ProHoster > Blog > Pulega > Fa'aiti'itia tulaga lamatia o le fa'aogaina o DNS-over-TLS (DoT) ma DNS-over-HTTPS (DoH)

Fa'aiti'itia tulaga lamatia o le fa'aogaina o DNS-over-TLS (DoT) ma DNS-over-HTTPS (DoH)

Fa'aiti'itia tulaga lamatia o le fa'aogaina o DNS-over-TLS (DoT) ma DNS-over-HTTPS (DoH)Fa'aiti'itia tulaga lamatia o le fa'aogaina o le DoH ma le DoT

Puipuiga ole DoH ma le DoT

E te pulea lau fefaʻatauaʻiga DNS? E faʻaalu e faʻalapotopotoga le tele o taimi, tupe, ma taumafaiga e faʻamautinoa ai a latou fesoʻotaʻiga. Ae ui i lea, o le tasi vaega e masani ona le lava le gauai o DNS.

O se vaaiga lautele lelei o tulaga lamatia e aumaia e DNS o Verisign presentation i le Infosecurity conference.

Fa'aiti'itia tulaga lamatia o le fa'aogaina o DNS-over-TLS (DoT) ma DNS-over-HTTPS (DoH)31% o vasega ransomware na su'esu'eina na fa'aogaina le DNS mo fefa'ataua'iga

31% o vasega ransomware na suʻesuʻeina na faʻaogaina le DNS mo fefaʻatauaʻiga autu.

O le faafitauli e ogaoga. E tusa ai ma le Palo Alto Networks Unit 42 suʻesuʻega fale suʻesuʻe, e tusa ma le 85% o malware e faʻaogaina le DNS e faʻavaeina ai se faʻatonuga ma faʻatonutonu auala, e faʻatagaina ai tagata osofaʻi e faigofie ona tuʻuina atu mea leaga i lau fesoʻotaʻiga faʻapea foʻi ma gaoi faʻamatalaga. Talu mai lona amataga, o fefaʻatauaiga a DNS e tele lava ina le faʻamaonia ma e mafai ona faigofie ona suʻesuʻeina e le NGFW puipuiga. 

O tulafono fou mo DNS ua tulaʻi mai e faʻatatau i le faʻalauteleina o le le faalauaiteleina o fesoʻotaʻiga DNS. O lo'o lagolagoina malosi e tagata fa'atau su'esu'e ma isi fa'atau polokalame. O fefa'ataua'iga DNS fa'aigoaina o le a le pine ae amata fa'atupula'ia i feso'ota'iga fa'apisinisi. O fefa'ataua'iga DNS fa'ailoga e le'o su'esu'eina lelei ma fa'amalieina e meafaigaluega e fa'atupu ai se fa'alavelave saogalemu i se kamupani. Mo se faʻataʻitaʻiga, o sea faʻamataʻu o cryptolockers e faʻaoga DNS e fesuiai faʻamatalaga faʻailoga. O loʻo manaʻomia nei e le au osofaʻi se tau o le tele o miliona tala e toe faʻafoʻi ai le avanoa i au faʻamatalaga. Garmin, mo se faʻataʻitaʻiga, na totogiina le $ 10 miliona.

A faʻapipiʻi lelei, e mafai e NGFWs ona faʻafitia pe puipuia le faʻaogaina o le DNS-over-TLS (DoT) ma e mafai ona faʻaaogaina e faʻafitia le faʻaogaina ole DNS-over-HTTPS (DoH), faʻatagaina uma DNS fefaʻatauaiga i luga o lau fesoʻotaʻiga e suʻeina.

O le a le fa'ailoga DNS?

O le a le DNS

Ole Domain Name System (DNS) e fofo ai igoa ole igoa ole tagata e mafai ona faitau (fa'ata'ita'iga, tuatusi www.paloaltonetworks.com ) i tuatusi IP (mo se faataitaiga, 34.107.151.202). A fa'aulu e se tagata fa'aoga se igoa fa'apitonu'u i totonu ole su'esu'ega i luga ole laiga, e tu'uina atu e le su'esu'e se fesili DNS ile server DNS, ma fesili mo le tuatusi IP e feso'ota'i ma lena igoa ole igoa. I le tali atu, e toe faafoi mai e le DNS server le tuatusi IP o le a faʻaogaina e lenei suʻega.

O fesili ma tali a DNS e auina atu i luga o le upega tafaʻilagi i tusitusiga manino, e le faʻapipiʻiina, ma faʻalavelave ai i le vaʻavaʻai poʻo le suia o le tali ma toe faʻafeiloaʻi le suʻesuʻega i 'auʻaunaga leaga. DNS encryption e faigata ai ona siaki pe suia talosaga DNS i le taimi o felauaiga. O le fa'ailogaina o talosaga ma tali a le DNS e puipuia ai oe mai osofa'iga a Man-in-the-Middle a'o fa'atinoina galuega tutusa e pei o le fa'asologa masani DNS (Domain Name System). 

I nai tausaga ua tuanaʻi, e lua DNS encrypt protocols ua faʻalauiloaina:

  1. DNS-over-HTTPS (DoH)

  2. DNS-over-TLS (DoT)

O nei faʻasalalauga e tasi le mea e tutusa ai: latou te natia ma le loto i ai talosaga DNS mai soʻo se faʻalavelave ... ma mai leoleo puipui a le faʻalapotopotoga. O fa'atonuga e fa'aaoga muamua le TLS (Transport Layer Security) e fa'atuina ai se feso'ota'iga fa'ailoga i le va o le tagata o tausia o lo'o faia fesili ma se server e fo'ia fesili DNS i luga o se uafu e le masani ona fa'aoga mo le fa'aogaina o DNS.

O le le faalauaiteleina o fesili DNS o se faʻaopoopoga tele o nei tulafono. Ae ui i lea, latou te tuʻuina atu faʻafitauli mo leoleo puipui e tatau ona mataʻituina fefaʻatauaiga o fesoʻotaʻiga ma iloa ma poloka fesoʻotaʻiga leaga. Talu ai ona e eseese tulafono i le fa'atinoga, o le a eseese auala au'ili'ili i le va o le DoH ma le DoT.

DNS ile HTTPS (DoH)

Fa'aiti'itia tulaga lamatia o le fa'aogaina o DNS-over-TLS (DoT) ma DNS-over-HTTPS (DoH)DNS i totonu HTTPS

O lo'o fa'aogaina e le DoH le uafu ta'uta'ua 443 mo HTTPS, lea o lo'o ta'ua patino ai e le RFC o le fa'amoemoe o le "fa'afefiloi o fefa'ataua'iga a le DoH ma isi fefa'ataua'iga HTTPS i luga o le feso'ota'iga lava e tasi", "fa'afaigata ona su'esu'eina fefa'ataua'iga a DNS" ma fa'apea ona fa'asao ai pulega fa'apisinisi. ( RFC 8484 DoH Vaega 8.1 ). O lo'o fa'aogaina e le protocole a le DoH le TLS encryption ma le fa'asologa o talosaga e tu'uina mai e le HTTPS ma le HTTP/2 fa'ata'ita'iga masani, fa'aopoopo DNS talosaga ma tali i luga o talosaga masani HTTP.

Tulaga e feso'ota'i ma le DoH

Afai e le mafai ona e iloa le eseesega o fefaʻatauaiga masani HTTPS mai talosaga a le DoH, o talosaga i totonu o lau faʻalapotopotoga e mafai (ma o le a) faʻafeiloaʻi tulaga DNS i le lotoifale e ala i le toe faʻafeiloaʻi o talosaga i isi vaega lona tolu e tali atu i talosaga a le DoH, lea e faʻafefe ai soʻo se mataʻituina, o lona uiga, faʻaumatia le gafatia e pulea le auala DNS. O le mea lelei, e tatau ona e pulea le DoH i le faʻaaogaina o galuega faʻamalo HTTPS. 

И Google ma Mozilla ua fa'atinoina le malosi ole DoH i le lomiga lata mai o latou su'esu'ega, ma o lo'o galulue kamupani uma e lua e fa'aoga le DoH e ala i le fa'aletonu mo talosaga uma DNS. O lo'o fa'atupuina fo'i e Microsoft ni fuafuaga i le tu'ufa'atasia o le DoH i totonu o latou faiga fa'aoga. O le itu i lalo e le gata o kamupani fa'akomepiuta ta'uta'ua, ae ua amata fo'i ona fa'aogaina e le au osofa'i le DoH e fai ma auala e fa'asao ai faiga fa'amalama a le kamupani. (Mo se faʻataʻitaʻiga, toe iloilo tala o loʻo mulimuli mai: Ua fa'aaoga nei e PsiXBot Google DoH , PsiXBot o loʻo faʻaauau pea ona faʻaleleia ma faʻafouina faʻalapotopotoga DNS и Godlua backdoor analysis .) Po'o le a lava le tulaga, o fefa'ataua'iga lelei ma leaga a le DoH o le a le mafai ona iloa, ma tu'u ai le fa'alapotopotoga e tauaso i le fa'aogaina leaga o le DoH e fai ma ala e pulea ai malware (C2) ma gaoi fa'amatalaga ma'ale'ale.

Fa'amautinoa le va'aia ma le fa'atonutonuina o feoaiga a le DoH

I le avea ai ma vaifofo sili mo le pulega a le DoH, matou te fautuaina le faʻatulagaina o le NGFW e faʻamalo HTTPS fefaʻatauaiga ma poloka le DoH traffic (igoa talosaga: dns-over-https). 

Muamua, ia mautinoa ua faʻatulagaina NGFW e faʻamalo HTTPS, e tusa ai ma o se ta'iala i auala sili ona fa'auiga.

Lona lua, fatuina se tulafono mo le faʻaogaina o fefaʻatauaiga "dns-over-https" e pei ona faʻaalia i lalo:

Fa'aiti'itia tulaga lamatia o le fa'aogaina o DNS-over-TLS (DoT) ma DNS-over-HTTPS (DoH)Palo Alto Networks NGFW Tulafono e poloka DNS-over-HTTPS

I le avea ai o se isi mea le tumau (pe afai e leʻi faʻatinoina atoatoa e lau faʻalapotopotoga le HTTPS decryption), e mafai ona faʻatulagaina NGFW e faʻaoga se gaioiga "teena" i le ID talosaga "dns-over-https", ae o le a faʻatapulaʻaina le aʻafiaga i le polokaina o nisi lelei- 'au'aunaga ta'uta'ua a le DoH e ala i lo latou igoa fa'apitonu'u, e fa'afefea la e aunoa ma le fa'asaoina o le HTTPS, e le mafai ona asiasia atoa fe'avea'i a le DoH (va'ai  Applipedia mai Palo Alto Networks   ma saili mo "dns-over-https").

DNS ile TLS (DoT)

Fa'aiti'itia tulaga lamatia o le fa'aogaina o DNS-over-TLS (DoT) ma DNS-over-HTTPS (DoH)DNS i totonu TLS

E ui ina fa'afefiloi le tulafono a le DoH ma isi fefa'ataua'iga i luga o le uafu lava lea e tasi, ae ua le mafai e le DoT ona fa'aogaina se uafu fa'apitoa ua fa'aagaga mo lena lava fa'amoemoe, e o'o lava i le fa'ataga fa'apitoa o le uafu lava lea e tasi mai le fa'aaogaina e ala masani a DNS e le'i fa'ailogaina ( RFC 7858, Vaega 3.1 ).

O lo'o fa'aogaina e le DoT protocol le TLS e tu'uina atu ai fa'amalamalamaga e fa'apipi'i ai fesili fa'ata'atia DNS, fa'atasi ai ma femalagaiga e fa'aaoga ai le uafu lauiloa 853 ( RFC 7858 vaega 6 ). O le DoT protocol na mamanuina ina ia faafaigofie ai mo faalapotopotoga ona poloka auala i luga o se uafu, po o le taliaina o feoaiga ae mafai ai le decryption i luga o lena uafu.

Tulaga lamatia e feso'ota'i ma le DoT

Google ua fa'atino le DoT i lana tagata fa'atau Android 9 Pie ma mulimuli ane , fa'atasi ai ma le fa'aogaina e otometi ona fa'aoga le DoT pe a maua. Afai ua e su'esu'eina tulaga lamatia ma ua e sauni e fa'aoga le DoT i le tulaga fa'alapotopotoga, e mana'omia le fa'atagaina o fa'atonuga o feso'ota'iga e fa'ataga fa'alaua'itele feoa'iga i fafo i luga o le taulaga 853 e ala i la latou nofoaga mo lenei faiga fou.

Faʻamautinoa le vaʻaia ma le pulea o fefaʻatauaiga o le DoT

I le avea o se faiga sili mo le pulea o le DoT, matou te fautuaina soʻo se mea o loʻo i luga, e faʻatatau i manaʻoga o lau faʻalapotopotoga:

  • Fa'atulaga le NGFW e fa'asolo uma fe'avea'i mo le taunu'uga o le taulaga 853. E ala i le fa'amama o fefa'ataua'iga, o le a fa'aalia le DoT o se talosaga DNS lea e mafai ona e fa'aogaina ai so'o se gaioiga, e pei o le mafai ona fa'asoa. Palo Alto Networks DNS Security e pulea le DGA domains po'o se tasi oi ai nei DNS Sinkholing ma anti-spyware.

  • O le isi mea o le i ai o le App-ID afi poloka atoa le 'dns-over-tls' felauaiga i luga o le taulaga 853. E masani ona poloka lenei mea ona o le faaletonu, e leai se gaioiga e manaʻomia (sei vagana ua e faʻatagaina faapitoa le 'dns-over-tls' talosaga poʻo le feʻaveaʻi o taulaga. 853).

puna: www.habr.com

Faaopoopo i ai se faamatalaga