Ho fokotsa likotsi tsa ho sebelisa DoH le DoT
Tšireletso ea DoH le DoT
A na u laola sephethephethe sa hau sa DNS? Mekhatlo e sebelisa nako e ngata, chelete le matla ho boloka marang-rang a eona. Leha ho le joalo, sebaka se seng seo hangata se sa fumaneng tlhokomelo e lekaneng ke DNS.
Tlhaloso e ntle ea likotsi tseo DNS e li tlisang ke sebokeng sa Infosecurity.
31% ea litlelase tsa thekollo tse entsoeng lipatlisiso li sebelisitse DNS bakeng sa phapanyetsano ea bohlokoa
31% ea litlelase tsa ransomware tse hlahlobiloeng li sebelisitse DNS bakeng sa phapanyetsano ea bohlokoa.
Bothata bo tebile. Ho latela Palo Alto Networks Unit 42 lab ea lipatlisiso, hoo e ka bang 85% ea malware e sebelisa DNS ho theha taelo le mocha oa taolo, e lumellang bahlaseli ho kenya malware habonolo marang-rang a hau hammoho le ho utsoa data. Ho tloha ha e qala, sephethephethe sa DNS ha sea ka sa ngoloa haholo 'me se ka hlahlojoa habonolo ke mekhoa ea ts'ireletso ea NGFW.
Ho hlahile liprothokholo tse ncha tsa DNS tse reretsoeng ho eketsa lekunutu la likhokahano tsa DNS. Li tšehetsoa ka mafolofolo ke barekisi ba ka sehloohong ba sebatli le barekisi ba bang ba software. Sephethephethe sa DNS se kentsoeng haufinyane se tla qala ho hola marang-rang a khoebo. Sephethephethe sa DNS se patiloeng se sa hlahlojoang hantle le ho rarolloa ka lisebelisoa se beha kotsi ea ts'ireletso ho k'hamphani. Mohlala, tšokelo e joalo ke li-cryptolockers tse sebelisang DNS ho fapanyetsana linotlolo tsa encryption. Hona joale bahlaseli ba batla thekollo ea lidolara tse limilione tse 'maloa ho khutlisetsa phihlello ea data ea hau. Ka mohlala, Garmin o ile a lefa liranta tse limilione tse 10.
Ha e hlophisitsoe hantle, NGFWs e ka hana kapa ea sireletsa tšebeliso ea DNS-over-TLS (DoT) 'me e ka sebelisoa ho hana tšebeliso ea DNS-over-HTTPS (DoH), e lumellang sephethephethe sa DNS ho marang-rang a hau hore se hlahlojoe.
DNS e patiloeng ke eng?
DNS ke eng
The Domain Name System (DNS) e rarolla mabitso a domain a ka baloang ke batho (mohlala, aterese ) ho liaterese tsa IP (mohlala, 34.107.151.202). Ha mosebelisi a kenya lebitso la domain ho sebatli sa marang-rang, sebatli se romella potso ea DNS ho seva sa DNS, se kopa aterese ea IP e amanang le lebitso la sebaka seo. Ho arabela, seva sa DNS se khutlisa aterese ea IP eo sebatli sena se tla e sebelisa.
Lipotso le likarabo tsa DNS li romelloa marang-rang ka mongolo o hlakileng, o sa ngolisoa, ho etsa hore ho be bonolo ho hloela kapa ho fetola karabo le ho fetisetsa sebatli ho li-server tse kotsi. Encryption ea DNS e etsa hore ho be thata hore likopo tsa DNS li lateloe kapa li fetoloe nakong ea phetisetso. Ho ngolla likopo le likarabo tsa DNS ho u sireletsa litlhaselong tsa Man-in-the-Middle ha u ntse u etsa ts'ebetso e ts'oanang le protocol e hlakileng ea DNS (Domain Name System).
Lilemong tse 'maloa tse fetileng, ho hlahisitsoe liprothokholo tse peli tsa encryption tsa DNS:
-
DNS-over-HTTPS (DoH)
-
DNS-over-TLS (DoT)
Li-protocols tsena li na le ntho e le 'ngoe e tšoanang: li pata ka boomo likōpo tsa DNS ho tloha leha e le efe e thibelang ... le ho balebeli ba ts'ireletso ea mokhatlo hape. Melao-motheo e sebelisa TLS (Transport Layer Security) ho theha khokahanyo e patiloeng pakeng tsa moreki ea botsang le seva e rarollang lipotso tsa DNS boema-kepeng boo hangata bo sa sebelisetsoeng sephethephethe sa DNS.
Lekunutu la lipotso tsa DNS ke karolo e kholo ea liprothokholo tsena. Leha ho le joalo, li baka mathata ho balebeli ba ts'ireletso ba tlamehang ho beha leihlo sephethephethe sa marang-rang le ho lemoha le ho thibela likhokahano tse mpe. Hobane liprothokholo li fapana ts'ebetsong ea tsona, mekhoa ea tlhahlobo e tla fapana lipakeng tsa DoH le DoT.
DNS holim'a HTTPS (DoH)
DNS ka hare ho HTTPS
DoH e sebelisa boema-kepe bo tsebahalang ba 443 bakeng sa HTTPS, eo RFC e bolelang ka ho hlaka hore sepheo ke ho "kopanya sephethephethe sa DoH le sephethephethe se seng sa HTTPS khokahanong e le 'ngoe", "ho etsa hore ho be thata ho sekaseka sephethephethe sa DNS" ka hona ho qoba taolo ea likhoebo. ( ). Protocol ea DoH e sebelisa encryption ea TLS le syntax ea kopo e fanoeng ke maemo a tloaelehileng a HTTPS le HTTP/2, e eketsa likopo le likarabo tsa DNS holim'a likopo tse tloaelehileng tsa HTTP.
Likotsi tse amanang le DoH
Haeba u sa khone ho khetholla sephethephethe sa kamehla sa HTTPS ho likopo tsa DoH, joale lits'ebetso tse ka har'a mokhatlo oa hau li ka ('me li tla) ho feta litlhophiso tsa DNS tsa lehae ka ho fetisetsa likopo ho li-server tsa mokha oa boraro tse arabelang likopo tsa DoH, tse sa feteng leihlo leha e le lefe, ke hore, li senya bokhoni ba ho laola sephethephethe sa DNS. Ka nepo, o lokela ho laola DoH o sebelisa lits'ebetso tsa HTTPS tsa decryption.
И phetolelong ea morao-rao ea libatli tsa bona, 'me lik'hamphani ka bobeli li sebeletsa ho sebelisa DoH ka ho sa feleng bakeng sa likopo tsohle tsa DNS. mabapi le ho kopanya DoH litsamaisong tsa bona tsa ts'ebetso. Taba e nyahamisang ke hore ha se feela lik'hamphani tse tsebahalang tsa software, empa le bahlaseli ba se ba qalile ho sebelisa DoH e le mokhoa oa ho iphapanyetsa mehato ea khale ea li-firewall ea mekhatlo. (Ka mohlala, hlahloba lihlooho tse latelang: , и .) Boemong bofe kapa bofe, sephethephethe sa DoH se setle le se kotsi se ke ke sa lemohuoa, se siea mokhatlo o sa bone tšebeliso e mpe ea DoH e le mokhoa oa ho laola malware (C2) le ho utsoa data e hlokolosi.
Ho netefatsa ponahalo le taolo ea sephethephethe sa DoH
E le tharollo e molemohali bakeng sa taolo ea DoH, re khothaletsa ho hlophisa NGFW ho hlakola sephethephethe sa HTTPS le ho thibela sephethephethe sa DoH (lebitso la kopo: dns-over-https).
Taba ea pele, etsa bonnete ba hore NGFW e lokiselitsoe ho hlakola HTTPS, ho latela .
Taba ea bobeli, theha molao bakeng sa sephethephethe sa ts'ebeliso "dns-over-https" joalo ka ha ho bonts'itsoe ka tlase:
Palo Alto Networks NGFW Rule to Block DNS-over-HTTPS
Joalo ka mokhoa o mong oa nakoana (haeba mokhatlo oa hau o so ka oa kenya ts'ebetsong ts'ebetso ea HTTPS ka botlalo), NGFW e ka hlophisoa hore e sebelise ketso ea "ho hana" ho ID ea kopo ea "dns-over-https", empa phello e tla fella feela ho thibela tse itseng hantle- li-server tsa DoH tse tsejoang ka mabitso a tsona, kahoo ntle le ho hlakoloa ha HTTPS, sephethephethe sa DoH se ke ke sa hlahlojoa ka botlalo (bona 'me u batle "dns-over-https").
DNS holim'a TLS (DoT)
DNS ka hare ho TLS
Leha protocol ea DoH e tloaetse ho tsoakana le sephethe-phethe se seng boema-kepeng bo le bong, DoT e fapana le ho sebelisa boema-kepe bo khethehileng bo boloketsoeng morero oo, esita le ka ho khetheha e hanela kou e tšoanang ho sebelisoa ke sephethephethe sa DNS se sa ngolisoang. ).
Protocol ea DoT e sebelisa TLS ho fana ka encryption e kenyelletsang lipotso tse tloaelehileng tsa protocol ea DNS, ka sephethephethe se sebelisang boema-kepe bo tsebahalang ba 853 ( ). Protocol ea DoT e ne e etselitsoe ho nolofaletsa mekhatlo ho thibela sephethephethe boema-kepeng, kapa ho amohela sephethephethe empa e nolofalletsa ho hlakoloa boema-kepeng boo.
Likotsi tse amanang le DoT
Google e kentse tšebetsong DoT ho moreki oa eona , ka li-setting tsa kamehla tsa ho sebelisa DoT ka bo eona haeba e le teng. Haeba u hlahlobile likotsi 'me u se u itokiselitse ho sebelisa DoT boemong ba mokhatlo, joale u lokela ho ba le batsamaisi ba marang-rang ba lumelle ka ho hlaka sephethephethe se tsoang ho port 853 ka perimeter ea bona bakeng sa protocol ena e ncha.
Ho netefatsa ponahalo le taolo ea sephethephethe sa DoT
E le mokhoa o motle oa ho laola DoT, re khothaletsa leha e le efe ea tse ka holimo, ho latela litlhoko tsa mokhatlo oa hau:
-
Hlophisa NGFW ho hlakola sephethephethe bakeng sa boema-kepe ba 853. Ka ho hlakola sephethephethe, DoT e tla hlaha e le ts'ebeliso ea DNS eo ho eona u ka sebelisang ketso efe kapa efe, joalo ka ho nolofalletsa peeletso. ho laola libaka tsa DGA kapa tse teng le anti-spyware.
-
Mokhoa o mong ke ho etsa hore enjine ea App-ID e thibele sephethephethe sa 'dns-over-tls' ka botlalo ho port 853. Hangata sena se thijoa ka boiketsetso, ha ho na ketso e hlokahalang (ntle le haeba o lumella ka ho hlaka ts'ebeliso ea 'dns-over-tls' kapa port traffic. 853).
Source: www.habr.com