Минимизирање ризика коришћења ДоХ и ДоТ
ДоХ и ДоТ заштита
Да ли контролишете свој ДНС саобраћај? Организације улажу много времена, новца и труда у обезбеђивање својих мрежа. Међутим, једно подручје које често не добија довољно пажње је ДНС.
Добар преглед ризика које ДНС носи је на конференцији Инфосецурити.
31% испитаних класа рансомваре-а користило је ДНС за размену кључева. Налази студије
31% испитаних класа рансомваре-а користило је ДНС за размену кључева.
Проблем је озбиљан. Према истраживачкој лабораторији Пало Алто Нетворкс Унит 42, отприлике 85% малвера користи ДНС за успостављање командног и контролног канала, омогућавајући нападачима да лако убаце малвер у вашу мрежу, као и да украду податке. Од свог почетка, ДНС саобраћај је углавном био нешифрован и може се лако анализирати помоћу НГФВ сигурносних механизама.
Појавили су се нови протоколи за ДНС који имају за циљ повећање поверљивости ДНС веза. Активно их подржавају водећи произвођачи претраживача и други произвођачи софтвера. Шифровани ДНС саобраћај ће ускоро почети да расте у корпоративним мрежама. Шифровани ДНС саобраћај који није правилно анализиран и разрешен алатима представља безбедносни ризик за компанију. На пример, таква претња су криптолокатори који користе ДНС за размену кључева за шифровање. Нападачи сада траже откуп од неколико милиона долара да би повратили приступ вашим подацима. Гармин је, на пример, платио 10 милиона долара.
Када су правилно конфигурисани, НГФВ могу одбити или заштитити употребу ДНС-овер-ТЛС (ДоТ) и могу се користити за ускраћивање употребе ДНС-овер-ХТТПС (ДоХ), омогућавајући да се анализира сав ДНС саобраћај на вашој мрежи.
Шта је шифровани ДНС?
Шта је ДНС
Систем имена домена (ДНС) решава имена домена читљиве особе (на пример, адресу ) на ИП адресе (на пример, 34.107.151.202). Када корисник унесе име домена у веб претраживач, претраживач шаље ДНС упит ДНС серверу, тражећи ИП адресу која је повезана са тим именом домена. Као одговор, ДНС сервер враћа ИП адресу коју ће овај претраживач користити.
ДНС упити и одговори се шаљу широм мреже у облику обичног текста, нешифрованог, што га чини рањивим на шпијунирање или промену одговора и преусмерава прегледач на злонамерне сервере. ДНС шифровање отежава праћење или промену ДНС захтева током преноса. Шифровање ДНС захтева и одговора штити вас од напада Ман-ин-тхе-Миддле, док истовремено обавља исту функционалност као традиционални ДНС (систем имена домена) протокола.
Током протеклих неколико година, уведена су два протокола за ДНС шифровање:
-
ДНС-овер-ХТТПС (ДоХ)
-
ДНС-овер-ТЛС (ДоТ)
Ови протоколи имају једну заједничку ствар: намерно скривају ДНС захтеве од било каквог пресретања... као и од обезбеђења организације. Протоколи првенствено користе ТЛС (Транспорт Лаиер Сецурити) за успостављање шифроване везе између клијента који поставља упите и сервера који решава ДНС упите преко порта који се обично не користи за ДНС саобраћај.
Поверљивост ДНС упита је велики плус ових протокола. Међутим, они представљају проблеме за чуваре који морају да надгледају мрежни саобраћај и да откривају и блокирају злонамерне везе. Пошто се протоколи разликују по имплементацији, методе анализе ће се разликовати између ДоХ и ДоТ.
ДНС преко ХТТПС-а (ДоХ)
ДНС унутар ХТТПС-а
ДоХ користи добро познати порт 443 за ХТТПС, за који РФЦ посебно наводи да је намера да се „помеша ДоХ саобраћај са другим ХТТПС саобраћајем на истој вези“, „отежа анализа ДНС саобраћаја“ и тако заобиђе корпоративне контроле ( ). ДоХ протокол користи ТЛС енкрипцију и синтаксу захтева коју обезбеђују уобичајени ХТТПС и ХТТП/2 стандарди, додајући ДНС захтеве и одговоре на стандардне ХТТП захтеве.
Ризици повезани са ДоХ
Ако не можете да разликујете обичан ХТТПС саобраћај од ДоХ захтева, онда апликације у вашој организацији могу (и хоће) да заобиђу локална ДНС подешавања преусмеравањем захтева на сервере трећих страна који одговарају на захтеве ДоХ, што заобилази било какво надгледање, односно уништава могућност контролише ДНС саобраћај. У идеалном случају, требало би да контролишете ДоХ користећи ХТТПС функције дешифровања.
И у најновијој верзији својих претраживача, а обе компаније раде на томе да подразумевано користе ДоХ за све ДНС захтеве. о интеграцији ДоХ у њихове оперативне системе. Лоша страна је у томе што су не само реномиране софтверске компаније, већ и нападачи почели да користе ДоХ као средство за заобилажење традиционалних корпоративних заштитних зидова. (На пример, прегледајте следеће чланке: , и .) У оба случаја, и добар и злонамерни ДоХ саобраћај ће остати неоткривен, остављајући организацију слепом за злонамерно коришћење ДоХ-а као канала за контролу малвера (Ц2) и крађу осетљивих података.
Обезбеђивање видљивости и контроле саобраћаја ДоХ
Као најбоље решење за ДоХ контролу, препоручујемо да конфигуришете НГФВ да дешифрује ХТТПС саобраћај и блокира ДоХ саобраћај (назив апликације: днс-овер-хттпс).
Прво, уверите се да је НГФВ конфигурисан да дешифрује ХТТПС, према .
Друго, креирајте правило за саобраћај апликације „днс-овер-хттпс“ као што је приказано у наставку:
Пало Алто Нетворкс НГФВ правило за блокирање ДНС-овер-ХТТПС-а
Као привремена алтернатива (ако ваша организација није у потпуности имплементирала ХТТПС дешифровање), НГФВ се може конфигурисати да примени акцију „одбија“ на ИД апликације „днс-овер-хттпс“, али ће ефекат бити ограничен на блокирање одређених добро- познати ДоХ сервери по имену домена, па како без ХТТПС дешифровања, ДоХ саобраћај се не може у потпуности прегледати (погледајте и потражите „днс-овер-хттпс“).
ДНС преко ТЛС-а (ДоТ)
ДНС унутар ТЛС-а
Док ДоХ протокол тежи да се меша са другим саобраћајем на истом порту, ДоТ уместо тога подразумевано користи посебан порт резервисан за ту једину сврху, чак и изричито не дозвољавајући да исти порт користи традиционални нешифровани ДНС саобраћај ( ).
ДоТ протокол користи ТЛС да обезбеди енкрипцију која обухвата стандардне упите ДНС протокола, са саобраћајем који користи добро познати порт 853 ( ). ДоТ протокол је дизајниран да олакша организацијама да блокирају саобраћај на порту или да прихвате саобраћај, али да омогући дешифровање на том порту.
Ризици повезани са ДоТ
Гоогле је имплементирао ДоТ у свом клијенту , са подразумеваном поставком за аутоматско коришћење ДоТ-а ако је доступно. Ако сте проценили ризике и спремни сте да користите ДоТ на нивоу организације, онда морате да имате администраторе мреже да експлицитно дозволе излазни саобраћај на порту 853 кроз њихов периметар за овај нови протокол.
Обезбеђивање видљивости и контроле ДоТ саобраћаја
Као најбољу праксу за ДоТ контролу, препоручујемо било шта од горе наведеног, на основу захтева ваше организације:
-
Конфигуришите НГФВ да дешифрује сав саобраћај за одредишни порт 853. Дешифровањем саобраћаја, ДоТ ће се појавити као ДНС апликација на коју можете применити било коју радњу, као што је омогућавање претплате за контролу ДГА домена или постојећи и анти-шпијунски софтвер.
-
Алтернатива је да механизам Апп-ИД у потпуности блокира 'днс-овер-тлс' саобраћај на порту 853. Ово је обично блокирано подразумевано, није потребна никаква радња (осим ако изричито не дозволите 'днс-овер-тлс' апликацију или саобраћај на порту 853).
Извор: ввв.хабр.цом