ProHoster > blogg > administration > Minimera riskerna med att använda DNS-over-TLS (DoT) och DNS-over-HTTPS (DoH)
Minimera riskerna med att använda DNS-over-TLS (DoT) och DNS-over-HTTPS (DoH)
Minimera riskerna med att använda DoH och DoT
DoH och DoT-skydd
Kontrollerar du din DNS-trafik? Organisationer investerar mycket tid, pengar och ansträngningar för att säkra sina nätverk. Ett område som dock ofta inte får tillräckligt med uppmärksamhet är DNS.
En bra översikt över de risker som DNS medför är Presentation av Verisign på Infosecurity-konferensen.
31 % av de tillfrågade ransomware-klasserna använde DNS för nyckelutbyte. Studieresultat
31 % av de tillfrågade ransomware-klasserna använde DNS för nyckelutbyte.
Problemet är allvarligt. Enligt Palo Alto Networks Unit 42 forskningslabb använder cirka 85 % av skadlig programvara DNS för att upprätta en kommando- och kontrollkanal, vilket gör att angripare enkelt kan injicera skadlig programvara i ditt nätverk samt stjäla data. Sedan starten har DNS-trafiken till stor del varit okrypterad och kan enkelt analyseras av NGFW-säkerhetsmekanismer.
Nya protokoll för DNS har dykt upp som syftar till att öka konfidentialiteten för DNS-anslutningar. De stöds aktivt av ledande webbläsarleverantörer och andra programvaruleverantörer. Krypterad DNS-trafik kommer snart att börja växa i företagsnätverk. Krypterad DNS-trafik som inte är korrekt analyserad och löst av verktyg utgör en säkerhetsrisk för ett företag. Ett sådant hot är till exempel kryptolåsare som använder DNS för att utbyta krypteringsnycklar. Angripare kräver nu en lösensumma på flera miljoner dollar för att återställa åtkomsten till din data. Garmin betalade till exempel 10 miljoner dollar.
När de är korrekt konfigurerade kan NGFW:er neka eller skydda användningen av DNS-over-TLS (DoT) och kan användas för att neka användningen av DNS-over-HTTPS (DoH), vilket gör att all DNS-trafik på ditt nätverk kan analyseras.
Vad är krypterad DNS?
Vad är DNS
Domain Name System (DNS) löser mänskligt läsbara domännamn (till exempel adress www.paloaltonetworks.com ) till IP-adresser (till exempel 34.107.151.202). När en användare anger ett domännamn i en webbläsare skickar webbläsaren en DNS-fråga till DNS-servern och frågar efter den IP-adress som är kopplad till det domännamnet. Som svar returnerar DNS-servern den IP-adress som den här webbläsaren kommer att använda.
DNS-förfrågningar och svar skickas över nätverket i vanlig text, okrypterade, vilket gör det sårbart för spionage eller förändring av svaret och omdirigerar webbläsaren till skadliga servrar. DNS-kryptering gör det svårt för DNS-förfrågningar att spåras eller ändras under överföring. Kryptering av DNS-förfrågningar och svar skyddar dig från Man-in-the-Middle-attacker samtidigt som du utför samma funktionalitet som det traditionella DNS-protokollet (Domain Name System).
Under de senaste åren har två DNS-krypteringsprotokoll introducerats:
DNS-över-HTTPS (DoH)
DNS-over-TLS (DoT)
Dessa protokoll har en sak gemensamt: de döljer medvetet DNS-förfrågningar från alla avlyssningar... och från organisationens säkerhetsvakter också. Protokollen använder i första hand TLS (Transport Layer Security) för att upprätta en krypterad anslutning mellan en klient som gör frågor och en server som löser DNS-frågor över en port som normalt inte används för DNS-trafik.
Sekretessen för DNS-frågor är ett stort plus med dessa protokoll. De ställer dock till problem för säkerhetsvakter som måste övervaka nätverkstrafik och upptäcka och blockera skadliga anslutningar. Eftersom protokollen skiljer sig åt i sin implementering kommer analysmetoderna att skilja sig mellan DoH och DoT.
DNS via HTTPS (DoH)
DNS inuti HTTPS
DoH använder den välkända porten 443 för HTTPS, för vilken RFC specifikt anger att avsikten är att "mixa DoH-trafik med annan HTTPS-trafik på samma anslutning", "göra det svårt att analysera DNS-trafik" och därmed kringgå företagskontroller ( RFC 8484 DoH Avsnitt 8.1 ). DoH-protokollet använder TLS-kryptering och begäransyntaxen som tillhandahålls av de vanliga HTTPS- och HTTP/2-standarderna, och lägger till DNS-förfrågningar och svar utöver vanliga HTTP-förfrågningar.
Risker förknippade med DoH
Om du inte kan skilja vanlig HTTPS-trafik från DoH-förfrågningar, kan (och kommer) applikationer inom din organisation att kringgå lokala DNS-inställningar genom att omdirigera förfrågningar till tredjepartsservrar som svarar på DoH-förfrågningar, vilket kringgår all övervakning, det vill säga förstör förmågan att kontrollera DNS-trafiken. Helst bör du kontrollera DoH med hjälp av HTTPS-dekrypteringsfunktioner.
Säkerställa synlighet och kontroll av DoH-trafiken
Som den bästa lösningen för DoH-kontroll rekommenderar vi att du konfigurerar NGFW för att dekryptera HTTPS-trafik och blockera DoH-trafik (applikationsnamn: dns-over-https).
För det andra, skapa en regel för programtrafik "dns-over-https" som visas nedan:
Palo Alto Networks NGFW-regel för att blockera DNS-över-HTTPS
Som ett tillfälligt alternativ (om din organisation inte har implementerat HTTPS-dekryptering helt) kan NGFW konfigureras att tillämpa en "neka"-åtgärd på "dns-over-https"-applikations-ID:t, men effekten kommer att begränsas till att blockera vissa väl- kända DoH-servrar genom deras domännamn, så hur utan HTTPS-dekryptering kan DoH-trafik inte inspekteras fullständigt (se Applipedia från Palo Alto Networks och sök efter "dns-over-https").
DNS över TLS (DoT)
DNS i TLS
Medan DoH-protokollet tenderar att blandas med annan trafik på samma port, använder DoT istället en speciell port som är reserverad för det enda syftet, vilket till och med specifikt förbjuder samma port från att användas av traditionell okrypterad DNS-trafik ( RFC 7858, avsnitt 3.1 ).
DoT-protokollet använder TLS för att tillhandahålla kryptering som kapslar in vanliga DNS-protokollfrågor, med trafik som använder den välkända porten 853 ( RFC 7858 avsnitt 6 ). DoT-protokollet utformades för att göra det lättare för organisationer att blockera trafik på en port, eller acceptera trafik men aktivera dekryptering på den porten.
Risker förknippade med DoT
Google har implementerat DoT i sin klient Android 9 Pie och senare , med standardinställningen att automatiskt använda DoT om tillgängligt. Om du har bedömt riskerna och är redo att använda DoT på organisationsnivå, måste du låta nätverksadministratörer uttryckligen tillåta utgående trafik på port 853 genom deras omkrets för detta nya protokoll.
Säkerställa synlighet och kontroll av DoT-trafik
Som en bästa praxis för DoT-kontroll rekommenderar vi något av ovanstående, baserat på din organisations krav:
Konfigurera NGFW för att dekryptera all trafik för destinationsport 853. Genom att dekryptera trafik kommer DoT att visas som en DNS-applikation på vilken du kan tillämpa vilken åtgärd som helst, till exempel aktivera prenumeration Palo Alto Networks DNS-säkerhet för att kontrollera DGA-domäner eller en befintlig DNS Sinkholing och antispionprogram.
Ett alternativ är att låta App-ID-motorn helt blockera 'dns-over-tls'-trafik på port 853. Detta är vanligtvis blockerat som standard, ingen åtgärd krävs (såvida du inte specifikt tillåter 'dns-over-tls'-applikation eller port trafik 853).