Kupunguza hatari za kutumia DoH na DoT
Ulinzi wa DoH na DoT
Je, unadhibiti trafiki yako ya DNS? Mashirika huwekeza muda mwingi, pesa, na juhudi katika kulinda mitandao yao. Walakini, eneo moja ambalo mara nyingi halipati umakini wa kutosha ni DNS.
Muhtasari mzuri wa hatari ambazo DNS huleta ni katika kongamano la Infosecurity.
31% ya madarasa ya programu ya ukombozi yaliyofanyiwa utafiti yalitumia DNS kwa ubadilishanaji muhimu. Matokeo ya Utafiti
31% ya madarasa ya programu ya ukombozi yaliyofanyiwa utafiti yalitumia DNS kubadilishana ufunguo.
Tatizo ni kubwa. Kulingana na maabara ya utafiti ya Palo Alto Networks Unit 42, takriban 85% ya programu hasidi hutumia DNS kuanzisha amri na kudhibiti kituo, hivyo basi kuwaruhusu washambuliaji kuingiza kwa urahisi programu hasidi kwenye mtandao wako na pia kuiba data. Tangu kuanzishwa kwake, trafiki ya DNS haijasimbwa kwa kiasi kikubwa na inaweza kuchanganuliwa kwa urahisi na mifumo ya usalama ya NGFW.
Itifaki mpya za DNS zimeibuka zinazolenga kuongeza usiri wa miunganisho ya DNS. Wanasaidiwa kikamilifu na wachuuzi wakuu wa kivinjari na wachuuzi wengine wa programu. Trafiki ya DNS iliyosimbwa kwa njia fiche itaanza kukua katika mitandao ya kampuni hivi karibuni. Trafiki ya DNS iliyosimbwa kwa njia fiche ambayo haijachanganuliwa ipasavyo na kutatuliwa kwa zana huhatarisha usalama wa kampuni. Kwa mfano, tishio kama hilo ni cryptolockers ambazo hutumia DNS kubadilishana funguo za usimbuaji. Wavamizi sasa wanadai fidia ya dola milioni kadhaa ili kurejesha ufikiaji wa data yako. Garmin, kwa mfano, alilipa dola milioni 10.
Inapowekwa vizuri, NGFWs zinaweza kukataa au kulinda matumizi ya DNS-over-TLS (DoT) na inaweza kutumika kukataa matumizi ya DNS-over-HTTPS (DoH), kuruhusu trafiki yote ya DNS kwenye mtandao wako kuchanganuliwa.
DNS iliyosimbwa kwa njia fiche ni nini?
DNS ni nini
Mfumo wa Jina la Kikoa (DNS) hutatua majina ya vikoa vinavyoweza kusomeka na binadamu (kwa mfano, anwani ) kwa anwani za IP (kwa mfano, 34.107.151.202). Mtumiaji anapoingiza jina la kikoa kwenye kivinjari cha wavuti, kivinjari hutuma swali la DNS kwa seva ya DNS, kikiuliza anwani ya IP inayohusishwa na jina la kikoa hicho. Kwa kujibu, seva ya DNS inarudisha anwani ya IP ambayo kivinjari hiki kitatumia.
Hoja na majibu ya DNS hutumwa kote mtandaoni kwa maandishi wazi, bila usimbaji fiche, hivyo kuifanya iwe hatarini kupeleleza au kubadilisha majibu na kuelekeza kivinjari kwenye seva hasidi. Usimbaji fiche wa DNS hufanya iwe vigumu kwa maombi ya DNS kufuatiliwa au kubadilishwa wakati wa kutuma. Usimbaji wa maombi na majibu ya DNS hukulinda dhidi ya mashambulizi ya Mtu wa Kati huku ukitekeleza utendakazi sawa na itifaki ya kawaida ya DNS (Mfumo wa Jina la Kikoa).
Katika miaka michache iliyopita, itifaki mbili za usimbaji fiche za DNS zimeanzishwa:
-
DNS-over-HTTPS (DoH)
-
DNS-over-TLS (DoT)
Itifaki hizi zina kitu kimoja: wao huficha kwa makusudi maombi ya DNS kutoka kwa kizuizi chochote ... na kutoka kwa walinzi wa shirika pia. Itifaki kimsingi hutumia TLS (Usalama wa Tabaka la Usafiri) kuanzisha muunganisho uliosimbwa kwa njia fiche kati ya mteja anayeuliza na seva inayosuluhisha hoja za DNS kwenye mlango ambao hautumiwi kwa kawaida kwa trafiki ya DNS.
Usiri wa hoja za DNS ni nyongeza kubwa ya itifaki hizi. Hata hivyo, huleta matatizo kwa walinzi ambao wanapaswa kufuatilia trafiki ya mtandao na kugundua na kuzuia miunganisho yenye nia mbaya. Kwa sababu itifaki hutofautiana katika utekelezaji wake, mbinu za uchanganuzi zitatofautiana kati ya DoH na DoT.
DNS kupitia HTTPS (DoH)
DNS ndani ya HTTPS
DoH hutumia bandari 443 inayojulikana sana kwa HTTPS, ambayo RFC inasema haswa kwamba dhamira ni "kuchanganya trafiki ya DoH na trafiki nyingine ya HTTPS kwenye muunganisho sawa", "kufanya iwe vigumu kuchanganua trafiki ya DNS" na hivyo kukwepa udhibiti wa shirika. ( ) Itifaki ya DoH hutumia usimbaji fiche wa TLS na sintaksia ya ombi inayotolewa na viwango vya kawaida vya HTTPS na HTTP/2, na kuongeza maombi na majibu ya DNS juu ya maombi ya kawaida ya HTTP.
Hatari zinazohusiana na DoH
Iwapo huwezi kutofautisha trafiki ya kawaida ya HTTPS kutoka kwa maombi ya DoH, basi programu ndani ya shirika lako zinaweza (na) kupita mipangilio ya DNS ya ndani kwa kuelekeza maombi kwa seva za watu wengine zinazojibu maombi ya DoH, ambayo inapuuza ufuatiliaji wowote, yaani, kuharibu uwezo wa kudhibiti trafiki ya DNS. Kwa hakika, unapaswa kudhibiti DoH kwa kutumia vipengele vya kusimbua HTTPS.
Π katika toleo la hivi punde la vivinjari vyao, na kampuni zote mbili zinafanya kazi kutumia DoH kwa chaguo-msingi kwa maombi yote ya DNS. juu ya kuunganisha DoH katika mifumo yao ya uendeshaji. Ubaya ni kwamba sio tu kampuni za programu zinazoheshimika, lakini pia washambuliaji wameanza kutumia DoH kama njia ya kukwepa hatua za jadi za ngome za shirika. (Kwa mfano, pitia makala zifuatazo: , ΠΈ .) Katika hali yoyote ile, trafiki nzuri na hasidi ya DoH haitatambuliwa, na hivyo kuacha shirika likiwa kipofu kwa matumizi mabaya ya DoH kama njia ya kudhibiti programu hasidi (C2) na kuiba data nyeti.
Kuhakikisha mwonekano na udhibiti wa trafiki ya DoH
Kama suluhisho bora kwa udhibiti wa DoH, tunapendekeza usanidi NGFW ili kusimbua trafiki ya HTTPS na kuzuia trafiki ya DoH (jina la programu: dns-over-https).
Kwanza, hakikisha NGFW imesanidiwa kusimbua HTTPS, kulingana na .
Pili, tengeneza sheria ya trafiki ya programu "dns-over-https" kama inavyoonyeshwa hapa chini:
Sheria ya NGFW ya Mitandao ya Palo Alto Kuzuia DNS-juu-HTTPS
Kama njia mbadala ya muda (ikiwa shirika lako halijatekeleza usimbaji fiche wa HTTPS kikamilifu), NGFW inaweza kusanidiwa ili kutekeleza kitendo cha "kukataa" kwa kitambulisho cha programu ya "dns-over-https", lakini athari itakuwa tu kwa kuzuia baadhi ya visima- seva za DoH zinazojulikana kwa jina la kikoa chao, kwa hivyo jinsi bila usimbuaji wa HTTPS, trafiki ya DoH haiwezi kukaguliwa kikamilifu (tazama na utafute "dns-over-https").
DNS kwa TLS (DoT)
DNS ndani ya TLS
Ingawa itifaki ya DoH inaelekea kuchanganyikana na trafiki nyingine kwenye bandari hiyo hiyo, DoT badala yake inachanganua kutumia lango maalum lililohifadhiwa kwa madhumuni hayo pekee, hata ikikataza haswa lango lile lile kutumiwa na trafiki ya jadi ya DNS ambayo haijasimbwa. ).
Itifaki ya DoT hutumia TLS kutoa usimbaji fiche unaojumuisha hoja za kawaida za itifaki ya DNS, na trafiki kwa kutumia mlango unaojulikana sana 853 ( ) Itifaki ya DoT iliundwa ili kurahisisha mashirika kuzuia trafiki kwenye mlango, au kukubali trafiki lakini kuwezesha kusimbua kwenye mlango huo.
Hatari zinazohusiana na DoT
Google imetekeleza DoT katika mteja wake , na mpangilio chaguo-msingi wa kutumia kiotomatiki DoT ikiwa inapatikana. Ikiwa umetathmini hatari na uko tayari kutumia DoT katika kiwango cha shirika, basi unahitaji kuwa na wasimamizi wa mtandao kuruhusu kwa uwazi trafiki ya nje kwenye bandari 853 kupitia mzunguko wao kwa itifaki hii mpya.
Kuhakikisha mwonekano na udhibiti wa trafiki ya DoT
Kama njia bora ya udhibiti wa DoT, tunapendekeza yoyote kati ya yaliyo hapo juu, kulingana na mahitaji ya shirika lako:
-
Sanidi NGFW ili kusimbua trafiki yote kwa mlango lengwa wa 853. Kwa kusimbua trafiki, DoT itaonekana kama programu ya DNS ambayo unaweza kutekeleza kitendo chochote, kama vile kuwezesha usajili. ili kudhibiti vikoa vya DGA au vilivyopo na anti-spyware.
-
Njia mbadala ni kuwa na injini ya Kitambulisho cha Programu kuzuia kabisa trafiki ya 'dns-over-tls' kwenye bandari 853. Hii kwa kawaida huzuiwa kwa chaguo-msingi, hakuna hatua inayohitajika (isipokuwa ukiruhusu programu ya 'dns-over-tls' au trafiki ya bandari. 853).
Chanzo: mapenzi.com