Minimizarea riscurilor utilizării DoH și DoT
Protecție DoH și DoT
Îți controlezi traficul DNS? Organizațiile investesc mult timp, bani și efort în securizarea rețelelor. Cu toate acestea, un domeniu care adesea nu primește suficientă atenție este DNS.
O bună privire de ansamblu asupra riscurilor pe care le aduce DNS este la conferința Infosecuritate.
31% dintre clasele de ransomware chestionate au folosit DNS pentru schimbul de chei. Rezultatele studiului
31% dintre clasele de ransomware intervievate au folosit DNS pentru schimbul de chei.
Problema este serioasa. Potrivit laboratorului de cercetare Palo Alto Networks Unit 42, aproximativ 85% dintre programele malware utilizează DNS pentru a stabili un canal de comandă și control, permițând atacatorilor să injecteze cu ușurință malware în rețea, precum și să fure date. De la începuturile sale, traficul DNS a fost în mare parte necriptat și poate fi analizat cu ușurință prin mecanismele de securitate NGFW.
Au apărut noi protocoale pentru DNS care vizează creșterea confidențialității conexiunilor DNS. Acestea sunt susținute în mod activ de furnizori de frunte de browser și de alți furnizori de software. Traficul DNS criptat va începe în curând să crească în rețelele corporative. Traficul DNS criptat care nu este analizat și rezolvat corespunzător de instrumente prezintă un risc de securitate pentru o companie. De exemplu, o astfel de amenințare este criptolockerele care folosesc DNS pentru a schimba chei de criptare. Atacatorii cer acum o răscumpărare de câteva milioane de dolari pentru a restabili accesul la datele tale. Garmin, de exemplu, a plătit 10 milioane de dolari.
Când sunt configurate corect, NGFW-urile pot refuza sau proteja utilizarea DNS-over-TLS (DoT) și pot fi folosite pentru a interzice utilizarea DNS-over-HTTPS (DoH), permițând analizarea întregului trafic DNS din rețeaua dvs.
Ce este DNS criptat?
Ce este DNS
Sistemul de nume de domeniu (DNS) rezolvă nume de domenii care pot fi citite de om (de exemplu, adresa ) la adrese IP (de exemplu, 34.107.151.202). Când un utilizator introduce un nume de domeniu într-un browser web, browserul trimite o interogare DNS către serverul DNS, solicitând adresa IP asociată cu acel nume de domeniu. Ca răspuns, serverul DNS returnează adresa IP pe care o va folosi acest browser.
Interogările și răspunsurile DNS sunt trimise în rețea în text simplu, necriptate, făcându-l vulnerabil la spionaj sau schimbarea răspunsului și redirecționarea browserului către servere rău intenționate. Criptarea DNS face dificilă urmărirea sau modificarea cererilor DNS în timpul transmisiei. Criptarea solicitărilor și răspunsurilor DNS vă protejează de atacurile Man-in-the-Middle, în timp ce efectuează aceeași funcționalitate ca protocolul tradițional DNS (Domain Name System) text simplu.
În ultimii ani, au fost introduse două protocoale de criptare DNS:
-
DNS-over-HTTPS (DoH)
-
DNS-over-TLS (DoT)
Aceste protocoale au un lucru în comun: ascund în mod deliberat solicitările DNS de la orice interceptare... și de la agenții de securitate ai organizației, de asemenea. Protocoalele folosesc în principal TLS (Transport Layer Security) pentru a stabili o conexiune criptată între un client care face interogări și un server care rezolvă interogări DNS printr-un port care nu este utilizat în mod normal pentru traficul DNS.
Confidențialitatea interogărilor DNS este un mare plus al acestor protocoale. Cu toate acestea, ele pun probleme pentru agenții de securitate care trebuie să monitorizeze traficul de rețea și să detecteze și să blocheze conexiunile rău intenționate. Deoarece protocoalele diferă în implementarea lor, metodele de analiză vor diferi între DoH și DoT.
DNS prin HTTPS (DoH)
DNS în interiorul HTTPS
DoH folosește binecunoscutul port 443 pentru HTTPS, pentru care RFC afirmă în mod specific că intenția este de a „amesteca traficul DoH cu alt trafic HTTPS pe aceeași conexiune”, „îngreunează analiza traficului DNS” și astfel eluda controalele corporative. ( ). Protocolul DoH utilizează criptarea TLS și sintaxa de solicitare furnizată de standardele comune HTTPS și HTTP/2, adăugând cereri și răspunsuri DNS pe lângă cererile HTTP standard.
Riscuri asociate cu DoH
Dacă nu puteți distinge traficul HTTPS obișnuit de solicitările DoH, atunci aplicațiile din cadrul organizației dvs. pot (și vor) ocoli setările DNS locale prin redirecționarea solicitărilor către servere terțe care răspund la solicitările DoH, ceea ce ocolește orice monitorizare, adică distruge capacitatea de a controlează traficul DNS. În mod ideal, ar trebui să controlați DoH folosind funcțiile de decriptare HTTPS.
И în cea mai recentă versiune a browserelor lor, iar ambele companii lucrează pentru a utiliza DoH în mod implicit pentru toate solicitările DNS. privind integrarea DoH în sistemele lor de operare. Dezavantajul este că nu numai companiile de software reputate, ci și atacatorii au început să folosească DoH ca mijloc de a ocoli măsurile tradiționale ale firewall-ului corporativ. (De exemplu, examinați următoarele articole: , и .) În ambele cazuri, atât traficul DoH bun, cât și cel rău intenționat vor rămâne nedetectat, lăsând organizația oarbă la utilizarea rău intenționată a DoH ca canal pentru a controla programele malware (C2) și a fura date sensibile.
Asigurarea vizibilității și controlului traficului DoH
Ca cea mai bună soluție pentru controlul DoH, vă recomandăm să configurați NGFW pentru a decripta traficul HTTPS și a bloca traficul DoH (nume aplicație: dns-over-https).
În primul rând, asigurați-vă că NGFW este configurat pentru a decripta HTTPS, conform .
În al doilea rând, creați o regulă pentru traficul aplicației „dns-over-https”, așa cum se arată mai jos:
Regulă NGFW de la Palo Alto Networks pentru a bloca DNS-over-HTTPS
Ca alternativă provizorie (dacă organizația dvs. nu a implementat complet decriptarea HTTPS), NGFW poate fi configurat să aplice o acțiune de „refuză” ID-ului aplicației „dns-over-https”, dar efectul se va limita la blocarea anumitor bine- serverele DoH cunoscute după numele lor de domeniu, deci cum, fără decriptare HTTPS, traficul DoH nu poate fi inspectat complet (vezi și căutați „dns-over-https”).
DNS prin TLS (DoT)
DNS în TLS
În timp ce protocolul DoH tinde să se amestece cu alt trafic pe același port, DoT folosește în schimb un port special rezervat pentru acel singur scop, chiar interzicând în mod specific utilizarea aceluiași port de către traficul DNS tradițional necriptat ( ).
Protocolul DoT utilizează TLS pentru a oferi criptare care încapsulează interogări standard de protocol DNS, traficul utilizând bine-cunoscutul port 853 ( ). Protocolul DoT a fost conceput pentru a face mai ușor pentru organizații să blocheze traficul pe un port sau să accepte trafic, dar să permită decriptarea pe acel port.
Riscuri asociate cu DoT
Google a implementat DoT în clientul său , cu setarea implicită pentru a utiliza automat DoT, dacă este disponibil. Dacă ați evaluat riscurile și sunteți gata să utilizați DoT la nivel organizațional, atunci trebuie să aveți administratori de rețea să permită în mod explicit traficul de ieșire pe portul 853 prin perimetrul lor pentru acest nou protocol.
Asigurarea vizibilității și controlului traficului DoT
Ca cea mai bună practică pentru controlul DoT, vă recomandăm oricare dintre cele de mai sus, pe baza cerințelor organizației dvs.:
-
Configurați NGFW pentru a decripta tot traficul pentru portul de destinație 853. Prin decriptarea traficului, DoT va apărea ca o aplicație DNS la care puteți aplica orice acțiune, cum ar fi activarea abonamentului pentru a controla domenii DGA sau unul existent și anti-spyware.
-
O alternativă este ca motorul App-ID să blocheze complet traficul „dns-over-tls” pe portul 853. Acest lucru este de obicei blocat în mod implicit, nu este necesară nicio acțiune (cu excepția cazului în care permiteți în mod specific aplicația sau portul „dns-over-tls” trafic 853).
Sursa: www.habr.com