ProHoster > බ්ලොග් > පරිපාලනය > DNS-over-TLS (DoT) සහ DNS-over-HTTPS (DoH) භාවිතා කිරීමේ අවදානම අවම කිරීම

DNS-over-TLS (DoT) සහ DNS-over-HTTPS (DoH) භාවිතා කිරීමේ අවදානම අවම කිරීම

DNS-over-TLS (DoT) සහ DNS-over-HTTPS (DoH) භාවිතා කිරීමේ අවදානම අවම කිරීමDoH සහ DoT භාවිතා කිරීමේ අවදානම අවම කිරීම

DoH සහ DoT ආරක්ෂාව

ඔබ ඔබේ DNS ගමනාගමනය පාලනය කරනවාද? සංවිධාන තම ජාල සුරක්ෂිත කිරීම සඳහා බොහෝ කාලයක්, මුදල් සහ ශ්‍රමය ආයෝජනය කරයි. කෙසේ වෙතත්, බොහෝ විට ප්රමාණවත් අවධානයක් නොලැබෙන එක් ප්රදේශයක් වන්නේ DNS ය.

DNS ගෙන එන අවදානම් පිළිබඳ හොඳ දළ විශ්ලේෂණයකි Verisign ඉදිරිපත් කිරීම Infosecurity සමුළුවේදී.

DNS-over-TLS (DoT) සහ DNS-over-HTTPS (DoH) භාවිතා කිරීමේ අවදානම අවම කිරීමසමීක්ෂණය කරන ලද ransomware පන්තිවලින් 31%ක් යතුරු හුවමාරුව සඳහා DNS භාවිතා කළහ. අධ්‍යයනය සොයාගැනීම්

සමීක්ෂණයට ලක් කරන ලද ransomware පන්තිවලින් 31%ක් යතුරු හුවමාරුව සඳහා DNS භාවිතා කළහ.

ප්‍රශ්නය බරපතළයි. Palo Alto Networks Unit 42 පර්යේෂණ විද්‍යාගාරයට අනුව, malware වලින් 85%ක් පමණ DNS භාවිතා කරන්නේ විධාන සහ පාලන නාලිකාවක් පිහිටුවීමට, ප්‍රහාරකයන්ට ඔබේ ජාලයට අනිෂ්ට මෘදුකාංග එන්නත් කිරීමට මෙන්ම දත්ත සොරකම් කිරීමටද ඉඩ සලසයි. එහි ආරම්භයේ සිටම, DNS ගමනාගමනය බොහෝ දුරට සංකේතනය කර නොමැති අතර NGFW ආරක්ෂක යාන්ත්‍රණ මගින් පහසුවෙන් විශ්ලේෂණය කළ හැක. 

DNS සම්බන්ධතා වල රහස්‍යභාවය වැඩි කිරීම ඉලක්ක කර ගනිමින් DNS සඳහා නව ප්‍රොටෝකෝල මතු වී ඇත. ඔවුන්ට ප්‍රමුඛ බ්‍රව්සර් වෙළෙන්දන් සහ අනෙකුත් මෘදුකාංග වෙළෙන්දන් විසින් ක්‍රියාකාරීව සහාය දක්වයි. සංකේතාත්මක DNS ගමනාගමනය ඉක්මනින් ආයතනික ජාල තුළ වර්ධනය වීමට පටන් ගනී. මෙවලම් මගින් නිසි ලෙස විශ්ලේෂණය කර විසඳා නොගත් සංකේතාත්මක DNS ගමනාගමනය සමාගමකට ආරක්ෂක අවදානමක් ඇති කරයි. උදාහරණයක් ලෙස, එවැනි තර්ජනයක් යනු ගුප්තකේතන යතුරු හුවමාරු කිරීමට DNS භාවිතා කරන cryptolockers වේ. ඔබේ දත්ත වෙත ප්‍රවේශය ප්‍රතිසාධනය කිරීම සඳහා ප්‍රහාරකයන් දැන් ඩොලර් මිලියන කිහිපයක කප්පමක් ඉල්ලා සිටී. උදාහරණයක් ලෙස Garmin ඩොලර් මිලියන 10ක් ගෙව්වා.

නිවැරදිව වින්‍යාස කර ඇති විට, NGFWs හට DNS-over-TLS (DoT) භාවිතය ප්‍රතික්ෂේප කිරීමට හෝ ආරක්ෂා කිරීමට හැකි අතර DNS-over-HTTPS (DoH) භාවිතය ප්‍රතික්ෂේප කිරීමට භාවිතා කළ හැක, ඔබේ ජාලයේ සියලුම DNS ගමනාගමනය විශ්ලේෂණය කිරීමට ඉඩ සලසයි.

සංකේතාත්මක DNS යනු කුමක්ද?

DNS යනු කුමක්ද?

වසම් නාම පද්ධතිය (DNS) මිනිසුන්ට කියවිය හැකි වසම් නාම විසඳයි (උදාහරණයක් ලෙස, ලිපිනය www.paloaltonetworks.com ) IP ලිපින වෙත (උදාහරණයක් ලෙස, 34.107.151.202). පරිශීලකයෙකු වෙබ් බ්‍රවුසරයකට ඩොමේන් නාමයක් ඇතුළු කළ විට, බ්‍රවුසරය එම ඩොමේන් නාමය හා සම්බන්ධ IP ලිපිනය ඉල්ලා DNS සේවාදායකයට DNS විමසුමක් යවයි. ප්‍රතිචාර වශයෙන්, DNS සේවාදායකය මෙම බ්‍රවුසරය භාවිතා කරන IP ලිපිනය ආපසු ලබා දෙයි.

DNS විමසුම් සහ ප්‍රතිචාර ජාලය හරහා යවනු ලබන්නේ සරල පෙළ, සංකේතනය නොකළ, ඔත්තු බැලීමට හෝ ප්‍රතිචාරය වෙනස් කිරීමට සහ බ්‍රවුසරය අනිෂ්ට සේවාදායකයන් වෙත හරවා යැවීමට අවදානමට ලක් කරයි. DNS සංකේතනය මඟින් සම්ප්‍රේෂණය අතරතුර DNS ඉල්ලීම් නිරීක්ෂණය කිරීම හෝ වෙනස් කිරීම අපහසු වේ. DNS ඉල්ලීම් සහ ප්‍රතිචාර සංකේතනය කිරීම සාම්ප්‍රදායික සාමාන්‍ය පෙළ DNS (වසම් නාම පද්ධතිය) ප්‍රොටෝකෝලය ලෙස එකම ක්‍රියාකාරීත්වය සිදු කරන අතරේ Man-in-The-Middle ප්‍රහාර වලින් ඔබව ආරක්ෂා කරයි. 

පසුගිය වසර කිහිපය තුළ, DNS සංකේතාංකන ප්‍රොටෝකෝල දෙකක් හඳුන්වා දී ඇත:

  1. DNS-over-HTTPS (DoH)

  2. DNS-over-TLS (DoT)

මෙම ප්‍රොටෝකෝලවලට පොදු දෙයක් ඇත: ඒවා හිතාමතාම DNS ඉල්ලීම් ඕනෑම බාධාවකින් සඟවයි... සහ සංවිධානයේ ආරක්ෂක නිලධාරීන්ගෙන්ද. ප්‍රොටෝකෝල මූලික වශයෙන් TLS (ප්‍රවාහන ස්ථර ආරක්ෂාව) භාවිතා කරනුයේ සාමාන්‍යයෙන් DNS ගමනාගමනය සඳහා භාවිතා නොකරන වරායක් හරහා විමසුම් කරන සේවාලාභියෙකු සහ DNS විමසුම් විසඳන සේවාදායකයක් අතර සංකේතාත්මක සම්බන්ධතාවයක් ඇති කර ගැනීමටය.

DNS විමසුම්වල රහස්‍යභාවය මෙම ප්‍රොටෝකෝලවල විශාල වාසියකි. කෙසේ වෙතත්, ඔවුන් ජාල ගමනාගමනය නිරීක්ෂණය කළ යුතු සහ අනිෂ්ට සම්බන්ධතා හඳුනාගෙන අවහිර කළ යුතු ආරක්ෂක නිලධාරීන්ට ගැටළු ඇති කරයි. ප්‍රොටෝකෝල ක්‍රියාත්මක කිරීමේදී වෙනස් වන බැවින්, විශ්ලේෂණ ක්‍රම DoH සහ DoT අතර වෙනස් වේ.

HTTPS හරහා DNS (DoH)

DNS-over-TLS (DoT) සහ DNS-over-HTTPS (DoH) භාවිතා කිරීමේ අවදානම අවම කිරීමHTTPS ඇතුළත DNS

DoH HTTPS සඳහා සුප්‍රසිද්ධ වරාය 443 භාවිතා කරයි, ඒ සඳහා RFC විශේෂයෙන් ප්‍රකාශ කරන්නේ අභිප්‍රාය වන්නේ "එකම සම්බන්ධතාවයේ අනෙකුත් HTTPS ගමනාගමනය සමඟ DoH ගමනාගමනය මිශ්‍ර කිරීම", "DNS ගමනාගමනය විශ්ලේෂණය කිරීම දුෂ්කර කිරීම" සහ එමඟින් ආයතනික පාලනයන් මග හැරීම බවයි. ( RFC 8484 DoH වගන්තිය 8.1 ) DoH ප්‍රොටෝකෝලය TLS සංකේතනය සහ සාමාන්‍ය HTTPS සහ HTTP/2 ප්‍රමිති මගින් සපයන ලද ඉල්ලීම් වාක්‍ය ඛණ්ඩය භාවිතා කරයි, සම්මත HTTP ඉල්ලීම් වලට ඉහළින් DNS ඉල්ලීම් සහ ප්‍රතිචාර එක් කරයි.

DoH හා සම්බන්ධ අවදානම්

ඔබට සාමාන්‍ය HTTPS ගමනාගමනය DoH ඉල්ලීම් වලින් වෙන්කර හඳුනාගත නොහැකි නම්, ඔබගේ සංවිධානය තුළ ඇති යෙදුම් වලට DoH ඉල්ලීම්වලට ප්‍රතිචාර දක්වන තෙවන පාර්ශවීය සේවාදායකයන් වෙත ඉල්ලීම් යළි හරවා යැවීමෙන් දේශීය DNS සිටුවම් මඟ හැරිය හැක. DNS ගමනාගමනය පාලනය කරන්න. ඉතා මැනවින්, ඔබ HTTPS විකේතන ශ්‍රිත භාවිතයෙන් DoH පාලනය කළ යුතුය. 

И Google සහ Mozilla DoH හැකියාවන් ක්‍රියාත්මක කර ඇත ඔවුන්ගේ බ්‍රවුසරයේ නවතම අනුවාදයේ, සහ සමාගම් දෙකම සියලුම DNS ඉල්ලීම් සඳහා පෙරනිමියෙන් DoH භාවිතා කිරීමට ක්‍රියා කරයි. මයික්‍රොසොෆ්ට් ද සැලසුම් සකස් කරමින් සිටී ඔවුන්ගේ මෙහෙයුම් පද්ධති වලට DoH ඒකාබද්ධ කිරීම මත. අවාසිය නම්, පිළිගත් මෘදුකාංග සමාගම් පමණක් නොව, ප්‍රහාරකයින් ද සාම්ප්‍රදායික ආයතනික ෆයර්වෝල් පියවර මඟ හැරීමේ මාධ්‍යයක් ලෙස DoH භාවිතා කිරීමට පටන් ගෙන තිබීමයි. (උදාහරණයක් ලෙස, පහත ලිපි සමාලෝචනය කරන්න: PsiXBot දැන් Google DoH භාවිතා කරයි , යාවත්කාලීන කරන ලද DNS යටිතල පහසුකම් සමඟ PsiXBot අඛණ්ඩව විකාශනය වේ и ගොඩ්ලුවා පසුබිම් විශ්ලේෂණය .) ඕනෑම අවස්ථාවක, හොඳ සහ අනිෂ්ට DoH ගමනාගමනය හඳුනා නොගනු ඇත, අනිෂ්ට මෘදුකාංග (C2) පාලනය කිරීමට සහ සංවේදී දත්ත සොරකම් කිරීමට වාහකයක් ලෙස DoH අනිෂ්ට භාවිතයට ආයතනය අන්ධ වනු ඇත.

DoH ගමනාගමනයේ දෘශ්‍යතාව සහ පාලනය සහතික කිරීම

DoH පාලනය සඳහා හොඳම විසඳුම ලෙස, අපි HTTPS ගමනාගමනය විකේතනය කිරීමට සහ DoH ගමනාගමනය අවහිර කිරීමට NGFW වින්‍යාස කිරීම නිර්දේශ කරමු (යෙදුම් නම: dns-over-https). 

පළමුව, NGFW අනුව HTTPS විකේතනය කිරීමට වින්‍යාස කර ඇති බවට වග බලා ගන්න හොඳම විකේතන ශිල්පීය ක්‍රම සඳහා මාර්ගෝපදේශයකි.

දෙවනුව, පහත දැක්වෙන පරිදි යෙදුම් ගමනාගමනය "dns-over-https" සඳහා රීතියක් සාදන්න:

DNS-over-TLS (DoT) සහ DNS-over-HTTPS (DoH) භාවිතා කිරීමේ අවදානම අවම කිරීමPalo Alto Networks NGFW Rule to block DNS-over-HTTPS

අතුරු විකල්පයක් ලෙස (ඔබේ ආයතනය HTTPS විකේතනය සම්පූර්ණයෙන් ක්‍රියාත්මක කර නොමැති නම්), "dns-over-https" යෙදුම් ID වෙත "ප්‍රතික්ෂේප කිරීමේ" ක්‍රියාවක් යෙදීමට NGFW වින්‍යාස කළ හැක, නමුත් බලපෑම යම් යම් හොඳින් අවහිර කිරීමට සීමා වනු ඇත. ඔවුන්ගේ ඩොමේන් නාමයෙන් දන්නා DoH සේවාදායකයන්, HTTPS විකේතනය නොමැතිව, DoH ගමනාගමනය සම්පූර්ණයෙන්ම පරීක්ෂා කළ නොහැක (බලන්න  Palo Alto Networks වෙතින් Applipedia   සහ "dns-over-https" සඳහා සොයන්න).

DNS හරහා TLS (DoT)

DNS-over-TLS (DoT) සහ DNS-over-HTTPS (DoH) භාවිතා කිරීමේ අවදානම අවම කිරීමTLS ඇතුලත DNS

DoH ප්‍රොටෝකෝලය එකම වරායේ වෙනත් ගමනාගමනය සමඟ මිශ්‍ර වීමට නැඹුරු වන අතර, ඒ වෙනුවට එම එකම අරමුණ සඳහා වෙන් කර ඇති විශේෂ වරායක් භාවිතා කිරීමට DoT පෙරනිමි කරයි, සාම්ප්‍රදායික සංකේතාංකනය නොකළ DNS ගමනාගමනය මගින් එම වරාය භාවිතා කිරීමට පවා ඉඩ නොදේ. RFC 7858, වගන්තිය 3.1 ).

සුප්‍රසිද්ධ වරාය 853 (XNUMX) භාවිතා කරන ගමනාගමනය සමඟ සම්මත DNS ප්‍රොටෝකෝල විමසුම් කැප්සියුලර් කරන සංකේතනය සැපයීමට DoT ප්‍රොටෝකෝලය TLS භාවිතා කරයි. RFC 7858 කොටස 6 ) DoT ප්‍රොටෝකෝලය සැලසුම් කර ඇත්තේ ආයතනවලට වරායක ගමනාගමනය අවහිර කිරීම හෝ ගමනාගමනය පිළිගැනීම නමුත් එම වරායේ විකේතනය සක්‍රීය කිරීම පහසු කිරීම සඳහාය.

DoT හා සම්බන්ධ අවදානම්

Google එහි සේවාලාභියා තුළ DoT ක්‍රියාත්මක කර ඇත Android 9 Pie සහ පසුව , තිබේ නම් ස්වයංක්‍රීයව DoT භාවිත කිරීමට පෙරනිමි සැකසුම සමඟ. ඔබ අවදානම් තක්සේරු කර ඇත්නම් සහ ආයතනික මට්ටමින් DoT භාවිතා කිරීමට සූදානම් නම්, මෙම නව ප්‍රොටෝකෝලය සඳහා ජාල පරිපාලකයින් ඔවුන්ගේ පරිමිතිය හරහා 853 වරායේ පිටතට යන ගමනාගමනයට පැහැදිලිවම ඉඩ ලබා දිය යුතුය.

DoT ගමනාගමනයේ දෘශ්‍යතාව සහ පාලනය සහතික කිරීම

DoT පාලනය සඳහා හොඳම භාවිතයක් ලෙස, අපි ඔබේ සංවිධානයේ අවශ්‍යතා මත පදනම්ව, ඉහත ඕනෑම දෙයක් නිර්දේශ කරමු:

  • ගමනාන්ත තොට 853 සඳහා සියලුම ගමනාගමනය විකේතනය කිරීමට NGFW වින්‍යාස කරන්න. ගමනාගමනය විකේතනය කිරීමෙන්, ඔබට දායකත්වය සබල කිරීම වැනි ඕනෑම ක්‍රියාවක් යෙදිය හැකි DNS යෙදුමක් ලෙස DoT දිස්වනු ඇත. Palo Alto Networks DNS ආරක්ෂාව DGA වසම් හෝ පවතින එකක් පාලනය කිරීමට DNS සින්ක්හෝලිං සහ ඔත්තු මෘදුකාංග විරෝධී.

  • විකල්පයක් නම්, App-ID එන්ජිම වරාය 853 හි 'dns-over-tls' ගමනාගමනය සම්පූර්ණයෙන්ම අවහිර කිරීමයි. මෙය සාමාන්‍යයෙන් පෙරනිමියෙන් අවහිර කරනු ලැබේ, කිසිදු ක්‍රියාමාර්ගයක් අවශ්‍ය නොවේ (ඔබ විශේෂයෙන් 'dns-over-tls' යෙදුමට හෝ වරායට ඉඩ දෙන්නේ නම් මිස. ගමනාගමනය 853).

මූලාශ්රය: www.habr.com

අදහස් එක් කරන්න