پرو هوسٽر > بلاگ > انتظاميه > DNS-over-TLS (DoT) ۽ DNS-over-HTTPS (DoH) استعمال ڪرڻ جي خطرن کي گھٽائڻ

DNS-over-TLS (DoT) ۽ DNS-over-HTTPS (DoH) استعمال ڪرڻ جي خطرن کي گھٽائڻ

DNS-over-TLS (DoT) ۽ DNS-over-HTTPS (DoH) استعمال ڪرڻ جي خطرن کي گھٽائڻDoH ۽ DoT استعمال ڪرڻ جي خطرن کي گھٽائڻ

DoH ۽ DoT تحفظ

ڇا توهان پنهنجي DNS ٽرئفڪ کي سنڀاليندا آهيو؟ تنظيمون پنهنجون نيٽ ورڪ محفوظ ڪرڻ ۾ گهڻو وقت، پئسو ۽ ڪوششون سيڙپ ڪن ٿيون. تنهن هوندي، هڪ علائقو جيڪو اڪثر ڪري ڪافي ڌيان نه ٿو ملي DNS آهي.

خطرن جو هڪ سٺو جائزو جيڪو DNS آڻيندو آهي پيشڪش جي تصديق ڪريو Infosecurity ڪانفرنس ۾.

DNS-over-TLS (DoT) ۽ DNS-over-HTTPS (DoH) استعمال ڪرڻ جي خطرن کي گھٽائڻ31٪ ransomware طبقن جو سروي ڪيو ويو DNS استعمال ڪيو اهم مٽاسٽا لاءِ. مطالعي جا نتيجا

31٪ ransomware طبقن جو سروي ڪيو ويو DNS استعمال ڪيو اهم مٽاسٽا لاءِ.

مسئلو سنگين آهي. پالو آلٽو نيٽ ورڪ يونٽ 42 ريسرچ ليب جي مطابق، تقريبن 85٪ مالويئر هڪ ڪمانڊ ۽ ڪنٽرول چينل قائم ڪرڻ لاءِ DNS استعمال ڪري ٿو، حملي ڪندڙن کي اجازت ڏئي ٿو ته آساني سان توهان جي نيٽ ورڪ ۾ مالويئر داخل ڪري ۽ ڊيٽا چوري ڪري. ان جي شروعات کان وٺي، DNS ٽريفڪ گهڻو ڪري غير انڪريپٽ ڪيو ويو آهي ۽ آساني سان NGFW سيڪيورٽي ميڪانيزم پاران تجزيو ڪري سگهجي ٿو. 

DNS لاءِ نوان پروٽوڪول سامهون آيا آهن جن جو مقصد DNS ڪنيڪشن جي رازداري کي وڌائڻ آهي. اهي فعال طور تي معروف برائوزر وينڊرز ۽ ٻين سافٽ ويئر وينڊرز جي حمايت ڪن ٿا. انڪرپٽ ٿيل DNS ٽرئفڪ جلد ئي ڪارپوريٽ نيٽ ورڪن ۾ وڌڻ شروع ٿيندي. اينڪرپٽ ٿيل DNS ٽرئفڪ جو صحيح طريقي سان تجزيو ۽ اوزارن سان حل نه ڪيو ويو آهي هڪ ڪمپني لاءِ سيڪيورٽي خطرو آهي. مثال طور، اهڙو خطرو cryptolockers آهي جيڪو DNS استعمال ڪري ٿو انڪرپشن ڪنجي کي مٽائڻ لاءِ. حملو ڪندڙ هاڻي توهان جي ڊيٽا تائين رسائي بحال ڪرڻ لاءِ ڪيترن ئي ملين ڊالرن جو تاوان طلب ڪري رهيا آهن. Garmin، مثال طور، ادا ڪيو $10 ملين.

جڏهن صحيح ترتيب ڏني وئي، NGFWs DNS-over-TLS (DoT) جي استعمال کي رد يا تحفظ ڏئي سگھن ٿا ۽ DNS-over-HTTPS (DoH) جي استعمال کي رد ڪرڻ لاءِ استعمال ڪري سگھجن ٿا، توھان جي نيٽ ورڪ تي سڀني DNS ٽرئفڪ کي تجزيو ڪرڻ جي اجازت ڏئي ٿي.

اينڪرپٽ ٿيل DNS ڇا آهي؟

DNS ڇا آهي

ڊومين نالو سسٽم (DNS) حل ڪري ٿو انساني-پڙهندڙ ڊومين جا نالا (مثال طور، پتو www.paloaltonetworks.com ) IP پتي ڏانهن (مثال طور، 34.107.151.202). جڏهن هڪ صارف ويب برائوزر ۾ ڊومين جو نالو داخل ڪري ٿو، برائوزر DNS سرور ڏانهن DNS سوال موڪلي ٿو، انهي ڊومين جي نالي سان لاڳاپيل IP پتي لاء پڇي ٿو. جواب ۾، DNS سرور IP پتي کي موٽائي ٿو جيڪو هي برائوزر استعمال ڪندو.

DNS سوالن ۽ جوابن کي سڄي نيٽ ورڪ تي سادو متن ۾ موڪليو ويو آهي، اڻ انڪوڊ ٿيل، ان کي جاسوسي ڪرڻ يا جواب کي تبديل ڪرڻ ۽ برائوزر کي بدسلوڪي سرورز ڏانهن ريڊائريڪٽ ڪرڻ لاءِ خطرناڪ بڻائي ٿو. DNS انڪرپشن کي DNS درخواستن کي ٽريڪ ڪرڻ يا ٽرانسميشن دوران تبديل ڪرڻ ڏکيو بڻائي ٿو. ڊي اين ايس جي درخواستن ۽ جوابن کي انڪرپٽ ڪرڻ توهان کي وچين حملن کان بچائيندو آهي جڏهن ته ساڳي ڪارڪردگي کي انجام ڏئي رهيو آهي جيئن روايتي سادي متن DNS (ڊومين نالو سسٽم) پروٽوڪول. 

گذريل ڪجھ سالن ۾، ٻه DNS انڪرپشن پروٽوڪول متعارف ڪرايا ويا آھن:

  1. DNS-مٿان-ايڇ ٽي پي ايس (DoH)

  2. DNS-over-TLS (DoT)

انهن پروٽوڪول ۾ هڪ شيءِ عام آهي: اهي عمدي طور DNS درخواستن کي ڪنهن به مداخلت کان لڪائي رهيا آهن ... ۽ تنظيم جي حفاظتي محافظن کان پڻ. پروٽوڪول بنيادي طور تي استعمال ڪن ٿا TLS (ٽرانسپورٽ ليئر سيڪيورٽي) جي وچ ۾ هڪ اينڪرپٽ ٿيل ڪنيڪشن قائم ڪرڻ لاءِ ڪلائنٽ ٺاهڻ واري سوالن ۽ سرور جي وچ ۾ DNS سوالن کي حل ڪرڻ واري بندرگاهه تي جيڪو عام طور تي DNS ٽرئفڪ لاءِ استعمال نه ڪيو ويندو آهي.

DNS سوالن جي رازداري انهن پروٽوڪول جو هڪ وڏو پلس آهي. بهرحال، اهي سيڪيورٽي گارڊن لاءِ مسئلا پيدا ڪن ٿا جن کي نيٽ ورڪ ٽرئفڪ جي نگراني ڪرڻ گهرجي ۽ خراب ڪنيڪشن کي ڳولڻ ۽ بلاڪ ڪرڻ گهرجي. ڇاڪاڻ ته پروٽوڪول انهن جي عمل درآمد ۾ مختلف آهن، تجزيي جا طريقا DoH ۽ DoT جي وچ ۾ مختلف هوندا.

DNS HTTPS مٿان (ڊبليو ايڇ)

DNS-over-TLS (DoT) ۽ DNS-over-HTTPS (DoH) استعمال ڪرڻ جي خطرن کي گھٽائڻHTTPS اندر DNS

DoH استعمال ڪري ٿو مشهور بندرگاهه 443 HTTPS لاءِ، جنهن لاءِ RFC خاص طور تي ٻڌائي ٿو ته ارادو آهي "DoH ٽريفڪ کي ٻين HTTPS ٽرئفڪ سان ساڳي ڪنيڪشن تي ملايو"، "DNS ٽريفڪ جو تجزيو ڪرڻ ڏکيو ڪيو" ۽ اهڙيءَ طرح ڪارپوريٽ ڪنٽرول کي روڪيو. ( RFC 8484 DoH سيڪشن 8.1 ). DoH پروٽوڪول عام HTTPS ۽ HTTP/2 معيارن پاران مهيا ڪيل TLS انڪريپشن ۽ درخواست نحو کي استعمال ڪري ٿو، معياري HTTP درخواستن جي مٿان DNS درخواستون ۽ جواب شامل ڪري ٿو.

DoH سان لاڳاپيل خطرات

جيڪڏهن توهان DoH جي درخواستن کان باقاعده HTTPS ٽرئفڪ ۾ فرق نه ٿا ڪري سگهو، ته پوءِ توهان جي تنظيم اندر ايپليڪيشنون مقامي DNS سيٽنگن کي بائي پاس ڪري سگهن ٿيون (۽ ڪنديون) درخواستن کي ٽين پارٽي سرورز ڏانهن موڪليندي درخواستن جو جواب ڏيندي DoH درخواستن جو، جيڪو ڪنهن به نگراني کي نظرانداز ڪري ٿو، اهو آهي، ڪرڻ جي صلاحيت کي تباهه ڪري ٿو. DNS ٽرئفڪ کي ڪنٽرول ڪريو. مثالي طور، توهان کي HTTPS ڊسڪشن افعال استعمال ڪندي DoH کي ڪنٽرول ڪرڻ گهرجي. 

И گوگل ۽ موزيلا DoH صلاحيتن کي لاڳو ڪيو آهي انهن جي برائوزرن جي تازي ورزن ۾، ۽ ٻئي ڪمپنيون ڪم ڪري رهيون آهن DoH استعمال ڪرڻ لاءِ ڊفالٽ طور سڀني DNS درخواستن لاءِ. Microsoft پڻ منصوبا ٺاهي رهيو آهي DoH کي انهن جي آپريٽنگ سسٽم ۾ ضم ڪرڻ تي. نقصان اهو آهي ته نه رڳو نامور سافٽ ويئر ڪمپنيون، پر حملي ڪندڙن پڻ DoH استعمال ڪرڻ شروع ڪيو آهي روايتي ڪارپوريٽ فائر وال قدمن کي نظرانداز ڪرڻ جو هڪ وسيلو. (مثال طور، ھيٺين مضمونن جو جائزو وٺو: PsiXBot هاڻي Google DoH استعمال ڪري ٿو , PsiXBot تازه ڪاري DNS انفراسٽرڪچر سان ترقي ڪرڻ جاري آهي и گوڊلوا پس منظر جو تجزيو .) ٻنهي صورتن ۾، ٻئي سٺي ۽ خراب DoH ٽرئفڪ اڻڄاتل ٿي ويندا، تنظيم کي انڌو ڪري ڇڏيندي DoH جي بدسلوڪي استعمال کي ڪنوڊٽ طور مالويئر (C2) کي ڪنٽرول ڪرڻ ۽ حساس ڊيٽا چوري ڪرڻ لاء.

DoH ٽرئفڪ جي نمائش ۽ ڪنٽرول کي يقيني بڻائڻ

DoH ڪنٽرول لاءِ بهترين حل جي طور تي، اسان سفارش ڪريون ٿا NGFW کي ترتيب ڏيڻ لاءِ HTTPS ٽريفڪ کي ڊيڪرپٽ ڪرڻ ۽ DoH ٽرئفڪ کي بلاڪ ڪرڻ (ايپليڪيشن جو نالو: dns-over-https). 

پهرين، پڪ ڪريو ته NGFW ترتيب ڏنل آهي HTTPS کي ڊڪرائڻ لاءِ، مطابق بهترين ڊيڪرپشن ٽيڪنڪ لاءِ هڪ گائيڊ.

ٻيو، ايپليڪيشن ٽرئفڪ لاءِ هڪ قاعدو ٺاهيو "dns-over-https" جيئن هيٺ ڏيکاريل آهي:

DNS-over-TLS (DoT) ۽ DNS-over-HTTPS (DoH) استعمال ڪرڻ جي خطرن کي گھٽائڻDNS-over-HTTPS بلاڪ ڪرڻ لاء Palo Alto نيٽ ورڪ NGFW ضابطو

هڪ عبوري متبادل جي طور تي (جيڪڏهن توهان جي تنظيم مڪمل طور تي HTTPS ڊيڪرپشن تي عمل نه ڪيو آهي)، NGFW ترتيب ڏئي سگهجي ٿو "انڪار" عمل لاڳو ڪرڻ لاءِ "dns-over-https" ايپليڪيشن ID، پر اهو اثر محدود ٿي ويندو ڪجهه خاص نيڪال کي بلاڪ ڪرڻ تائين. DoH سرورز کي انهن جي ڊومين جي نالي سان سڃاتو وڃي ٿو، پوءِ ڪيئن HTTPS ڊيڪرپشن کان سواءِ، DoH ٽرئفڪ جو مڪمل معائنو نٿو ڪري سگهجي (ڏسو  پليو آلٽو نيٽ ورڪ کان ايپليپيڊيا   ۽ "dns-over-https" جي ڳولا ڪريو).

DNS مٿان TLS (DoT)

DNS-over-TLS (DoT) ۽ DNS-over-HTTPS (DoH) استعمال ڪرڻ جي خطرن کي گھٽائڻTLS اندر DNS

جڏهن ته DoH پروٽوڪول ساڳئي بندرگاهن تي ٻين ٽريفڪ سان ملائڻ جو رجحان رکي ٿو، DoT بجاءِ ان واحد مقصد لاءِ مخصوص ڪيل هڪ خاص بندرگاهه کي استعمال ڪرڻ لاءِ ڊفالٽ ڪري ٿو، حتي خاص طور تي ساڳئي بندرگاهه کي روايتي غير انڪرپٽ ٿيل DNS ٽرئفڪ ( RFC 7858، سيڪشن 3.1 ).

DoT پروٽوڪول TLS استعمال ڪري ٿو انڪرپشن مهيا ڪرڻ لاءِ جيڪو معياري DNS پروٽوڪول سوالن کي گڏ ڪري ٿو، ٽرئفڪ سان گڏ سڃاتل بندرگاهه 853 ( آر ايف سي 7858 سيڪشن 6 ). DoT پروٽوڪول ان لاءِ ٺاهيو ويو ته تنظيمن لاءِ بندرگاهه تي ٽريفڪ کي بلاڪ ڪرڻ، يا ٽريفڪ قبول ڪرڻ پر ان بندرگاهه تي ڊيڪرپشن کي فعال ڪرڻ آسان بڻائي سگهجي.

DoT سان لاڳاپيل خطرات

گوگل پنهنجي ڪلائنٽ ۾ DoT لاڳو ڪيو آهي Android 9 پائي ۽ بعد ۾ ، ڊفالٽ سيٽنگ سان خودڪار طور تي DoT استعمال ڪرڻ لاءِ جيڪڏهن دستياب هجي. جيڪڏهن توهان خطرن جو اندازو لڳايو آهي ۽ تنظيمي سطح تي DoT استعمال ڪرڻ لاءِ تيار آهيو، ته پوءِ توهان کي گهرجي ته نيٽ ورڪ ايڊمنسٽريٽرن کي واضح طور تي بندرگاهه 853 تي ٻاهرين ٽريفڪ جي اجازت ڏيڻ گهرجي انهن جي پروٽوڪول لاءِ.

DoT ٽرئفڪ جي نمائش ۽ ڪنٽرول کي يقيني بڻائڻ

DoT ڪنٽرول لاءِ هڪ بهترين عمل جي طور تي، اسان توهان جي تنظيم جي گهرجن جي بنياد تي مٿين مان ڪنهن کي به سفارش ڪريون ٿا:

  • منزل پورٽ 853 لاءِ سموري ٽريفڪ کي ڊيڪرپٽ ڪرڻ لاءِ NGFW کي ترتيب ڏيو. ٽريفڪ کي ڊڪرپٽ ڪرڻ سان، DoT هڪ DNS ايپليڪيشن طور ظاهر ٿيندو جنهن تي توهان ڪنهن به عمل کي لاڳو ڪري سگهو ٿا، جهڙوڪ سبسڪرپشن فعال ڪريو پولو آلٽو نيٽ ورڪ DNS سيڪيورٽي DGA ڊومينز يا موجوده هڪ کي ڪنٽرول ڪرڻ لاءِ DNS سنڪولنگ ۽ مخالف اسپائي ويئر.

  • هڪ متبادل اهو آهي ته App-ID انجڻ کي مڪمل طور تي بندرگاهه 853 تي 'dns-over-tls' ٽرئفڪ کي بلاڪ ڪيو وڃي. اهو عام طور تي ڊفالٽ طور بلاڪ ڪيو ويندو آهي، ڪنهن به عمل جي ضرورت ناهي (جيستائين توهان خاص طور تي 'dns-over-tls' ايپليڪيشن يا پورٽ ٽرئفڪ جي اجازت نه ڏيو. 853).

جو ذريعو: www.habr.com

تبصرو شامل ڪريو