DoH మరియు DoTని ఉపయోగించడం వల్ల కలిగే నష్టాలను తగ్గించడం
DoH మరియు DoT రక్షణ
మీరు మీ DNS ట్రాఫిక్ని నియంత్రిస్తున్నారా? సంస్థలు తమ నెట్వర్క్లను భద్రపరచడానికి చాలా సమయం, డబ్బు మరియు కృషిని పెట్టుబడి పెడతాయి. అయినప్పటికీ, తరచుగా తగినంత శ్రద్ధ తీసుకోని ఒక ప్రాంతం DNS.
DNS తెచ్చే ప్రమాదాల గురించి మంచి అవలోకనం ఇన్ఫోసెక్యూరిటీ కాన్ఫరెన్స్లో.
సర్వే చేయబడిన 31% ransomware తరగతులు కీ మార్పిడి కోసం DNSని ఉపయోగించాయి. అధ్యయన ఫలితాలు
సర్వే చేయబడిన 31% ransomware తరగతులు కీ మార్పిడి కోసం DNSని ఉపయోగించాయి.
సమస్య తీవ్రంగా ఉంది. పాలో ఆల్టో నెట్వర్క్స్ యూనిట్ 42 రీసెర్చ్ ల్యాబ్ ప్రకారం, దాదాపు 85% మాల్వేర్ కమాండ్ మరియు కంట్రోల్ ఛానెల్ని ఏర్పాటు చేయడానికి DNSని ఉపయోగిస్తుంది, దాడి చేసేవారు మీ నెట్వర్క్లోకి మాల్వేర్ను సులభంగా ఇంజెక్ట్ చేయడానికి అలాగే డేటాను దొంగిలించడానికి అనుమతిస్తుంది. దాని ప్రారంభం నుండి, DNS ట్రాఫిక్ ఎక్కువగా ఎన్క్రిప్ట్ చేయబడి ఉంది మరియు NGFW భద్రతా విధానాల ద్వారా సులభంగా విశ్లేషించబడుతుంది.
DNS కనెక్షన్ల గోప్యతను పెంచే లక్ష్యంతో DNS కోసం కొత్త ప్రోటోకాల్లు వెలువడ్డాయి. వారికి ప్రముఖ బ్రౌజర్ విక్రేతలు మరియు ఇతర సాఫ్ట్వేర్ విక్రేతలు చురుకుగా మద్దతు ఇస్తారు. గుప్తీకరించిన DNS ట్రాఫిక్ త్వరలో కార్పొరేట్ నెట్వర్క్లలో పెరగడం ప్రారంభమవుతుంది. టూల్స్ ద్వారా సరిగ్గా విశ్లేషించబడని మరియు పరిష్కరించబడని ఎన్క్రిప్టెడ్ DNS ట్రాఫిక్ కంపెనీకి భద్రతా ప్రమాదాన్ని కలిగిస్తుంది. ఉదాహరణకు, ఎన్క్రిప్షన్ కీలను మార్పిడి చేయడానికి DNSని ఉపయోగించే క్రిప్టోలాకర్స్ అటువంటి ముప్పు. మీ డేటాకు యాక్సెస్ను పునరుద్ధరించడానికి దాడి చేసేవారు ఇప్పుడు అనేక మిలియన్ డాలర్ల విమోచన క్రయధనాన్ని డిమాండ్ చేస్తున్నారు. ఉదాహరణకు గార్మిన్ $10 మిలియన్లు చెల్లించారు.
సరిగ్గా కాన్ఫిగర్ చేయబడినప్పుడు, NGFWలు DNS-over-TLS (DoT) వినియోగాన్ని తిరస్కరించవచ్చు లేదా రక్షించగలవు మరియు DNS-over-HTTPS (DoH) వినియోగాన్ని తిరస్కరించడానికి ఉపయోగించవచ్చు, ఇది మీ నెట్వర్క్లోని అన్ని DNS ట్రాఫిక్ను విశ్లేషించడానికి అనుమతిస్తుంది.
ఎన్క్రిప్టెడ్ DNS అంటే ఏమిటి?
DNS అంటే ఏమిటి
డొమైన్ నేమ్ సిస్టమ్ (DNS) మానవులు చదవగలిగే డొమైన్ పేర్లను పరిష్కరిస్తుంది (ఉదాహరణకు, చిరునామా ) IP చిరునామాలకు (ఉదాహరణకు, 34.107.151.202). ఒక వినియోగదారు వెబ్ బ్రౌజర్లో డొమైన్ పేరును నమోదు చేసినప్పుడు, బ్రౌజర్ DNS సర్వర్కు DNS ప్రశ్నను పంపుతుంది, ఆ డొమైన్ పేరుతో అనుబంధించబడిన IP చిరునామాను అడుగుతుంది. ప్రతిస్పందనగా, DNS సర్వర్ ఈ బ్రౌజర్ ఉపయోగించే IP చిరునామాను అందిస్తుంది.
DNS ప్రశ్నలు మరియు ప్రతిస్పందనలు నెట్వర్క్ అంతటా సాదా వచనంలో పంపబడతాయి, ఎన్క్రిప్ట్ చేయబడవు, ఇది గూఢచర్యం లేదా ప్రతిస్పందనను మార్చడం మరియు బ్రౌజర్ను హానికరమైన సర్వర్లకు దారి మళ్లించడం వంటి వాటికి హాని కలిగిస్తుంది. DNS గుప్తీకరణ DNS అభ్యర్థనలను ట్రాక్ చేయడం లేదా ప్రసార సమయంలో మార్చడం కష్టతరం చేస్తుంది. DNS అభ్యర్థనలు మరియు ప్రతిస్పందనలను గుప్తీకరించడం సాంప్రదాయ సాదాపాఠం DNS (డొమైన్ నేమ్ సిస్టమ్) ప్రోటోకాల్ వలె అదే కార్యాచరణను ప్రదర్శిస్తున్నప్పుడు మిడిల్-ఇన్-ది-మిడిల్ దాడుల నుండి మిమ్మల్ని రక్షిస్తుంది.
గత కొన్ని సంవత్సరాలుగా, రెండు DNS ఎన్క్రిప్షన్ ప్రోటోకాల్లు ప్రవేశపెట్టబడ్డాయి:
-
DNS-over-HTTPS (DoH)
-
DNS-over-TLS (DoT)
ఈ ప్రోటోకాల్లకు ఉమ్మడిగా ఒక విషయం ఉంది: అవి ఉద్దేశపూర్వకంగా DNS అభ్యర్థనలను ఏదైనా అంతరాయం నుండి దాచిపెడతాయి... మరియు సంస్థ యొక్క సెక్యూరిటీ గార్డుల నుండి కూడా. ప్రోటోకాల్లు ప్రధానంగా TLS (ట్రాన్స్పోర్ట్ లేయర్ సెక్యూరిటీ)ని ఉపయోగిస్తాయి, క్లయింట్ ప్రశ్నలు వేసేందుకు మరియు DNS ట్రాఫిక్ కోసం సాధారణంగా ఉపయోగించని పోర్ట్పై DNS ప్రశ్నలను పరిష్కరించే సర్వర్ మధ్య ఎన్క్రిప్టెడ్ కనెక్షన్ని ఏర్పాటు చేస్తుంది.
DNS ప్రశ్నల గోప్యత ఈ ప్రోటోకాల్ల యొక్క పెద్ద ప్లస్. అయినప్పటికీ, నెట్వర్క్ ట్రాఫిక్ను పర్యవేక్షించాల్సిన మరియు హానికరమైన కనెక్షన్లను గుర్తించి బ్లాక్ చేసే సెక్యూరిటీ గార్డులకు అవి సమస్యలను కలిగిస్తాయి. ప్రోటోకాల్లు వాటి అమలులో విభిన్నంగా ఉన్నందున, విశ్లేషణ పద్ధతులు DoH మరియు DoT మధ్య విభిన్నంగా ఉంటాయి.
HTTPS (DoH) ద్వారా DNS
HTTPS లోపల DNS
DoH HTTPS కోసం సుప్రసిద్ధ పోర్ట్ 443ని ఉపయోగిస్తుంది, దీని కోసం RFC ప్రత్యేకంగా "DNS ట్రాఫిక్ను ఇతర HTTPS ట్రాఫిక్తో ఒకే కనెక్షన్తో కలపడం", "DNS ట్రాఫిక్ని విశ్లేషించడం కష్టతరం చేయడం" మరియు తద్వారా కార్పొరేట్ నియంత్రణలను అధిగమించడం ఉద్దేశం అని పేర్కొంది. ( ) DoH ప్రోటోకాల్ TLS ఎన్క్రిప్షన్ మరియు సాధారణ HTTPS మరియు HTTP/2 ప్రమాణాల ద్వారా అందించబడిన అభ్యర్థన సింటాక్స్ని ఉపయోగిస్తుంది, ప్రామాణిక HTTP అభ్యర్థనల పైన DNS అభ్యర్థనలు మరియు ప్రతిస్పందనలను జోడిస్తుంది.
DoHతో అనుబంధించబడిన ప్రమాదాలు
మీరు DoH అభ్యర్థనల నుండి సాధారణ HTTPS ట్రాఫిక్ను వేరు చేయలేకపోతే, మీ సంస్థలోని అప్లికేషన్లు DoH అభ్యర్థనలకు ప్రతిస్పందించే మూడవ పక్ష సర్వర్లకు అభ్యర్థనలను దారి మళ్లించడం ద్వారా స్థానిక DNS సెట్టింగ్లను దాటవేయవచ్చు (మరియు చేస్తుంది), ఇది ఏదైనా పర్యవేక్షణను దాటవేస్తుంది, అంటే సామర్థ్యాన్ని నాశనం చేస్తుంది DNS ట్రాఫిక్ను నియంత్రించండి. ఆదర్శవంతంగా, మీరు HTTPS డిక్రిప్షన్ ఫంక్షన్లను ఉపయోగించి DoHని నియంత్రించాలి.
И వారి బ్రౌజర్ల తాజా వెర్షన్లో, మరియు రెండు కంపెనీలు అన్ని DNS అభ్యర్థనల కోసం డిఫాల్ట్గా DoHని ఉపయోగించడానికి పని చేస్తున్నాయి. వారి ఆపరేటింగ్ సిస్టమ్లలో DoHని ఏకీకృతం చేయడంపై. ప్రతికూలత ఏమిటంటే, ప్రసిద్ధ సాఫ్ట్వేర్ కంపెనీలు మాత్రమే కాకుండా, దాడి చేసేవారు కూడా సాంప్రదాయ కార్పొరేట్ ఫైర్వాల్ చర్యలను దాటవేసే సాధనంగా DoHని ఉపయోగించడం ప్రారంభించారు. (ఉదాహరణకు, కింది కథనాలను సమీక్షించండి: , и .) ఏదైనా సందర్భంలో, మంచి మరియు హానికరమైన DoH ట్రాఫిక్ రెండూ గుర్తించబడవు, మాల్వేర్ (C2)ని నియంత్రించడానికి మరియు సున్నితమైన డేటాను దొంగిలించడానికి ఒక మార్గంగా DoH యొక్క హానికరమైన ఉపయోగం పట్ల సంస్థ గుడ్డిగా ఉంటుంది.
DoH ట్రాఫిక్ యొక్క దృశ్యమానత మరియు నియంత్రణను నిర్ధారించడం
DoH నియంత్రణకు ఉత్తమ పరిష్కారంగా, HTTPS ట్రాఫిక్ను డీక్రిప్ట్ చేయడానికి మరియు DoH ట్రాఫిక్ను నిరోధించడానికి NGFWని కాన్ఫిగర్ చేయాలని మేము సిఫార్సు చేస్తున్నాము (అప్లికేషన్ పేరు: dns-over-https).
ముందుగా, HTTPSని డీక్రిప్ట్ చేయడానికి NGFW కాన్ఫిగర్ చేయబడిందని నిర్ధారించుకోండి .
రెండవది, క్రింద చూపిన విధంగా అప్లికేషన్ ట్రాఫిక్ "dns-over-https" కోసం ఒక నియమాన్ని సృష్టించండి:
పాలో ఆల్టో నెట్వర్క్ల NGFW నియమం DNS-ఓవర్-HTTPSని నిరోధించడం
మధ్యంతర ప్రత్యామ్నాయంగా (మీ సంస్థ HTTPS డిక్రిప్షన్ని పూర్తిగా అమలు చేయకుంటే), NGFWని "dns-over-https" అప్లికేషన్ IDకి "తిరస్కరించు" చర్యను వర్తింపజేయడానికి కాన్ఫిగర్ చేయవచ్చు, అయితే దీని ప్రభావం నిర్దిష్టంగా నిరోధించడానికి పరిమితం చేయబడుతుంది- వారి డొమైన్ పేరు ద్వారా తెలిసిన DoH సర్వర్లు, కాబట్టి HTTPS డిక్రిప్షన్ లేకుండా, DoH ట్రాఫిక్ని పూర్తిగా తనిఖీ చేయడం ఎలా సాధ్యం కాదు (చూడండి మరియు "dns-over-https" కోసం శోధించండి).
DNS ద్వారా TLS (DoT)
TLS లోపల DNS
DoH ప్రోటోకాల్ అదే పోర్ట్లోని ఇతర ట్రాఫిక్తో మిళితం అవుతుండగా, దానికి బదులుగా ఆ ఏకైక ప్రయోజనం కోసం ప్రత్యేకించబడిన ప్రత్యేక పోర్ట్ని ఉపయోగించడానికి DoT డిఫాల్ట్గా ఉంటుంది, సాంప్రదాయ ఎన్క్రిప్ట్ చేయని DNS ట్రాఫిక్ (ఎన్క్రిప్ట్ చేయని DNS ట్రాఫిక్) ద్వారా అదే పోర్ట్ను ఉపయోగించకుండా ప్రత్యేకంగా అనుమతించదు. ).
సుప్రసిద్ధ పోర్ట్ 853 (XNUMX)ని ఉపయోగించి ట్రాఫిక్తో ప్రామాణిక DNS ప్రోటోకాల్ ప్రశ్నలను సంగ్రహించే ఎన్క్రిప్షన్ను అందించడానికి DoT ప్రోటోకాల్ TLSని ఉపయోగిస్తుంది. ) పోర్ట్లో ట్రాఫిక్ను నిరోధించడం లేదా ట్రాఫిక్ని అంగీకరించడం, అయితే ఆ పోర్ట్లో డిక్రిప్షన్ని ప్రారంభించడం వంటి వాటిని సంస్థలకు సులభతరం చేయడానికి DoT ప్రోటోకాల్ రూపొందించబడింది.
DoTతో అనుబంధించబడిన ప్రమాదాలు
Google తన క్లయింట్లో DoTని అమలు చేసింది , అందుబాటులో ఉంటే స్వయంచాలకంగా DoTని ఉపయోగించడానికి డిఫాల్ట్ సెట్టింగ్తో. మీరు నష్టాలను అంచనా వేసి, సంస్థాగత స్థాయిలో DoTని ఉపయోగించడానికి సిద్ధంగా ఉంటే, మీరు నెట్వర్క్ నిర్వాహకులు ఈ కొత్త ప్రోటోకాల్ కోసం పోర్ట్ 853లో వారి చుట్టుకొలత ద్వారా అవుట్బౌండ్ ట్రాఫిక్ను స్పష్టంగా అనుమతించాలి.
DoT ట్రాఫిక్ యొక్క దృశ్యమానతను మరియు నియంత్రణను నిర్ధారించడం
DoT నియంత్రణ కోసం ఉత్తమ అభ్యాసంగా, మీ సంస్థ అవసరాల ఆధారంగా మేము పైన పేర్కొన్న వాటిలో దేనినైనా సిఫార్సు చేస్తున్నాము:
-
డెస్టినేషన్ పోర్ట్ 853 కోసం మొత్తం ట్రాఫిక్ను డీక్రిప్ట్ చేయడానికి NGFWని కాన్ఫిగర్ చేయండి. ట్రాఫిక్ని డీక్రిప్ట్ చేయడం ద్వారా, మీరు సబ్స్క్రిప్షన్ను ఎనేబుల్ చేయడం వంటి ఏదైనా చర్యను వర్తించే DNS అప్లికేషన్గా DoT కనిపిస్తుంది. DGA డొమైన్లను లేదా ఇప్పటికే ఉన్న వాటిని నియంత్రించడానికి మరియు యాంటీ-స్పైవేర్.
-
యాప్-ID ఇంజన్ పోర్ట్ 853లో 'dns-over-tls' ట్రాఫిక్ను పూర్తిగా నిరోధించడం ఒక ప్రత్యామ్నాయం. ఇది సాధారణంగా డిఫాల్ట్గా బ్లాక్ చేయబడుతుంది, ఎటువంటి చర్య అవసరం లేదు (మీరు ప్రత్యేకంగా 'dns-over-tls' అప్లికేషన్ లేదా పోర్ట్ ట్రాఫిక్ని అనుమతిస్తే తప్ప 853)
మూలం: www.habr.com