبکې واحد 42 څیړنې لابراتوار په وینا ، نږدې 85٪ مالویر د قوماندې او کنټرول چینل رامینځته کولو لپاره DNS کاروي ، برید کونکو ته اجازه ورکوي چې په اسانۍ سره ستاسو شبکې ته مالویر داخل کړي او همدارنګه ډیټا غلا کړي. د هغې له پیل راهیسې، د DNS ترافیک په لویه کچه غیر کوډ شوی او د NGFW امنیتي میکانیزمونو لخوا په اسانۍ سره تحلیل کیدی شي. 

د DNS لپاره نوي پروتوکولونه رامینځته شوي چې هدف یې د DNS ارتباطاتو محرمیت زیاتول دي. دوی په فعاله توګه د مخکښ براوزر پلورونکو او نورو سافټویر پلورونکو لخوا ملاتړ کیږي. د کوډ شوي DNS ترافیک به ډیر ژر په کارپوریټ شبکو کې وده پیل کړي. کوډ شوی DNS ټرافیک چې په سمه توګه نه تحلیل شوی او د وسیلو لخوا حل شوی د شرکت لپاره امنیتي خطر رامینځته کوي. د مثال په توګه، دا ډول ګواښ cryptolockers دي چې د کوډ کولو کیلي تبادله کولو لپاره DNS کاروي. برید کونکي اوس ستاسو معلوماتو ته د لاسرسي بیرته ترلاسه کولو لپاره د څو ملیون ډالرو تاوان غوښتنه کوي. ګرمین، د بیلګې په توګه، 10 ملیون ډالر تادیه کړل.

کله چې په سمه توګه ترتیب شوی وي، NGFWs کولی شي د DNS-over-TLS (DoT) کارولو څخه انکار یا ساتنه وکړي او د DNS-over-HTTPS (DoH) کارولو څخه انکار کولو لپاره کارول کیدی شي، ستاسو په شبکه کې د DNS ټول ټرافیک تحلیل کولو ته اجازه ورکوي.

کوډ شوی DNS څه شی دی؟

DNS څه شی دی؟

د ډومین نوم سیسټم (DNS) د انسان د لوستلو وړ ډومین نومونه حل کوي (د مثال په توګه، پته www.paloaltonetworks.com ) IP پتې ته (د مثال په توګه، 34.107.151.202). کله چې یو کاروونکي ویب براوزر ته د ډومین نوم داخلوي، براوزر د DNS سرور ته د DNS پوښتنه لیږي، د دې ډومین نوم سره تړلي IP پته غوښتنه کوي. په ځواب کې، د DNS سرور هغه IP پته بیرته راولي چې دا براوزر به کاروي.

د DNS پوښتنې او ځوابونه په ټوله شبکه کې په ساده متن کې لیږل کیږي، غیر کوډ شوي، دا د جاسوسۍ یا ځواب بدلولو لپاره زیانمنونکي کوي او براوزر ناوړه سرورونو ته لیږل کیږي. د DNS کوډ کول د DNS غوښتنو لپاره د لیږد پرمهال تعقیب یا بدلول ستونزمن کوي. د DNS غوښتنو او ځوابونو کوډ کول تاسو د مینځني مینځني بریدونو څخه ساتي پداسې حال کې چې ورته فعالیت ترسره کوي د دودیز ساده متن DNS (ډومین نوم سیسټم) پروتوکول. 

په تیرو څو کلونو کې، د DNS کوډ کولو دوه پروتوکولونه معرفي شوي:

  1. DNS-over-HTTPS (DoH)

  2. DNS-over-TLS (DoT)

دا پروتوکولونه یو شی مشترک لري: دوی په قصدي ډول د هر ډول مداخلې څخه د DNS غوښتنې پټوي ... او همدارنګه د سازمان د امنیت ساتونکو څخه. پروتوکولونه اساسا د TLS (د ټرانسپورټ پرت امنیت) کاروي ترڅو د پیرودونکي پوښتنو او سرور تر مینځ کوډ شوي اړیکه رامینځته کړي ترڅو په بندر کې د DNS پوښتنو حل کړي چې معمولا د DNS ترافیک لپاره نه کارول کیږي.

د DNS پوښتنو محرمیت د دې پروتوکولونو لوی پلس دی. په هرصورت ، دوی د امنیت ساتونکو لپاره ستونزې رامینځته کوي څوک چې باید د شبکې ترافیک وڅاري او ناوړه اړیکې کشف او بند کړي. ځکه چې پروتوکولونه د دوی په تطبیق کې توپیر لري، د تحلیل میتودونه به د DoH او DoT ترمنځ توپیر ولري.

DNS په HTTPS (DoH) کې

د DNS-over-TLS (DoT) او DNS-over-HTTPS (DoH) کارولو خطرونو کمولد HTTPS دننه DNS

DoH د HTTPS لپاره پیژندل شوی پورټ 443 کاروي، د کوم لپاره چې RFC په ځانګړې توګه وایي چې موخه یې د "DNS ټرافیک د نورو HTTPS ټرافيکو سره په ورته اړیکه کې مخلوط کول دي"، "د DNS ترافیک تحلیل ستونزمن کوي" او پدې توګه د کارپوریټ کنټرولونو مخه نیسي. (( RFC 8484 DoH برخه 8.1 ). د DoH پروتوکول د TLS کوډ کول او د غوښتنې ترکیب کاروي چې د عام HTTPS او HTTP/2 معیارونو لخوا چمتو شوي، د معیاري HTTP غوښتنو په سر کې د DNS غوښتنې او ځوابونه اضافه کوي.

د DoH سره تړلي خطرونه

که تاسو نشئ کولی د DoH غوښتنو څخه منظم HTTPS ترافیک توپیر کړئ ، نو ستاسو په اداره کې غوښتنلیکونه کولی شي د سیمه ایز DNS تنظیماتو څخه تیر شي (او به) د DoH غوښتنو ته ځواب ویلو لپاره د دریمې ډلې سرورونو ته د غوښتنې لیږلو سره ، کوم چې هر ډول نظارت ته مخه کوي ، دا د دې وړتیا له مینځه وړي. د DNS ترافیک کنټرول کړئ. په عین حال کې، تاسو باید د HTTPS ډیکریپشن افعال په کارولو سره DoH کنټرول کړئ. 

И ګوګل او موزیلا د DoH وړتیاوې پلي کړي د دوی د براوزرونو په وروستي نسخه کې، او دواړه شرکتونه د DNS ټولو غوښتنو لپاره د ډیفالټ لخوا د DoH کارولو لپاره کار کوي. مایکروسافټ هم پلانونه رامینځته کوي د دوی په عملیاتي سیسټمونو کې د DoH ادغام په اړه. نیمګړتیا دا ده چې نه یوازې مشهور سافټویر شرکتونه، بلکې برید کونکو هم د دودیز کارپوریټ فایروال اقداماتو څخه د تیریدو لپاره د DoH کارولو پیل کړی. (د مثال په توګه، لاندې مقالې بیاکتنه وکړئ: PsiXBot اوس د ګوګل DoH کاروي , PsiXBot د تازه DNS زیربنا سره پرمختګ ته دوام ورکوي и د ګوډلوا شاته شننه .) په هر حالت کې، دواړه ښه او ناوړه DoH ټرافیک به کشف نه شي، او سازمان به د مالویر (C2) کنټرول کولو او حساس معلوماتو غلا کولو لپاره د یوې لارې په توګه د DoH ناوړه کارونې ته سترګې پټې کړي.

د DoH ترافیک لید او کنټرول ډاډمن کول

د DoH کنټرول لپاره د غوره حل په توګه، موږ وړاندیز کوو چې د HTTPS ټرافيک ډیکریپټ کولو لپاره NGFW ترتیب کړئ او د DoH ترافیک بند کړئ (د غوښتنلیک نوم: dns-over-https). 

لومړی، ډاډ ترلاسه کړئ چې NGFW د HTTPS د کوډ کولو لپاره ترتیب شوی، په وینا د غوره ډیکریپشن تخنیکونو لارښود.

دوهم، د غوښتنلیک ترافیک "dns-over-https" لپاره یو قاعده رامینځته کړئ لکه څنګه چې لاندې ښودل شوي:

د DNS-over-TLS (DoT) او DNS-over-HTTPS (DoH) کارولو خطرونو کمولد پالو الټو شبکې NGFW قانون د DNS-over-HTTPS بلاک کولو لپاره

د لنډمهاله بدیل په توګه (که ستاسو سازمان په بشپړ ډول د HTTPS ډیکریپشن نه وي پلي کړی)، NGFW د "dns-over-https" غوښتنلیک ID ته د "انکار" عمل پلي کولو لپاره تنظیم کیدی شي، مګر اغیز به د ځینې ښه بلاک کولو پورې محدود وي. د DoH سرورونه د دوی د ډومین نوم لخوا پیژندل شوي، نو څنګه د HTTPS ډیکریپشن پرته، د DoH ترافیک په بشپړه توګه معاینه نشي (وګورئ  د پالو الټو شبکې څخه اپلیډیا   او د "dns-over-https" لټون وکړئ).

DNS په TLS (DoT) کې

د DNS-over-TLS (DoT) او DNS-over-HTTPS (DoH) کارولو خطرونو کمولد TLS دننه DNS

پداسې حال کې چې د DoH پروتوکول په ورته بندر کې د نورو ټرافیک سره مخلوط کوي، DoT د دې پرځای چې د دې واحد هدف لپاره ځانګړي شوي ځانګړي بندر کاروي، حتی په ځانګړې توګه د ورته بندر د دودیز غیر کوډ شوي DNS ترافیک لخوا کارولو څخه منع کوي ( RFC 7858، برخه 3.1 ).

د DoT پروتوکول د کوډ کولو چمتو کولو لپاره TLS کاروي چې د معیاري DNS پروتوکول پوښتنو پوښښ کوي، د ټرافیک سره د مشهور بندر 853 په کارولو سره ( RFC 7858 برخه 6 ). د DoT پروتوکول د دې لپاره ډیزاین شوی و چې سازمانونو ته په یوه بندر کې ترافیک بند کړي یا ترافیک ومني مګر په هغه بندر کې ډیکریپشن فعال کړي.

د DoT سره تړلي خطرونه

ګوګل په خپل پیرودونکي کې DoT پلي کړی Android 9 Pie او وروسته ، د ډیفالټ ترتیب سره په اتوماتيک ډول د DoT کارولو لپاره که شتون ولري. که تاسو د خطرونو ارزونه کړې وي او په سازماني کچه د DoT کارولو ته چمتو یاست، نو تاسو اړتیا لرئ چې د شبکې مدیران په واضح ډول د دې نوي پروتوکول لپاره د 853 بندر له لارې بهر ته تګ راتګ ته اجازه ورکړي.

د DoT ترافیک لید او کنټرول ډاډمن کول

د DoT کنټرول لپاره د غوره عمل په توګه، موږ ستاسو د سازمان اړتیاو پراساس د پورته څخه هر یو وړاندیز کوو:

  • د منزل بندر 853 لپاره ټول ټرافیک د کوډ کولو لپاره NGFW تنظیم کړئ. د ټرافیک په کوډ کولو سره، DoT به د DNS غوښتنلیک په توګه راښکاره شي چې تاسو کولی شئ هر ډول عمل پلي کړئ، لکه د ګډون فعالول د پالو الټو شبکې DNS امنیت د DGA ډومینونو یا موجوده یو کنټرول لپاره DNS سینکولینګ او د جاسوسۍ ضد.

  • یو بدیل دا دی چې د App-ID انجن په بشپړ ډول په پورټ 853 کې د 'dns-over-tls' ترافیک بند کړي. دا معمولا په ډیفالټ بلاک کیږي ، هیڅ اقدام ته اړتیا نشته (مګر تاسو په ځانګړي ډول د 'dns-over-tls' غوښتنلیک یا پورټ ترافیک ته اجازه نه ورکوئ ۸۵۳).

سرچینه: www.habr.com

Add a comment