Minimizimi i rreziqeve të përdorimit të DoH dhe DoT
Mbrojtja DoH dhe DoT
A e kontrolloni trafikun tuaj DNS? Organizatat investojnë shumë kohë, para dhe përpjekje për të siguruar rrjetet e tyre. Sidoqoftë, një zonë që shpesh nuk merr vëmendje të mjaftueshme është DNS.
Një pasqyrë e mirë e rreziqeve që sjell DNS është në konferencën e Infosecurity.
31% e klasave të anketuara të ransomware përdorën DNS për shkëmbimin e çelësave. Gjetjet e studimit
31% e klasave të ransomware të anketuara përdorën DNS për shkëmbimin e çelësave.
Problemi është serioz. Sipas laboratorit kërkimor të Palo Alto Networks Unit 42, afërsisht 85% e malware përdor DNS për të krijuar një kanal komandimi dhe kontrolli, duke i lejuar sulmuesit të injektojnë lehtësisht malware në rrjetin tuaj si dhe të vjedhin të dhëna. Që nga fillimi i tij, trafiku DNS ka qenë kryesisht i pakriptuar dhe mund të analizohet lehtësisht nga mekanizmat e sigurisë NGFW.
Protokollet e reja për DNS janë shfaqur që synojnë rritjen e konfidencialitetit të lidhjeve DNS. Ato mbështeten në mënyrë aktive nga shitësit kryesorë të shfletuesit dhe shitësit e tjerë të programeve kompjuterike. Trafiku i koduar DNS së shpejti do të fillojë të rritet në rrjetet e korporatave. Trafiku i koduar DNS që nuk analizohet dhe zgjidhet siç duhet nga mjetet përbën një rrezik sigurie për një kompani. Për shembull, një kërcënim i tillë janë kriptolockers që përdorin DNS për të shkëmbyer çelësat e enkriptimit. Sulmuesit tani po kërkojnë një shpërblim prej disa milionë dollarësh për të rivendosur aksesin në të dhënat tuaja. Garmin, për shembull, pagoi 10 milionë dollarë.
Kur konfigurohen siç duhet, NGFW-të mund të mohojnë ose mbrojnë përdorimin e DNS-mbi-TLS (DoT) dhe mund të përdoren për të mohuar përdorimin e DNS-mbi-HTTPS (DoH), duke lejuar që të analizohet i gjithë trafiku DNS në rrjetin tuaj.
Çfarë është DNS e koduar?
Çfarë është DNS
Sistemi i emrave të domenit (DNS) zgjidh emrat e domeneve të lexueshëm nga njeriu (për shembull, adresën ) në adresat IP (për shembull, 34.107.151.202). Kur një përdorues fut një emër domaini në një shfletues ueb, shfletuesi dërgon një pyetje DNS te serveri DNS, duke kërkuar adresën IP të lidhur me atë emër domeni. Si përgjigje, serveri DNS kthen adresën IP që do të përdorë ky shfletues.
Pyetjet dhe përgjigjet DNS dërgohen nëpër rrjet në tekst të thjeshtë, të pakriptuar, duke e bërë atë të prekshëm ndaj spiunimit ose ndryshimit të përgjigjes dhe ridrejtimit të shfletuesit te serverët me qëllim të keq. Kriptimi DNS e bën të vështirë gjurmimin ose ndryshimin e kërkesave DNS gjatë transmetimit. Kriptimi i kërkesave dhe përgjigjeve DNS ju mbron nga sulmet Man-in-the-Middle ndërsa kryen të njëjtin funksionalitet si protokolli tradicional DNS (Sistemi i Emrave të Domenit) me tekst të thjeshtë.
Gjatë viteve të fundit, janë prezantuar dy protokolle të kriptimit DNS:
-
DNS-mbi HTTPS (DoH)
-
DNS-mbi-TLS (DoT)
Këto protokolle kanë një gjë të përbashkët: ato fshehin qëllimisht kërkesat DNS nga çdo përgjim... dhe nga rojet e sigurisë së organizatës gjithashtu. Protokollet përdorin kryesisht TLS (Transport Layer Security) për të krijuar një lidhje të koduar midis një klienti që bën pyetje dhe një serveri që zgjidh pyetjet DNS mbi një port që nuk përdoret normalisht për trafikun DNS.
Konfidencialiteti i pyetjeve DNS është një plus i madh i këtyre protokolleve. Megjithatë, ato paraqesin probleme për rojet e sigurisë, të cilët duhet të monitorojnë trafikun e rrjetit dhe të zbulojnë dhe bllokojnë lidhjet me qëllim të keq. Meqenëse protokollet ndryshojnë në zbatimin e tyre, metodat e analizës do të ndryshojnë midis DoH dhe DoT.
DNS mbi HTTPS (DoH)
DNS brenda HTTPS
DoH përdor portën e njohur 443 për HTTPS, për të cilën RFC posaçërisht deklaron se qëllimi është të "përzihet trafiku i DoH me trafikun tjetër HTTPS në të njëjtën lidhje", "të bëjë të vështirë analizimin e trafikut DNS" dhe kështu të anashkalojë kontrollet e korporatës ( ). Protokolli DoH përdor kriptimin TLS dhe sintaksën e kërkesës të ofruar nga standardet e zakonshme HTTPS dhe HTTP/2, duke shtuar kërkesat dhe përgjigjet DNS në krye të kërkesave standarde HTTP.
Rreziqet që lidhen me DH
Nëse nuk mund të dalloni trafikun e rregullt HTTPS nga kërkesat e DoH, atëherë aplikacionet brenda organizatës suaj mund (dhe do) të anashkalojnë cilësimet lokale të DNS duke ridrejtuar kërkesat te serverët e palëve të treta që u përgjigjen kërkesave të DoH, gjë që anashkalon çdo monitorim, domethënë, shkatërron aftësinë për të kontrolloni trafikun DNS. Në mënyrë ideale, ju duhet të kontrolloni DoH duke përdorur funksionet e deshifrimit HTTPS.
И në versionin më të fundit të shfletuesve të tyre dhe të dyja kompanitë po punojnë për të përdorur DoH si parazgjedhje për të gjitha kërkesat DNS. për integrimin e DoH në sistemet e tyre operative. Ana negative është se jo vetëm kompanitë me reputacion të softuerit, por edhe sulmuesit kanë filluar të përdorin DoH si një mjet për të anashkaluar masat tradicionale të murit të zjarrit të korporatave. (Për shembull, rishikoni artikujt e mëposhtëm: , и .) Në secilin rast, trafiku i mirë dhe keqdashës i DoH do të kalojë i pazbuluar, duke e lënë organizatën të verbër ndaj përdorimit keqdashës të DoH si një kanal për të kontrolluar malware (C2) dhe për të vjedhur të dhëna të ndjeshme.
Sigurimi i shikueshmërisë dhe kontrollit të trafikut të DH
Si zgjidhja më e mirë për kontrollin e DoH, ne rekomandojmë konfigurimin e NGFW për të deshifruar trafikun HTTPS dhe për të bllokuar trafikun DoH (emri i aplikacionit: dns-over-https).
Së pari, sigurohuni që NGFW të jetë konfiguruar për të deshifruar HTTPS, sipas .
Së dyti, krijoni një rregull për trafikun e aplikacioneve "dns-over-https" siç tregohet më poshtë:
Rregulli NGFW i Rrjeteve Palo Alto për të bllokuar DNS-mbi HTTPS
Si një alternativë e përkohshme (nëse organizata juaj nuk e ka zbatuar plotësisht dekriptimin HTTPS), NGFW mund të konfigurohet për të aplikuar një veprim "mohoni" në ID-në e aplikacionit "dns-over-https", por efekti do të kufizohet në bllokimin e disa puseve. serverë të njohur DoH me emrin e tyre të domenit, kështu që si pa deshifrimin HTTPS, trafiku i DoH nuk mund të inspektohet plotësisht (shih dhe kërkoni për "dns-over-https").
DNS mbi TLS (DoT)
DNS brenda TLS
Ndërsa protokolli DoH tenton të përzihet me trafikun tjetër në të njëjtin port, DoT në vend të kësaj paracakton përdorimin e një porti të veçantë të rezervuar për atë qëllim të vetëm, madje duke mos lejuar në mënyrë specifike përdorimin e të njëjtit port nga trafiku tradicional DNS i pakriptuar ( ).
Protokolli DoT përdor TLS për të siguruar kriptim që përmbledh pyetjet standarde të protokollit DNS, me trafik duke përdorur portën e mirënjohur 853 ( ). Protokolli DoT u krijua për ta bërë më të lehtë për organizatat që të bllokojnë trafikun në një port, ose të pranojnë trafikun, por të mundësojnë deshifrimin në atë port.
Rreziqet që lidhen me DoT
Google ka implementuar DoT në klientin e tij , me cilësimin e paracaktuar për të përdorur automatikisht DoT nëse disponohet. Nëse i keni vlerësuar rreziqet dhe jeni gati të përdorni DoT në nivel organizativ, atëherë duhet të keni administratorët e rrjetit të lejojnë në mënyrë eksplicite trafikun dalës në portin 853 përmes perimetrit të tyre për këtë protokoll të ri.
Sigurimi i shikueshmërisë dhe kontrollit të trafikut DoT
Si një praktikë më e mirë për kontrollin DoT, ne rekomandojmë ndonjë nga sa më sipër, bazuar në kërkesat e organizatës suaj:
-
Konfiguro NGFW për të deshifruar të gjithë trafikun për portin e destinacionit 853. Duke deshifruar trafikun, DoT do të shfaqet si një aplikacion DNS në të cilin mund të aplikoni çdo veprim, si p.sh. aktivizoni abonimin për të kontrolluar domenet DGA ose një ekzistues dhe anti-spyware.
-
Një alternativë është që motori i App-ID të bllokojë plotësisht trafikun 'dns-over-tls' në portin 853. Kjo zakonisht bllokohet si parazgjedhje, nuk kërkohet asnjë veprim (përveç nëse lejoni në mënyrë specifike aplikacionin 'dns-over-tls' ose trafikun e portit 853).
Burimi: www.habr.com