Minimizando os riscos de usar DoH e DoT
Proteção DoH e DoT
Você controla seu tráfego DNS? As organizações investem muito tempo, dinheiro e esforço para proteger suas redes. No entanto, uma área que muitas vezes não recebe atenção suficiente é o DNS.
Uma boa visão geral dos riscos que o DNS traz é na conferência de segurança da informação.
31% das classes de ransomware pesquisadas usaram DNS para troca de chaves. Resultados do estudo
31% das classes de ransomware pesquisadas usaram DNS para troca de chaves.
O problema é sério. De acordo com o laboratório de pesquisa Palo Alto Networks Unit 42, aproximadamente 85% dos malwares usam DNS para estabelecer um canal de comando e controle, permitindo que invasores injetem facilmente malware em sua rede, bem como roubem dados. Desde a sua criação, o tráfego DNS tem sido em grande parte descriptografado e pode ser facilmente analisado pelos mecanismos de segurança do NGFW.
Surgiram novos protocolos para DNS com o objetivo de aumentar a confidencialidade das conexões DNS. Eles são ativamente suportados pelos principais fornecedores de navegadores e outros fornecedores de software. O tráfego DNS criptografado começará em breve a crescer nas redes corporativas. O tráfego DNS criptografado que não é devidamente analisado e resolvido pelas ferramentas representa um risco de segurança para uma empresa. Por exemplo, tal ameaça são os cryptolockers que usam DNS para trocar chaves de criptografia. Os invasores agora exigem um resgate de vários milhões de dólares para restaurar o acesso aos seus dados. A Garmin, por exemplo, pagou US$ 10 milhões.
Quando configurados corretamente, os NGFWs podem negar ou proteger o uso de DNS sobre TLS (DoT) e podem ser usados para negar o uso de DNS sobre HTTPS (DoH), permitindo que todo o tráfego DNS em sua rede seja analisado.
O que é DNS criptografado?
o que é DNS
O Sistema de Nomes de Domínio (DNS) resolve nomes de domínio legíveis por humanos (por exemplo, endereço ) para endereços IP (por exemplo, 34.107.151.202). Quando um usuário insere um nome de domínio em um navegador da web, o navegador envia uma consulta DNS ao servidor DNS, solicitando o endereço IP associado a esse nome de domínio. Em resposta, o servidor DNS retorna o endereço IP que este navegador utilizará.
As consultas e respostas DNS são enviadas pela rede em texto simples, não criptografado, tornando-o vulnerável à espionagem ou alteração da resposta e redirecionamento do navegador para servidores maliciosos. A criptografia DNS dificulta o rastreamento ou alteração das solicitações DNS durante a transmissão. A criptografia de solicitações e respostas de DNS protege você contra ataques Man-in-the-Middle, ao mesmo tempo em que executa a mesma funcionalidade do protocolo DNS (Sistema de Nomes de Domínio) de texto simples tradicional.
Nos últimos anos, dois protocolos de criptografia DNS foram introduzidos:
-
DNS sobre HTTPS (DoH)
-
DNS sobre TLS (DoT)
Esses protocolos têm uma coisa em comum: eles ocultam deliberadamente as solicitações de DNS de qualquer interceptação... e também dos guardas de segurança da organização. Os protocolos usam principalmente TLS (Transport Layer Security) para estabelecer uma conexão criptografada entre um cliente que faz consultas e um servidor que resolve consultas DNS em uma porta que normalmente não é usada para tráfego DNS.
A confidencialidade das consultas DNS é uma grande vantagem desses protocolos. No entanto, representam problemas para os guardas de segurança que devem monitorar o tráfego da rede e detectar e bloquear conexões maliciosas. Como os protocolos diferem na sua implementação, os métodos de análise serão diferentes entre DoH e DoT.
DNS sobre HTTPS (DoH)
DNS dentro de HTTPS
O DoH usa a conhecida porta 443 para HTTPS, para a qual a RFC afirma especificamente que a intenção é "misturar o tráfego DoH com outro tráfego HTTPS na mesma conexão", "dificultar a análise do tráfego DNS" e, assim, contornar os controles corporativos ( ). O protocolo DoH usa criptografia TLS e a sintaxe de solicitação fornecida pelos padrões comuns HTTPS e HTTP/2, adicionando solicitações e respostas DNS às solicitações HTTP padrão.
Riscos associados ao DoH
Se você não conseguir distinguir o tráfego HTTPS regular das solicitações DoH, os aplicativos da sua organização poderão (e irão) ignorar as configurações de DNS locais, redirecionando as solicitações para servidores de terceiros que respondem às solicitações DoH, o que ignora qualquer monitoramento, ou seja, destrói a capacidade de controlar o tráfego DNS. Idealmente, você deve controlar o DoH usando funções de descriptografia HTTPS.
И na versão mais recente de seus navegadores, e ambas as empresas estão trabalhando para usar DoH por padrão para todas as solicitações de DNS. na integração do DoH em seus sistemas operacionais. A desvantagem é que não apenas empresas de software respeitáveis, mas também os invasores começaram a usar o DoH como meio de contornar as medidas tradicionais de firewall corporativo. (Por exemplo, revise os seguintes artigos: , и .) Em ambos os casos, tanto o tráfego DoH bom quanto o malicioso passarão despercebidos, deixando a organização cega ao uso malicioso do DoH como um canal para controlar malware (C2) e roubar dados confidenciais.
Garantindo visibilidade e controle do tráfego DoH
Como a melhor solução para controle DoH, recomendamos configurar o NGFW para descriptografar o tráfego HTTPS e bloquear o tráfego DoH (nome do aplicativo: dns-over-https).
Primeiro, certifique-se de que o NGFW esteja configurado para descriptografar HTTPS, de acordo com .
Segundo, crie uma regra para o tráfego de aplicativos "dns-over-https", conforme mostrado abaixo:
Regra NGFW da Palo Alto Networks para bloquear DNS sobre HTTPS
Como alternativa provisória (se a sua organização não tiver implementado totalmente a descriptografia HTTPS), o NGFW pode ser configurado para aplicar uma ação de "negação" ao ID do aplicativo "dns-over-https", mas o efeito será limitado ao bloqueio de certas informações bem-sucedidas. servidores DoH conhecidos por seu nome de domínio, portanto, sem a descriptografia HTTPS, o tráfego DoH não pode ser totalmente inspecionado (consulte e procure por "dns-over-https").
DNS sobre TLS (DoT)
DNS dentro de TLS
Embora o protocolo DoH tenda a se misturar com outro tráfego na mesma porta, o DoT usa como padrão uma porta especial reservada para esse único propósito, até mesmo proibindo especificamente que a mesma porta seja usada pelo tráfego DNS não criptografado tradicional ( ).
O protocolo DoT usa TLS para fornecer criptografia que encapsula consultas de protocolo DNS padrão, com tráfego usando a conhecida porta 853 ( ). O protocolo DoT foi projetado para tornar mais fácil para as organizações bloquearem o tráfego em uma porta ou aceitarem o tráfego, mas permitirem a descriptografia nessa porta.
Riscos associados ao DoT
Google implementou DoT em seu cliente , com a configuração padrão para usar DoT automaticamente, se disponível. Se você avaliou os riscos e está pronto para usar o DoT no nível organizacional, então você precisa que os administradores de rede permitam explicitamente o tráfego de saída na porta 853 através de seu perímetro para este novo protocolo.
Garantindo visibilidade e controle do tráfego DoT
Como prática recomendada para controle DoT, recomendamos qualquer uma das opções acima, com base nos requisitos da sua organização:
-
Configure o NGFW para descriptografar todo o tráfego da porta de destino 853. Ao descriptografar o tráfego, o DoT aparecerá como um aplicativo DNS ao qual você pode aplicar qualquer ação, como habilitar assinatura para controlar domínios DGA ou um existente e anti-spyware.
-
Uma alternativa é fazer com que o mecanismo App-ID bloqueie completamente o tráfego 'dns-over-tls' na porta 853. Isso geralmente é bloqueado por padrão, nenhuma ação é necessária (a menos que você permita especificamente o aplicativo ou porta 'dns-over-tls' tráfego 853).
Fonte: habr.com