ProHoster > Blog > Administrasi > Ngaminimalkeun résiko ngagunakeun DNS-over-TLS (DoT) sareng DNS-over-HTTPS (DoH)
Ngaminimalkeun résiko ngagunakeun DNS-over-TLS (DoT) sareng DNS-over-HTTPS (DoH)
Ngaminimalkeun résiko ngagunakeun DoH sareng DoT
Perlindungan DoH sareng DoT
Naha anjeun ngadalikeun lalu lintas DNS anjeun? Organisasi investasi seueur waktos, artos, sareng usaha pikeun ngamankeun jaringanna. Nanging, hiji daérah anu sering henteu nampi perhatian anu cekap nyaéta DNS.
Tinjauan anu hadé ngeunaan résiko anu di bawa ku DNS nyaéta presentasi Verisign dina konferensi Infosecurity.
31% tina kelas ransomware anu ditaliti nganggo DNS pikeun tukeur konci
31% tina kelas ransomware anu ditaliti nganggo DNS pikeun tukeur konci.
Masalahna serius. Numutkeun kana lab panalungtikan Palo Alto Networks Unit 42, sakitar 85% malware nganggo DNS pikeun ngadamel saluran paréntah sareng kontrol, ngamungkinkeun panyerang gampang nyuntik malware kana jaringan anjeun ogé maok data. Saprak mimitina, patalimarga DNS sabagéan ageung teu énkripsi sareng tiasa gampang dianalisis ku mékanisme kaamanan NGFW.
Protokol anyar pikeun DNS parantos muncul pikeun ningkatkeun karusiahan sambungan DNS. Aranjeunna aktip dirojong ku ngical paralatan browser ngarah sarta ngical paralatan software lianna. Lalulintas DNS énkripsi bakal enggal-enggal tumbuh dina jaringan perusahaan. Lalulintas DNS énkripsi anu henteu leres dianalisis sareng direngsekeun ku alat nyababkeun résiko kaamanan pikeun perusahaan. Salaku conto, ancaman sapertos kitu nyaéta cryptolockers anu nganggo DNS pikeun tukeur konci enkripsi. Penyerang ayeuna nungtut tebusan sababaraha juta dolar pikeun mulangkeun aksés kana data anjeun. Garmin, contona, mayar $ 10 juta.
Nalika dikonpigurasi leres, NGFW tiasa nampik atanapi ngajagaan panggunaan DNS-over-TLS (DoT) sareng tiasa dianggo pikeun nolak panggunaan DNS-over-HTTPS (DoH), ngamungkinkeun sadaya lalu lintas DNS dina jaringan anjeun dianalisis.
Naon DNS énkripsi?
Naon DNS
Sistem Ngaran Domain (DNS) ngabéréskeun nami domain anu tiasa dibaca ku manusa (contona, alamat www.paloaltonetworks.com ) kana alamat IP (contona, 34.107.151.202). Lamun pamaké ngasupkeun ngaran domain kana web browser, browser nu ngirim query DNS ka server DNS, nanyakeun alamat IP pakait jeung ngaran domain. Salaku réspon, pangladén DNS mulihkeun alamat IP anu bakal dianggo ku browser ieu.
Patarosan sareng réspon DNS dikirim ka jaringan dina téks polos, henteu énkripsi, sahingga rentan ka spionase atanapi ngarobih réspon sareng alihan browser ka server jahat. Enkripsi DNS ngajadikeun hésé pikeun requests DNS dilacak atawa dirobah salila pangiriman. Énkripsi pamundut sareng réspon DNS ngajagi anjeun tina serangan Man-in-the-Middle bari ngalaksanakeun pungsi anu sami sareng protokol DNS plaintext tradisional (Domain Name System).
Dina sababaraha taun katukang, dua protokol enkripsi DNS parantos diwanohkeun:
DNS-over-HTTPS (DoH)
DNS-over-TLS (DoT)
Protokol ieu gaduh hiji hal anu umum: aranjeunna ngahaja nyumputkeun pamundut DNS tina interception mana waé ... sareng ti penjaga kaamanan organisasi ogé. Protokol utamana ngagunakeun TLS (Transport Layer Security) pikeun nyieun sambungan énkripsi antara klien nu nyieun queries jeung server ngarengsekeun queries DNS ngaliwatan port nu teu ilahar dipake keur lalulintas DNS.
Karusiahan tina queries DNS mangrupakeun tambah badag tina protokol ieu. Nanging, aranjeunna nyababkeun masalah pikeun penjaga kaamanan anu kedah ngawas lalu lintas jaringan sareng ngadeteksi sareng ngahalangan sambungan jahat. Kusabab protokol béda dina palaksanaanana, métode analisis bakal béda antara DoH jeung DoT.
DNS ngaliwatan HTTPS (DoH)
DNS jero HTTPS
DoH ngagunakeun port 443 anu terkenal pikeun HTTPS, anu RFC sacara khusus nyatakeun yén tujuanna nyaéta "ngacampurkeun lalu lintas DoH sareng lalu lintas HTTPS anu sanés dina sambungan anu sami", "nyieunkeun hésé nganalisa lalu lintas DNS" sahingga ngahindarkeun kontrol perusahaan. ( RFC 8484 DoH Bagian 8.1 ). Protokol DoH nganggo enkripsi TLS sareng sintaksis pamundut anu disayogikeun ku standar HTTPS sareng HTTP/2 umum, nambihan pamundut DNS sareng réspon di luhur pamundut HTTP standar.
Résiko pakait sareng DoH
Upami anjeun henteu tiasa ngabédakeun lalu lintas HTTPS biasa tina pamundut DoH, maka aplikasi dina organisasi anjeun tiasa (sareng bakal) ngalangkungan setélan DNS lokal ku cara ngalihkeun pamundut ka server pihak katilu anu ngaréspon kana pamundut DoH, anu ngalangkungan ngawaskeun naon waé, nyaéta, ngancurkeun kamampuan pikeun ngadalikeun lalulintas DNS. Ideally, Anjeun kudu ngadalikeun DoH maké fungsi dekripsi HTTPS.
Mastikeun pisibilitas sareng kontrol lalu lintas DoH
Salaku solusi anu pangsaéna pikeun kontrol DoH, kami nyarankeun pikeun ngonpigurasikeun NGFW pikeun ngadekrip lalu lintas HTTPS sareng meungpeuk lalu lintas DoH (ngaran aplikasi: dns-over-https).
Kadua, jieun aturan pikeun lalu lintas aplikasi "dns-over-https" sapertos anu dipidangkeun di handap ieu:
Aturan Palo Alto Networks NGFW pikeun Blok DNS-over-HTTPS
Salaku alternatip interim (upami organisasi anjeun henteu acan pinuh ngalaksanakeun dekripsi HTTPS), NGFW tiasa dikonpigurasi pikeun nerapkeun tindakan "mungkir" kana ID aplikasi "dns-over-https", tapi pangaruhna bakal dugi ka ngahalangan well- server DoH dipikawanoh ku ngaran domain maranéhanana, jadi kumaha tanpa dekripsi HTTPS, lalulintas DoH teu bisa pinuh inspected (tingali Applipedia ti Palo Alto Networks sareng milarian "dns-over-https").
DNS ngaliwatan TLS (DoT)
DNS jero TLS
Sanaos protokol DoH condong nyampur sareng lalu lintas sanés dina palabuhan anu sami, DoT malah ingkar ngagunakeun port khusus anu ditangtayungan pikeun tujuan éta, bahkan sacara khusus ngalarang port anu sami dianggo ku lalu lintas DNS tradisional anu henteu énkripsi ( RFC 7858, Bagian 3.1 ).
Protokol DoT nganggo TLS pikeun nyayogikeun enkripsi anu ngarangkum patarosan protokol DNS standar, sareng lalu lintas nganggo port 853 anu terkenal ( RFC 7858 bagian 6 ). Protokol DoT dirancang pikeun ngagampangkeun organisasi pikeun meungpeuk lalu lintas dina palabuhan, atanapi nampi lalu lintas tapi ngaktifkeun dekripsi dina palabuhan éta.
Résiko pakait sareng DoT
Google geus nerapkeun DoT di klien na Android 9 Pie sareng engké , kalawan setelan standar pikeun otomatis make DoT lamun sadia. Upami anjeun parantos ngira-ngira résiko sareng siap nganggo DoT di tingkat organisasi, anjeun kedah gaduh pangurus jaringan sacara eksplisit ngijinkeun lalu lintas kaluar dina port 853 ngalangkungan perimeterna pikeun protokol anyar ieu.
Mastikeun pisibilitas sareng kontrol lalu lintas DoT
Salaku prakték pangalusna pikeun kontrol DoT, kami nyarankeun salah sahiji di luhur, dumasar kana sarat organisasi anjeun:
Konpigurasikeun NGFW pikeun ngadekrip sadaya lalu lintas pikeun port tujuan 853. Ku ngadekrip lalu lintas, DoT bakal muncul salaku aplikasi DNS anu anjeun tiasa nerapkeun tindakan naon waé, sapertos ngaktifkeun langganan. Palo Alto Networks DNS Kaamanan pikeun ngadalikeun domain DGA atawa nu geus aya DNS Sinkholing jeung anti spyware.
Alternatipna nyaéta gaduh mesin App-ID lengkep meungpeuk lalu lintas 'dns-over-tls' dina port 853. Ieu biasana diblokir sacara standar, teu aya tindakan anu diperyogikeun (kecuali upami anjeun sacara khusus ngijinkeun aplikasi 'dns-over-tls' atanapi lalu lintas port. 853).