Zmanjšanje tveganj uporabe DoH in DoT
Zaščita DoH in DoT
Ali nadzirate svoj promet DNS? Organizacije vložijo veliko časa, denarja in truda v varovanje svojih omrežij. Vendar je eno področje, ki pogosto ne dobi dovolj pozornosti, DNS.
Dober pregled tveganj, ki jih prinaša DNS, je na konferenci Infosecurity.
31 % anketiranih razredov izsiljevalske programske opreme je za izmenjavo ključev uporabljalo DNS. Ugotovitve študije
31 % anketiranih razredov izsiljevalske programske opreme je za izmenjavo ključev uporabljalo DNS.
Problem je resen. Po podatkih raziskovalnega laboratorija Palo Alto Networks Unit 42 približno 85 % zlonamerne programske opreme uporablja DNS za vzpostavitev ukaznega in nadzornega kanala, kar napadalcem omogoča enostavno vbrizgavanje zlonamerne programske opreme v vaše omrežje in krajo podatkov. Od svojega začetka je bil promet DNS večinoma nešifriran in ga je mogoče zlahka analizirati z varnostnimi mehanizmi NGFW.
Pojavili so se novi protokoli za DNS, katerih cilj je povečati zaupnost povezav DNS. Aktivno jih podpirajo vodilni proizvajalci brskalnikov in drugi proizvajalci programske opreme. Šifrirani promet DNS bo kmalu začel rasti v omrežjih podjetij. Šifriran promet DNS, ki ni pravilno analiziran in razrešen z orodji, predstavlja varnostno tveganje za podjetje. Takšna grožnja so na primer kriptovalute, ki uporabljajo DNS za izmenjavo šifrirnih ključev. Napadalci zdaj zahtevajo odkupnino v višini več milijonov dolarjev, da bi obnovili dostop do vaših podatkov. Garmin je na primer plačal 10 milijonov dolarjev.
Ko so pravilno konfigurirani, lahko NGFW zavrnejo ali zaščitijo uporabo DNS-over-TLS (DoT) in se lahko uporabljajo za zavrnitev uporabe DNS-over-HTTPS (DoH), kar omogoča analizo celotnega prometa DNS v vašem omrežju.
Kaj je šifriran DNS?
Kaj je DNS
Sistem domenskih imen (DNS) razreši človeku berljiva imena domen (na primer naslov ) na naslove IP (na primer 34.107.151.202). Ko uporabnik vnese ime domene v spletni brskalnik, brskalnik pošlje poizvedbo DNS strežniku DNS, ki zahteva naslov IP, povezan s tem imenom domene. V odgovor strežnik DNS vrne naslov IP, ki ga bo ta brskalnik uporabljal.
Poizvedbe in odgovori DNS se pošiljajo po omrežju v navadnem besedilu, nešifrirani, zaradi česar je ranljiv za vohunjenje ali spreminjanje odziva in preusmerjanje brskalnika na zlonamerne strežnike. Šifriranje DNS otežuje sledenje ali spreminjanje zahtev DNS med prenosom. Šifriranje zahtev in odgovorov DNS vas ščiti pred napadi Man-in-the-Middle, hkrati pa izvaja enako funkcionalnost kot tradicionalni protokol DNS (Domain Name System) z navadnim besedilom.
V zadnjih nekaj letih sta bila uvedena dva protokola za šifriranje DNS:
-
DNS prek HTTPS (DoH)
-
DNS prek TLS (DoT)
Ti protokoli imajo eno skupno stvar: namenoma skrivajo zahteve DNS pred kakršnim koli prestrezanjem ... in tudi pred varnostniki organizacije. Protokoli uporabljajo predvsem TLS (Transport Layer Security) za vzpostavitev šifrirane povezave med odjemalcem, ki postavlja poizvedbe, in strežnikom, ki rešuje poizvedbe DNS prek vrat, ki se običajno ne uporabljajo za promet DNS.
Zaupnost poizvedb DNS je velik plus teh protokolov. Vendar pa predstavljajo težave za varnostnike, ki morajo spremljati omrežni promet ter odkrivati in blokirati zlonamerne povezave. Ker se protokola razlikujeta v izvajanju, se bodo metode analize med DoH in DoT razlikovale.
DNS prek HTTPS (DoH)
DNS znotraj HTTPS
DoH uporablja dobro znana vrata 443 za HTTPS, za katere RFC izrecno navaja, da je namen "mešati promet DoH z drugim prometom HTTPS na isti povezavi", "otežiti analizo prometa DNS" in tako zaobiti nadzor podjetja. ( ). Protokol DoH uporablja šifriranje TLS in sintakso zahteve, ki jo zagotavljata običajna standarda HTTPS in HTTP/2, ter dodaja zahteve DNS in odgovore poleg standardnih zahtev HTTP.
Tveganja, povezana z DoH
Če ne morete razlikovati običajnega prometa HTTPS od zahtev DoH, lahko aplikacije v vaši organizaciji (in bodo) zaobidejo lokalne nastavitve DNS tako, da preusmerijo zahteve na strežnike tretjih oseb, ki se odzivajo na zahteve DoH, kar zaobide kakršno koli spremljanje, kar pomeni, da uniči možnost nadzor prometa DNS. V idealnem primeru bi morali nadzorovati DoH s funkcijami dešifriranja HTTPS.
И v najnovejši različici svojih brskalnikov in obe podjetji si prizadevata za privzeto uporabo DoH za vse zahteve DNS. o integraciji DoH v njihove operacijske sisteme. Slaba stran je, da so ne le ugledna podjetja za programsko opremo, ampak tudi napadalci začeli uporabljati DoH kot sredstvo za izogibanje tradicionalnim ukrepom korporativnega požarnega zidu. (Preglejte na primer naslednje članke: , и .) V obeh primerih bo tako dober kot zlonamerni promet DoH ostal neodkrit, organizacija pa bo ostala slepa za zlonamerno uporabo DoH kot kanala za nadzor zlonamerne programske opreme (C2) in krajo občutljivih podatkov.
Zagotavljanje vidnosti in nadzora prometa DoH
Kot najboljšo rešitev za nadzor DoH priporočamo konfiguracijo NGFW za dešifriranje prometa HTTPS in blokiranje prometa DoH (ime aplikacije: dns-over-https).
Najprej se prepričajte, da je NGFW konfiguriran za dešifriranje HTTPS, v skladu z .
Drugič, ustvarite pravilo za promet aplikacij "dns-over-https", kot je prikazano spodaj:
Pravilo NGFW omrežja Palo Alto za blokiranje DNS prek HTTPS
Kot začasno alternativo (če vaša organizacija še ni v celoti implementirala dešifriranja HTTPS), je mogoče NGFW konfigurirati tako, da uporabi dejanje »zavrni« za ID aplikacije »dns-over-https«, vendar bo učinek omejen na blokiranje določenih dobro- znani strežniki DoH po njihovem imenu domene, torej kako brez dešifriranja HTTPS prometa DoH ni mogoče v celoti pregledati (glejte in poiščite "dns-over-https").
DNS prek TLS (DoT)
DNS znotraj TLS
Medtem ko se protokol DoH običajno meša z drugim prometom na istih vratih, DoT namesto tega privzeto uporablja posebna vrata, rezervirana za ta edini namen, in celo izrecno onemogoča uporabo istih vrat tradicionalnemu nešifriranemu prometu DNS ( ).
Protokol DoT uporablja TLS za zagotavljanje šifriranja, ki zajema standardne poizvedbe protokola DNS, pri čemer promet uporablja dobro znana vrata 853 ( ). Protokol DoT je bil zasnovan tako, da organizacijam olajša blokiranje prometa na vratih ali sprejme promet, vendar omogoči dešifriranje na teh vratih.
Tveganja, povezana z DoT
Google je implementiral DoT v svojem odjemalcu , s privzeto nastavitvijo za samodejno uporabo DoT, če je na voljo. Če ste ocenili tveganja in ste pripravljeni uporabljati DoT na organizacijski ravni, morate omrežnim skrbnikom izrecno dovoliti odhodni promet na vratih 853 prek svojega območja za ta novi protokol.
Zagotavljanje vidnosti in nadzora prometa DoT
Kot najboljšo prakso za nadzor DoT priporočamo kar koli od zgoraj navedenega glede na zahteve vaše organizacije:
-
Konfigurirajte NGFW za dešifriranje celotnega prometa za ciljna vrata 853. Z dešifriranjem prometa bo DoT prikazan kot aplikacija DNS, za katero lahko uporabite katero koli dejanje, na primer omogočite naročnino za nadzor domen DGA ali obstoječe in protivohunska programska oprema.
-
Druga možnost je, da mehanizem App-ID popolnoma blokira promet 'dns-over-tls' na vratih 853. To je običajno privzeto blokirano, ni potrebno nobeno dejanje (razen če izrecno dovolite promet aplikacij ali vrat 'dns-over-tls' 853).
Vir: www.habr.com