DoH සහ DoT භාවිතා කිරීමේ අවදානම අවම කිරීම
DoH සහ DoT ආරක්ෂාව
ඔබ ඔබේ DNS ගමනාගමනය පාලනය කරනවාද? සංවිධාන තම ජාල සුරක්ෂිත කිරීම සඳහා බොහෝ කාලයක්, මුදල් සහ ශ්රමය ආයෝජනය කරයි. කෙසේ වෙතත්, බොහෝ විට ප්රමාණවත් අවධානයක් නොලැබෙන එක් ප්රදේශයක් වන්නේ DNS ය.
DNS ගෙන එන අවදානම් පිළිබඳ හොඳ දළ විශ්ලේෂණයකි
සමීක්ෂණය කරන ලද ransomware පන්තිවලින් 31%ක් යතුරු හුවමාරුව සඳහා DNS භාවිතා කළහ. අධ්යයනය සොයාගැනීම්
සමීක්ෂණයට ලක් කරන ලද ransomware පන්තිවලින් 31%ක් යතුරු හුවමාරුව සඳහා DNS භාවිතා කළහ.
ප්රශ්නය බරපතළයි. Palo Alto Networks Unit 42 පර්යේෂණ විද්යාගාරයට අනුව, malware වලින් 85%ක් පමණ DNS භාවිතා කරන්නේ විධාන සහ පාලන නාලිකාවක් පිහිටුවීමට, ප්රහාරකයන්ට ඔබේ ජාලයට අනිෂ්ට මෘදුකාංග එන්නත් කිරීමට මෙන්ම දත්ත සොරකම් කිරීමටද ඉඩ සලසයි. එහි ආරම්භයේ සිටම, DNS ගමනාගමනය බොහෝ දුරට සංකේතනය කර නොමැති අතර NGFW ආරක්ෂක යාන්ත්රණ මගින් පහසුවෙන් විශ්ලේෂණය කළ හැක.
DNS සම්බන්ධතා වල රහස්යභාවය වැඩි කිරීම ඉලක්ක කර ගනිමින් DNS සඳහා නව ප්රොටෝකෝල මතු වී ඇත. ඔවුන්ට ප්රමුඛ බ්රව්සර් වෙළෙන්දන් සහ අනෙකුත් මෘදුකාංග වෙළෙන්දන් විසින් ක්රියාකාරීව සහාය දක්වයි. සංකේතාත්මක DNS ගමනාගමනය ඉක්මනින් ආයතනික ජාල තුළ වර්ධනය වීමට පටන් ගනී. මෙවලම් මගින් නිසි ලෙස විශ්ලේෂණය කර විසඳා නොගත් සංකේතාත්මක DNS ගමනාගමනය සමාගමකට ආරක්ෂක අවදානමක් ඇති කරයි. උදාහරණයක් ලෙස, එවැනි තර්ජනයක් යනු ගුප්තකේතන යතුරු හුවමාරු කිරීමට DNS භාවිතා කරන cryptolockers වේ. ඔබේ දත්ත වෙත ප්රවේශය ප්රතිසාධනය කිරීම සඳහා ප්රහාරකයන් දැන් ඩොලර් මිලියන කිහිපයක කප්පමක් ඉල්ලා සිටී. උදාහරණයක් ලෙස Garmin ඩොලර් මිලියන 10ක් ගෙව්වා.
නිවැරදිව වින්යාස කර ඇති විට, NGFWs හට DNS-over-TLS (DoT) භාවිතය ප්රතික්ෂේප කිරීමට හෝ ආරක්ෂා කිරීමට හැකි අතර DNS-over-HTTPS (DoH) භාවිතය ප්රතික්ෂේප කිරීමට භාවිතා කළ හැක, ඔබේ ජාලයේ සියලුම DNS ගමනාගමනය විශ්ලේෂණය කිරීමට ඉඩ සලසයි.
සංකේතාත්මක DNS යනු කුමක්ද?
DNS යනු කුමක්ද?
වසම් නාම පද්ධතිය (DNS) මිනිසුන්ට කියවිය හැකි වසම් නාම විසඳයි (උදාහරණයක් ලෙස, ලිපිනය
DNS විමසුම් සහ ප්රතිචාර ජාලය හරහා යවනු ලබන්නේ සරල පෙළ, සංකේතනය නොකළ, ඔත්තු බැලීමට හෝ ප්රතිචාරය වෙනස් කිරීමට සහ බ්රවුසරය අනිෂ්ට සේවාදායකයන් වෙත හරවා යැවීමට අවදානමට ලක් කරයි. DNS සංකේතනය මඟින් සම්ප්රේෂණය අතරතුර DNS ඉල්ලීම් නිරීක්ෂණය කිරීම හෝ වෙනස් කිරීම අපහසු වේ. DNS ඉල්ලීම් සහ ප්රතිචාර සංකේතනය කිරීම සාම්ප්රදායික සාමාන්ය පෙළ DNS (වසම් නාම පද්ධතිය) ප්රොටෝකෝලය ලෙස එකම ක්රියාකාරීත්වය සිදු කරන අතරේ Man-in-The-Middle ප්රහාර වලින් ඔබව ආරක්ෂා කරයි.
පසුගිය වසර කිහිපය තුළ, DNS සංකේතාංකන ප්රොටෝකෝල දෙකක් හඳුන්වා දී ඇත:
-
DNS-over-HTTPS (DoH)
-
DNS-over-TLS (DoT)
මෙම ප්රොටෝකෝලවලට පොදු දෙයක් ඇත: ඒවා හිතාමතාම DNS ඉල්ලීම් ඕනෑම බාධාවකින් සඟවයි... සහ සංවිධානයේ ආරක්ෂක නිලධාරීන්ගෙන්ද. ප්රොටෝකෝල මූලික වශයෙන් TLS (ප්රවාහන ස්ථර ආරක්ෂාව) භාවිතා කරනුයේ සාමාන්යයෙන් DNS ගමනාගමනය සඳහා භාවිතා නොකරන වරායක් හරහා විමසුම් කරන සේවාලාභියෙකු සහ DNS විමසුම් විසඳන සේවාදායකයක් අතර සංකේතාත්මක සම්බන්ධතාවයක් ඇති කර ගැනීමටය.
DNS විමසුම්වල රහස්යභාවය මෙම ප්රොටෝකෝලවල විශාල වාසියකි. කෙසේ වෙතත්, ඔවුන් ජාල ගමනාගමනය නිරීක්ෂණය කළ යුතු සහ අනිෂ්ට සම්බන්ධතා හඳුනාගෙන අවහිර කළ යුතු ආරක්ෂක නිලධාරීන්ට ගැටළු ඇති කරයි. ප්රොටෝකෝල ක්රියාත්මක කිරීමේදී වෙනස් වන බැවින්, විශ්ලේෂණ ක්රම DoH සහ DoT අතර වෙනස් වේ.
HTTPS හරහා DNS (DoH)
HTTPS ඇතුළත DNS
DoH HTTPS සඳහා සුප්රසිද්ධ වරාය 443 භාවිතා කරයි, ඒ සඳහා RFC විශේෂයෙන් ප්රකාශ කරන්නේ අභිප්රාය වන්නේ "එකම සම්බන්ධතාවයේ අනෙකුත් HTTPS ගමනාගමනය සමඟ DoH ගමනාගමනය මිශ්ර කිරීම", "DNS ගමනාගමනය විශ්ලේෂණය කිරීම දුෂ්කර කිරීම" සහ එමඟින් ආයතනික පාලනයන් මග හැරීම බවයි. (
DoH හා සම්බන්ධ අවදානම්
ඔබට සාමාන්ය HTTPS ගමනාගමනය DoH ඉල්ලීම් වලින් වෙන්කර හඳුනාගත නොහැකි නම්, ඔබගේ සංවිධානය තුළ ඇති යෙදුම් වලට DoH ඉල්ලීම්වලට ප්රතිචාර දක්වන තෙවන පාර්ශවීය සේවාදායකයන් වෙත ඉල්ලීම් යළි හරවා යැවීමෙන් දේශීය DNS සිටුවම් මඟ හැරිය හැක. DNS ගමනාගමනය පාලනය කරන්න. ඉතා මැනවින්, ඔබ HTTPS විකේතන ශ්රිත භාවිතයෙන් DoH පාලනය කළ යුතුය.
И
DoH ගමනාගමනයේ දෘශ්යතාව සහ පාලනය සහතික කිරීම
DoH පාලනය සඳහා හොඳම විසඳුම ලෙස, අපි HTTPS ගමනාගමනය විකේතනය කිරීමට සහ DoH ගමනාගමනය අවහිර කිරීමට NGFW වින්යාස කිරීම නිර්දේශ කරමු (යෙදුම් නම: dns-over-https).
පළමුව, NGFW අනුව HTTPS විකේතනය කිරීමට වින්යාස කර ඇති බවට වග බලා ගන්න
දෙවනුව, පහත දැක්වෙන පරිදි යෙදුම් ගමනාගමනය "dns-over-https" සඳහා රීතියක් සාදන්න:
Palo Alto Networks NGFW Rule to block DNS-over-HTTPS
අතුරු විකල්පයක් ලෙස (ඔබේ ආයතනය HTTPS විකේතනය සම්පූර්ණයෙන් ක්රියාත්මක කර නොමැති නම්), "dns-over-https" යෙදුම් ID වෙත "ප්රතික්ෂේප කිරීමේ" ක්රියාවක් යෙදීමට NGFW වින්යාස කළ හැක, නමුත් බලපෑම යම් යම් හොඳින් අවහිර කිරීමට සීමා වනු ඇත. ඔවුන්ගේ ඩොමේන් නාමයෙන් දන්නා DoH සේවාදායකයන්, HTTPS විකේතනය නොමැතිව, DoH ගමනාගමනය සම්පූර්ණයෙන්ම පරීක්ෂා කළ නොහැක (බලන්න
DNS හරහා TLS (DoT)
TLS ඇතුලත DNS
DoH ප්රොටෝකෝලය එකම වරායේ වෙනත් ගමනාගමනය සමඟ මිශ්ර වීමට නැඹුරු වන අතර, ඒ වෙනුවට එම එකම අරමුණ සඳහා වෙන් කර ඇති විශේෂ වරායක් භාවිතා කිරීමට DoT පෙරනිමි කරයි, සාම්ප්රදායික සංකේතාංකනය නොකළ DNS ගමනාගමනය මගින් එම වරාය භාවිතා කිරීමට පවා ඉඩ නොදේ.
සුප්රසිද්ධ වරාය 853 (XNUMX) භාවිතා කරන ගමනාගමනය සමඟ සම්මත DNS ප්රොටෝකෝල විමසුම් කැප්සියුලර් කරන සංකේතනය සැපයීමට DoT ප්රොටෝකෝලය TLS භාවිතා කරයි.
DoT හා සම්බන්ධ අවදානම්
Google එහි සේවාලාභියා තුළ DoT ක්රියාත්මක කර ඇත
DoT ගමනාගමනයේ දෘශ්යතාව සහ පාලනය සහතික කිරීම
DoT පාලනය සඳහා හොඳම භාවිතයක් ලෙස, අපි ඔබේ සංවිධානයේ අවශ්යතා මත පදනම්ව, ඉහත ඕනෑම දෙයක් නිර්දේශ කරමු:
-
ගමනාන්ත තොට 853 සඳහා සියලුම ගමනාගමනය විකේතනය කිරීමට NGFW වින්යාස කරන්න. ගමනාගමනය විකේතනය කිරීමෙන්, ඔබට දායකත්වය සබල කිරීම වැනි ඕනෑම ක්රියාවක් යෙදිය හැකි DNS යෙදුමක් ලෙස DoT දිස්වනු ඇත.
Palo Alto Networks DNS ආරක්ෂාව DGA වසම් හෝ පවතින එකක් පාලනය කිරීමටDNS සින්ක්හෝලිං සහ ඔත්තු මෘදුකාංග විරෝධී. -
විකල්පයක් නම්, App-ID එන්ජිම වරාය 853 හි 'dns-over-tls' ගමනාගමනය සම්පූර්ණයෙන්ම අවහිර කිරීමයි. මෙය සාමාන්යයෙන් පෙරනිමියෙන් අවහිර කරනු ලැබේ, කිසිදු ක්රියාමාර්ගයක් අවශ්ය නොවේ (ඔබ විශේෂයෙන් 'dns-over-tls' යෙදුමට හෝ වරායට ඉඩ දෙන්නේ නම් මිස. ගමනාගමනය 853).
මූලාශ්රය: www.habr.com