Minimalizácia rizík používania DoH a DoT
Ochrana DoH a DoT
Máte pod kontrolou svoju DNS prevádzku? Organizácie investujú veľa času, peňazí a úsilia do zabezpečenia svojich sietí. Jednou z oblastí, ktorej sa však často nevenuje dostatočná pozornosť, je DNS.
Dobrý prehľad o rizikách, ktoré DNS prináša, je na konferencii Infosecurity.
31 % opýtaných tried ransomvéru používalo na výmenu kľúčov DNS
31 % skúmaných tried ransomvéru používalo na výmenu kľúčov DNS.
Problém je vážny. Podľa výskumného laboratória Palo Alto Networks Unit 42 približne 85 % malvéru používa DNS na vytvorenie príkazového a riadiaceho kanála, čo útočníkom umožňuje jednoducho vložiť malvér do vašej siete, ako aj ukradnúť údaje. Od svojho vzniku bola prevádzka DNS z veľkej časti nešifrovaná a možno ju ľahko analyzovať bezpečnostnými mechanizmami NGFW.
Objavili sa nové protokoly pre DNS zamerané na zvýšenie dôvernosti pripojení DNS. Aktívne ich podporujú poprední predajcovia prehliadačov a ďalší dodávatelia softvéru. Šifrovaná prevádzka DNS čoskoro začne rásť v podnikových sieťach. Šifrovaná prevádzka DNS, ktorá nie je správne analyzovaná a vyriešená nástrojmi, predstavuje pre spoločnosť bezpečnostné riziko. Takouto hrozbou sú napríklad kryptolockery, ktoré využívajú DNS na výmenu šifrovacích kľúčov. Útočníci teraz požadujú výkupné niekoľko miliónov dolárov za obnovenie prístupu k vašim údajom. Napríklad Garmin zaplatil 10 miliónov dolárov.
Ak sú NGFW správne nakonfigurované, môžu zakázať alebo chrániť používanie DNS-over-TLS (DoT) a môžu byť použité na odmietnutie používania DNS-over-HTTPS (DoH), čo umožňuje analyzovať všetku prevádzku DNS vo vašej sieti.
Čo je šifrovaný DNS?
Čo je DNS
Systém názvov domén (DNS) rozlišuje názvy domén čitateľné pre človeka (napríklad adresu ) na adresy IP (napríklad 34.107.151.202). Keď používateľ zadá názov domény do webového prehliadača, prehliadač odošle DNS dotaz na server DNS s požiadavkou na IP adresu spojenú s týmto názvom domény. Ako odpoveď DNS server vráti IP adresu, ktorú tento prehliadač použije.
Dotazy a odpovede DNS sa odosielajú cez sieť ako obyčajný text, nezašifrované, takže sú zraniteľné voči špehovaniu alebo zmene odpovede a presmerovaniu prehliadača na škodlivé servery. Šifrovanie DNS sťažuje sledovanie alebo zmenu požiadaviek DNS počas prenosu. Šifrovanie požiadaviek a odpovedí DNS vás chráni pred útokmi typu Man-in-the-Middle a zároveň vykonáva rovnakú funkčnosť ako tradičný protokol DNS (Domain Name System) s otvoreným textom.
V posledných rokoch boli zavedené dva šifrovacie protokoly DNS:
-
DNS-over-HTTPS (DoH)
-
DNS-over-TLS (DoT)
Tieto protokoly majú jednu vec spoločnú: zámerne skrývajú požiadavky DNS pred akýmkoľvek zachytením... a tiež pred bezpečnostnými strážami organizácie. Protokoly primárne používajú TLS (Transport Layer Security) na vytvorenie šifrovaného spojenia medzi klientom, ktorý vytvára dotazy, a serverom, ktorý rieši dotazy DNS cez port, ktorý sa normálne nepoužíva pre prenos DNS.
Dôvernosť DNS dotazov je veľkou výhodou týchto protokolov. Predstavujú však problémy pre bezpečnostných strážcov, ktorí musia monitorovať sieťovú prevádzku a odhaľovať a blokovať škodlivé spojenia. Pretože sa protokoly líšia vo svojej implementácii, metódy analýzy sa budú líšiť medzi DoH a DoT.
DNS cez HTTPS (DoH)
DNS vo vnútri HTTPS
DoH používa dobre známy port 443 pre HTTPS, pre ktorý RFC konkrétne uvádza, že zámerom je „zmiešať prevádzku DoH s inou návštevnosťou HTTPS na rovnakom pripojení“, „sťažiť analýzu prevádzky DNS“ a obísť tak podnikové kontroly. ( ). Protokol DoH používa šifrovanie TLS a syntax požiadaviek poskytovanú bežnými štandardmi HTTPS a HTTP/2, pričom k štandardným požiadavkám HTTP pridáva požiadavky a odpovede DNS.
Riziká spojené s DoH
Ak nedokážete rozlíšiť bežnú premávku HTTPS od požiadaviek DoH, aplikácie vo vašej organizácii môžu (a budú) obísť miestne nastavenia DNS presmerovaním požiadaviek na servery tretích strán odpovedajúce na požiadavky DoH, čo obchádza akékoľvek monitorovanie, to znamená, že ničí schopnosť ovládať prenos DNS. V ideálnom prípade by ste mali ovládať DoH pomocou funkcií dešifrovania HTTPS.
И v najnovšej verzii svojich prehliadačov a obe spoločnosti pracujú na tom, aby štandardne používali DoH pre všetky požiadavky DNS. o integrácii DoH do ich operačných systémov. Nevýhodou je, že nielen renomované softvérové spoločnosti, ale aj útočníci začali využívať DoH ako prostriedok na obídenie tradičných firemných firewallových opatrení. (Prečítajte si napríklad nasledujúce články: , и .) V oboch prípadoch ostane dobrá aj škodoradostná prevádzka DoH neodhalená, takže organizácia zostane slepá voči škodlivému používaniu DoH ako prostriedku na kontrolu malvéru (C2) a krádež citlivých údajov.
Zabezpečenie viditeľnosti a kontroly dopravy DoH
Ako najlepšie riešenie pre kontrolu DoH odporúčame nakonfigurovať NGFW na dešifrovanie prenosu HTTPS a blokovanie prevádzky DoH (názov aplikácie: dns-over-https).
Najprv sa uistite, že NGFW je nakonfigurovaný na dešifrovanie HTTPS podľa .
Po druhé, vytvorte pravidlo pre návštevnosť aplikácií „dns-over-https“, ako je uvedené nižšie:
Palo Alto Networks pravidlo NGFW na blokovanie DNS-over-HTTPS
Ako dočasnú alternatívu (ak vaša organizácia nemá plne implementované dešifrovanie HTTPS) je možné NGFW nakonfigurovať tak, aby aplikovala akciu „odmietnutia“ na ID aplikácie „dns-over-https“, ale účinok bude obmedzený na blokovanie určitých dobre- známe servery DoH podľa názvu domény, takže ako bez dešifrovania HTTPS nemožno úplne skontrolovať prevádzku DoH (pozri a vyhľadajte „dns-over-https“).
DNS cez TLS (DoT)
DNS vo vnútri TLS
Zatiaľ čo protokol DoH má tendenciu miešať sa s inou prevádzkou na rovnakom porte, DoT namiesto toho predvolene používa špeciálny port vyhradený na tento jediný účel, dokonca špecificky zakazuje používanie rovnakého portu tradičnou nešifrovanou prevádzkou DNS ( ).
Protokol DoT používa TLS na poskytovanie šifrovania, ktoré zahŕňa štandardné dotazy protokolu DNS, pričom prenos využíva známy port 853 ( ). Protokol DoT bol navrhnutý tak, aby organizáciám uľahčil blokovanie prenosu na porte alebo akceptovanie prenosu, ale umožnilo dešifrovanie na tomto porte.
Riziká spojené s DoT
Google implementoval DoT vo svojom klientovi , s predvoleným nastavením na automatické používanie DoT, ak je k dispozícii. Ak ste vyhodnotili riziká a ste pripravení použiť DoT na organizačnej úrovni, musíte mať správcov siete, aby explicitne povolili odchádzajúce prenosy na porte 853 cez ich perimeter pre tento nový protokol.
Zabezpečenie viditeľnosti a kontroly premávky DoT
Ako osvedčený postup pre kontrolu DoT odporúčame na základe požiadaviek vašej organizácie ktorúkoľvek z vyššie uvedených možností:
-
Nakonfigurujte NGFW tak, aby dešifrovala všetku komunikáciu pre cieľový port 853. Po dešifrovaní prenosu sa DoT zobrazí ako aplikácia DNS, na ktorú môžete použiť ľubovoľnú akciu, napríklad povoliť predplatné na kontrolu DGA domén alebo existujúcej domény a anti-spyware.
-
Alternatívou je nechať modul App-ID úplne blokovať prenos „dns-over-tls“ na porte 853. Toto je zvyčajne predvolene zablokované, nevyžaduje sa žiadna akcia (pokiaľ konkrétne nepovolíte prevádzku aplikácie alebo portu „dns-over-tls“ 853).
Zdroj: hab.com