புரோஹோஸ்டர் > Блог > நிர்வாகம் > DNS-over-TLS (DoT) மற்றும் DNS-over-HTTPS (DoH) ஆகியவற்றைப் பயன்படுத்துவதால் ஏற்படும் அபாயங்களைக் குறைத்தல்
DNS-over-TLS (DoT) மற்றும் DNS-over-HTTPS (DoH) ஆகியவற்றைப் பயன்படுத்துவதால் ஏற்படும் அபாயங்களைக் குறைத்தல்
DoH மற்றும் DoT ஐப் பயன்படுத்துவதால் ஏற்படும் அபாயங்களைக் குறைத்தல்
DoH மற்றும் DoT பாதுகாப்பு
உங்கள் DNS ட்ராஃபிக்கைக் கட்டுப்படுத்துகிறீர்களா? நிறுவனங்கள் தங்கள் நெட்வொர்க்குகளைப் பாதுகாப்பதில் நிறைய நேரம், பணம் மற்றும் முயற்சியை முதலீடு செய்கின்றன. இருப்பினும், பெரும்பாலும் போதுமான கவனம் செலுத்தாத ஒரு பகுதி DNS ஆகும்.
DNS கொண்டு வரும் அபாயங்கள் பற்றிய நல்ல கண்ணோட்டம் உண்மை விளக்கக்காட்சி Infosecurity மாநாட்டில்.
கணக்கெடுக்கப்பட்ட ransomware வகுப்புகளில் 31% முக்கிய பரிமாற்றத்திற்கு DNS ஐப் பயன்படுத்தியது. ஆய்வு முடிவுகள்
கணக்கெடுக்கப்பட்ட ransomware வகுப்புகளில் 31% முக்கிய பரிமாற்றத்திற்கு DNS ஐப் பயன்படுத்தியது.
பிரச்சனை தீவிரமானது. Palo Alto Networks Unit 42 ஆராய்ச்சி ஆய்வகத்தின்படி, ஏறத்தாழ 85% தீம்பொருள்கள் கட்டளை மற்றும் கட்டுப்பாட்டு சேனலை நிறுவ DNS ஐப் பயன்படுத்துகின்றன, இதனால் தாக்குபவர்கள் உங்கள் நெட்வொர்க்கில் தீம்பொருளை எளிதில் புகுத்தி தரவுகளைத் திருட அனுமதிக்கிறது. அதன் தொடக்கத்திலிருந்தே, டிஎன்எஸ் ட்ராஃபிக் பெரும்பாலும் மறைகுறியாக்கப்படவில்லை மற்றும் NGFW பாதுகாப்பு வழிமுறைகளால் எளிதாக பகுப்பாய்வு செய்ய முடியும்.
DNS இணைப்புகளின் இரகசியத்தன்மையை அதிகரிக்கும் நோக்கில் DNSக்கான புதிய நெறிமுறைகள் வெளிவந்துள்ளன. அவர்கள் முன்னணி உலாவி விற்பனையாளர்கள் மற்றும் பிற மென்பொருள் விற்பனையாளர்களால் தீவிரமாக ஆதரிக்கப்படுகிறார்கள். கார்ப்பரேட் நெட்வொர்க்குகளில் மறைகுறியாக்கப்பட்ட DNS ட்ராஃபிக் விரைவில் வளரத் தொடங்கும். என்க்ரிப்ட் செய்யப்பட்ட டிஎன்எஸ் டிராஃபிக்கை சரியாக பகுப்பாய்வு செய்து கருவிகளால் தீர்க்கப்படாதது ஒரு நிறுவனத்திற்கு பாதுகாப்பு ஆபத்தை ஏற்படுத்துகிறது. எடுத்துக்காட்டாக, அத்தகைய அச்சுறுத்தல் குறியாக்க விசைகளை மாற்ற DNS ஐப் பயன்படுத்தும் கிரிப்டோலாக்கர்கள் ஆகும். உங்கள் தரவுக்கான அணுகலை மீட்டெடுக்க, தாக்குபவர்கள் இப்போது பல மில்லியன் டாலர்களை மீட்கும் தொகையைக் கோருகின்றனர். உதாரணமாக கார்மின் $10 மில்லியன் செலுத்தினார்.
சரியாக உள்ளமைக்கப்படும் போது, NGFWகள் DNS-over-TLS (DoT) இன் பயன்பாட்டை மறுக்கலாம் அல்லது பாதுகாக்கலாம் மற்றும் DNS-over-HTTPS (DoH) பயன்பாட்டை மறுக்க பயன்படுத்தலாம், இது உங்கள் நெட்வொர்க்கில் உள்ள அனைத்து DNS டிராஃபிக்கையும் பகுப்பாய்வு செய்ய அனுமதிக்கிறது.
மறைகுறியாக்கப்பட்ட DNS என்றால் என்ன?
DNS என்றால் என்ன
டொமைன் நேம் சிஸ்டம் (டிஎன்எஸ்) மனிதர்கள் படிக்கக்கூடிய டொமைன் பெயர்களைத் தீர்க்கிறது (உதாரணமாக, முகவரி www.paloaltonetworks.com ) ஐபி முகவரிகளுக்கு (உதாரணமாக, 34.107.151.202). ஒரு பயனர் ஒரு இணைய உலாவியில் டொமைன் பெயரை உள்ளிடும்போது, அந்த டொமைன் பெயருடன் தொடர்புடைய IP முகவரியைக் கேட்கும் DNS வினவலை DNS சேவையகத்திற்கு உலாவி அனுப்புகிறது. இதற்கு பதிலளிக்கும் விதமாக, இந்த உலாவி பயன்படுத்தும் ஐபி முகவரியை DNS சேவையகம் வழங்கும்.
டிஎன்எஸ் வினவல்கள் மற்றும் பதில்கள் பிணையம் முழுவதும் எளிய உரையில் அனுப்பப்படுகின்றன, மறைகுறியாக்கப்படாமல், உளவு பார்ப்பதற்கும் அல்லது பதிலை மாற்றுவதற்கும் மற்றும் உலாவியை தீங்கிழைக்கும் சேவையகங்களுக்கு திருப்பி விடுவதற்கும் இது பாதிப்பை ஏற்படுத்துகிறது. டிஎன்எஸ் குறியாக்கம் டிஎன்எஸ் கோரிக்கைகளை டிரான்ஸ்மிஷன் செய்யும் போது டிராக் செய்வது அல்லது மாற்றுவது கடினம். டிஎன்எஸ் கோரிக்கைகள் மற்றும் பதில்களை என்க்ரிப்ட் செய்வது, பாரம்பரிய ப்ளைன்டெக்ஸ்ட் டிஎன்எஸ் (டொமைன் நேம் சிஸ்டம்) நெறிமுறையின் அதே செயல்பாட்டைச் செய்யும் போது, மேன்-இன்-தி-மிடில் தாக்குதல்களிலிருந்து உங்களைப் பாதுகாக்கிறது.
கடந்த சில ஆண்டுகளில், இரண்டு டிஎன்எஸ் குறியாக்க நெறிமுறைகள் அறிமுகப்படுத்தப்பட்டுள்ளன:
DNS-ஓவர்-HTTPS (DoH)
DNS-over-TLS (DoT)
இந்த நெறிமுறைகளுக்கு பொதுவான ஒன்று உள்ளது: அவை வேண்டுமென்றே டிஎன்எஸ் கோரிக்கைகளை எந்த இடையூறுகளிலிருந்தும் மறைக்கின்றன... மற்றும் நிறுவனத்தின் பாதுகாப்புக் காவலர்களிடமிருந்தும். நெறிமுறைகள் முதன்மையாக டிஎல்எஸ் (போக்குவரத்து அடுக்கு பாதுகாப்பு) ஐப் பயன்படுத்தி, வினவல்களை உருவாக்கும் கிளையன்ட் மற்றும் டிஎன்எஸ் ட்ராஃபிக்கிற்கு பொதுவாகப் பயன்படுத்தப்படாத ஒரு போர்ட்டில் டிஎன்எஸ் வினவல்களைத் தீர்க்கும் சர்வர் இடையே மறைகுறியாக்கப்பட்ட இணைப்பை நிறுவுகிறது.
DNS வினவல்களின் ரகசியத்தன்மை இந்த நெறிமுறைகளின் ஒரு பெரிய பிளஸ் ஆகும். இருப்பினும், நெட்வொர்க் ட்ராஃபிக்கைக் கண்காணிக்கும் மற்றும் தீங்கிழைக்கும் இணைப்புகளைக் கண்டறிந்து தடுக்கும் பாதுகாப்புக் காவலர்களுக்கு அவை சிக்கல்களை ஏற்படுத்துகின்றன. நெறிமுறைகள் அவற்றின் செயலாக்கத்தில் வேறுபடுவதால், பகுப்பாய்வு முறைகள் DoH மற்றும் DoT இடையே வேறுபடும்.
HTTPS (DoH) மூலம் DNS
HTTPS இன் உள்ளே DNS
DoH HTTPS க்காக நன்கு அறியப்பட்ட போர்ட் 443 ஐப் பயன்படுத்துகிறது, இதற்காக RFC குறிப்பாக "DoH ட்ராஃபிக்கை மற்ற HTTPS ட்ராஃபிக்குடன் ஒரே இணைப்பில் கலப்பது", "DNS ட்ராஃபிக்கை பகுப்பாய்வு செய்வதை கடினமாக்குவது" மற்றும் கார்ப்பரேட் கட்டுப்பாடுகளைத் தவிர்ப்பது என்று குறிப்பிடுகிறது. ( RFC 8484 DoH பிரிவு 8.1 ) DoH நெறிமுறையானது TLS குறியாக்கம் மற்றும் பொதுவான HTTPS மற்றும் HTTP/2 தரநிலைகளால் வழங்கப்பட்ட கோரிக்கை தொடரியல் ஆகியவற்றைப் பயன்படுத்துகிறது, நிலையான HTTP கோரிக்கைகளுக்கு மேல் DNS கோரிக்கைகள் மற்றும் பதில்களைச் சேர்க்கிறது.
DoH உடன் தொடர்புடைய அபாயங்கள்
DoH கோரிக்கைகளிலிருந்து வழக்கமான HTTPS போக்குவரத்தை உங்களால் வேறுபடுத்திப் பார்க்க முடியாவிட்டால், உங்கள் நிறுவனத்தில் உள்ள பயன்பாடுகள், DoH கோரிக்கைகளுக்குப் பதிலளிக்கும் மூன்றாம் தரப்பு சேவையகங்களுக்கு கோரிக்கைகளைத் திருப்பிவிடுவதன் மூலம் உள்ளூர் DNS அமைப்புகளைத் தவிர்க்கலாம் (மற்றும்) இது எந்த கண்காணிப்பையும் புறக்கணிக்கிறது. DNS போக்குவரத்தை கட்டுப்படுத்தவும். வெறுமனே, நீங்கள் HTTPS மறைகுறியாக்க செயல்பாடுகளைப் பயன்படுத்தி DoH ஐக் கட்டுப்படுத்த வேண்டும்.
DoH போக்குவரத்தின் தெரிவுநிலை மற்றும் கட்டுப்பாட்டை உறுதி செய்தல்
DoH கட்டுப்பாட்டுக்கான சிறந்த தீர்வாக, HTTPS டிராஃபிக்கை மறைகுறியாக்க மற்றும் DoH டிராஃபிக்கைத் தடுக்க NGFW ஐ உள்ளமைக்க பரிந்துரைக்கிறோம் (பயன்பாட்டின் பெயர்: dns-over-https).
இரண்டாவதாக, கீழே காட்டப்பட்டுள்ளபடி "dns-over-https" பயன்பாட்டு போக்குவரத்துக்கான விதியை உருவாக்கவும்:
பாலோ ஆல்டோ நெட்வொர்க்குகள் NGFW விதி DNS-க்கு மேல் HTTPS ஐத் தடுக்கிறது
இடைக்கால மாற்றாக (உங்கள் நிறுவனம் HTTPS மறைகுறியாக்கத்தை முழுமையாகச் செயல்படுத்தவில்லை என்றால்), NGFW ஆனது "dns-over-https" பயன்பாட்டு ஐடிக்கு "மறுக்கவும்" செயலைப் பயன்படுத்துவதற்கு உள்ளமைக்கப்படும், ஆனால் விளைவு சில நன்கு தடுக்கப்படும்- அவற்றின் டொமைன் பெயரால் அறியப்பட்ட DoH சேவையகங்கள், HTTPS மறைகுறியாக்கம் இல்லாமல், DoH போக்குவரத்தை எவ்வாறு முழுமையாக ஆய்வு செய்ய முடியாது (பார்க்க பாலோ ஆல்டோ நெட்வொர்க்கிலிருந்து அப்ளிபீடியா மற்றும் "dns-over-https" என்று தேடவும்).
டிஎல்எஸ் (DoT) மூலம் DNS
டிஎல்எஸ் உள்ளே டிஎன்எஸ்
DoH நெறிமுறை அதே போர்ட்டில் உள்ள மற்ற போக்குவரத்துடன் கலக்க முனைகிறது, அதற்குப் பதிலாக DoT ஆனது அந்த ஒரே நோக்கத்திற்காக ஒதுக்கப்பட்ட ஒரு சிறப்பு போர்ட்டைப் பயன்படுத்துவதை இயல்புநிலையாக மாற்றுகிறது. RFC 7858, பிரிவு 3.1 ).
நன்கு அறியப்பட்ட போர்ட் 853 ஐப் பயன்படுத்தி போக்குவரத்துடன் நிலையான DNS நெறிமுறை வினவல்களை இணைக்கும் குறியாக்கத்தை வழங்க DoT நெறிமுறை TLS ஐப் பயன்படுத்துகிறது. RFC 7858 பிரிவு 6 ) DoT நெறிமுறையானது, நிறுவனங்கள் ஒரு துறைமுகத்தில் போக்குவரத்தைத் தடுக்க அல்லது போக்குவரத்தை ஏற்றுக்கொள்வதை எளிதாக்கும் வகையில் வடிவமைக்கப்பட்டுள்ளது, ஆனால் அந்த துறைமுகத்தில் மறைகுறியாக்கத்தை செயல்படுத்துகிறது.
DoT உடன் தொடர்புடைய அபாயங்கள்
கூகிள் தனது கிளையண்டில் DoT ஐ செயல்படுத்தியுள்ளது Android 9 Pie மற்றும் அதற்குப் பிறகு , DoT இருந்தால் தானாகவே பயன்படுத்தும் இயல்புநிலை அமைப்புடன். நீங்கள் அபாயங்களை மதிப்பிட்டு, நிறுவன மட்டத்தில் DoT ஐப் பயன்படுத்தத் தயாராக இருந்தால், இந்த புதிய நெறிமுறைக்காக நெட்வொர்க் நிர்வாகிகள் போர்ட் 853 இல் வெளிச்செல்லும் போக்குவரத்தை வெளிப்படையாக அனுமதிக்க வேண்டும்.
DoT போக்குவரத்தின் தெரிவுநிலை மற்றும் கட்டுப்பாட்டை உறுதி செய்தல்
DoT கட்டுப்பாட்டுக்கான சிறந்த நடைமுறையாக, உங்கள் நிறுவனத்தின் தேவைகளின் அடிப்படையில் மேலே உள்ளவற்றைப் பரிந்துரைக்கிறோம்:
இலக்கு போர்ட் 853க்கான அனைத்து போக்குவரத்தையும் டிக்ரிப்ட் செய்ய NGFW ஐ உள்ளமைக்கவும். ட்ராஃபிக்கை டிக்ரிப்ட் செய்வதன் மூலம், சந்தாவை இயக்குவது போன்ற எந்தவொரு செயலையும் நீங்கள் பயன்படுத்தக்கூடிய DNS பயன்பாடாக DoT தோன்றும். பாலோ ஆல்டோ நெட்வொர்க்குகள் டிஎன்எஸ் பாதுகாப்பு DGA டொமைன்கள் அல்லது ஏற்கனவே உள்ள ஒன்றைக் கட்டுப்படுத்த டிஎன்எஸ் சிங்க்ஹோலிங் மற்றும் ஸ்பைவேர் எதிர்ப்பு.
ஆப்-ஐடி இன்ஜின் போர்ட் 853 இல் 'டிஎன்எஸ்-ஓவர்-டிஎல்எஸ்' டிராஃபிக்கை முழுவதுமாகத் தடுப்பது ஒரு மாற்றாகும். இது வழக்கமாக இயல்பாகவே தடுக்கப்படும், எந்த நடவடிக்கையும் தேவையில்லை (நீங்கள் குறிப்பாக 'டிஎன்எஸ்-ஓவர்-டிஎல்எஸ்' பயன்பாடு அல்லது போர்ட் டிராஃபிக்கை அனுமதித்தால் வரை. 853)