Кам кардани хатарҳои истифодаи DoH ва DoT
Муҳофизати DoH ва DoT
Оё шумо трафики DNS-и худро назорат мекунед? Ташкилотҳо барои таъмини шабакаҳои худ вақт, пул ва кӯшиши зиёд сарф мекунанд. Аммо, як соҳае, ки аксар вақт диққати кофӣ намедиҳад, DNS мебошад.
Шарҳи хуби хатарҳое, ки DNS меорад, ин аст дар конфронси Infosecurity.
31% синфҳои ransomware, ки мавриди таҳқиқ қарор гирифтанд, DNS-ро барои мубодилаи калид истифода мебаранд
31% синфҳои ransomware, ки пурсида шудаанд, DNS-ро барои мубодилаи калид истифода мебаранд.
Мушкилот ҷиддӣ аст. Мувофиқи лабораторияи тадқиқотии Palo Alto Networks Unit 42, тақрибан 85% нармафзори зараровар DNS-ро барои таъсиси канали фармон ва назорат истифода мебарад, ки ба ҳамлагарон имкон медиҳад, ки ба осонӣ ба шабакаи шумо нармафзори зараровар ворид кунанд ва инчунин маълумотро дузданд. Аз замони таъсиси худ, трафики DNS асосан рамзнашуда буд ва онро тавассути механизмҳои амнияти NGFW ба осонӣ таҳлил кардан мумкин аст.
Протоколҳои нав барои DNS пайдо шуданд, ки ба баланд бардоштани махфияти пайвастҳои DNS нигаронида шудаанд. Онҳоро фурӯшандагони пешбари браузер ва дигар фурӯшандагони нармафзор фаъолона дастгирӣ мекунанд. Трафики рамзгузоришудаи DNS ба зудӣ дар шабакаҳои корпоративӣ афзоиш хоҳад ёфт. Трафики рамзгузоришудаи DNS, ки тавассути асбобҳо дуруст таҳлил ва ҳал карда намешаванд, барои ширкат хатари амниятӣ эҷод мекунад. Масалан, чунин таҳдид cryptolockers мебошанд, ки DNS-ро барои мубодилаи калидҳои рамзгузорӣ истифода мебаранд. Ҳоло ҳамлагарон барои барқарор кардани дастрасӣ ба маълумоти шумо фидя ба маблағи якчанд миллион доллар талаб мекунанд. Масалан, Garmin 10 миллион доллар пардохт кардааст.
Ҳангоми дуруст конфигуратсия кардан, NGFW-ҳо метавонанд истифодаи DNS-over-TLS (DoT)-ро рад ё муҳофизат кунанд ва метавонанд барои рад кардани истифодаи DNS-over-HTTPS (DoH) истифода шаванд, ки имкон медиҳад тамоми трафики DNS дар шабакаи шумо таҳлил карда шаванд.
DNS-и рамзгузорӣ чист?
DNS чист
Системаи номи доменҳо (DNS) номҳои домейнҳои ба одамон хондашавандаро ҳал мекунад (масалан, суроға ) ба суроғаҳои IP (масалан, 34.107.151.202). Вақте ки корбар номи доменро ба браузери веб ворид мекунад, браузер дархости DNS-ро ба сервери DNS мефиристад ва суроғаи IP-и бо ин номи домен алоқамандро мепурсад. Дар посух, сервери DNS суроғаи IP-ро, ки ин браузер истифода хоҳад кард, бармегардонад.
Дархостҳо ва посухҳои DNS дар саросари шабака бо матни оддӣ, рамзношуда фиристода мешаванд, ки онро ба ҷосусӣ ё тағир додани посух ва масири браузер ба серверҳои зараровар осебпазир мегардонад. Рамзгузории DNS ҳангоми интиқол пайгирӣ ё тағир додани дархостҳои DNS-ро мушкил мекунад. Рамзгузорӣ кардани дархостҳо ва ҷавобҳои DNS шуморо аз ҳамлаҳои Man-in-the-Middle муҳофизат мекунад ва ҳангоми иҷрои як функсияе, ки протоколи анъанавии DNS (Системаи Номи Домен) -ро иҷро мекунад.
Дар тӯли чанд соли охир, ду протоколи рамзгузории DNS ҷорӣ карда шуданд:
-
DNS-over-HTTPS (DoH)
-
DNS-over-TLS (DoT)
Ин протоколҳо як чизи умумӣ доранд: онҳо дидаю дониста дархостҳои DNS-ро аз ҳама гуна боздошт ... ва инчунин аз посбонони созмон пинҳон мекунанд. Протоколҳо пеш аз ҳама TLS (Қабати Амнияти Нақлиёт) -ро барои барқарор кардани пайвасти рамзгузоришуда байни муштарии дархостҳо ва сервере, ки дархостҳои DNS-ро аз порте ҳал мекунад, ки одатан барои трафики DNS истифода намешаванд, истифода мебаранд.
Махфияти дархостҳои DNS як бартарии бузурги ин протоколҳо мебошад. Аммо, онҳо барои посбонони амниятӣ мушкилот эҷод мекунанд, ки бояд трафики шабакаро назорат кунанд ва пайвастагиҳои зарароварро ошкор ва масдуд кунанд. Азбаски протоколҳо дар татбиқи онҳо фарқ мекунанд, усулҳои таҳлил байни DoH ва DoT фарқ мекунанд.
DNS тавассути HTTPS (DoH)
DNS дар дохили HTTPS
DoH порти маъруфи 443-ро барои HTTPS истифода мебарад, ки барои он RFC махсус изҳор мекунад, ки ҳадаф "омехтани трафики DoH бо трафики HTTPS дар як пайвастшавӣ", "таҳлили трафики DNS-ро душвор гардонад" ва ба ин васила аз назорати корпоративӣ канорагирӣ кардан аст. ( ). Протоколи DoH рамзгузории TLS ва синтаксиси дархостро, ки стандартҳои умумии HTTPS ва HTTP/2 пешниҳод мекунанд, истифода бурда, дархостҳои DNS ва посухҳоро дар болои дархостҳои стандартии HTTP илова мекунад.
Хавфҳои марбут ба DoH
Агар шумо трафики муқаррарии HTTPS-ро аз дархостҳои DoH фарқ карда натавонед, он гоҳ барномаҳои дохили ташкилоти шумо метавонанд (ва хоҳанд) танзимоти маҳаллии DNS-ро тавассути интиқоли дархостҳо ба серверҳои тарафи сеюм, ки ба дархостҳои DoH посух медиҳанд, ки ҳама гуна мониторингро аз байн мебарад, яъне қобилияти кор карданро аз байн мебарад. трафики DNS-ро назорат кунед. Идеалӣ, шумо бояд DoH-ро бо истифода аз функсияҳои рамзкушоии HTTPS назорат кунед.
И дар версияи охирини браузерҳои худ ва ҳарду ширкат кор мекунанд, ки DoH-ро ба таври нобаёнӣ барои ҳама дархостҳои DNS истифода баранд. дар бораи муттаҳид кардани DoH ба системаҳои оператсионии онҳо. Камбудӣ дар он аст, ки на танҳо ширкатҳои бонуфузи нармафзор, балки ҳамлагарон низ DoH-ро ҳамчун воситаи канорагирӣ аз чораҳои анъанавии девори корпоративӣ истифода бурданд. (Масалан, мақолаҳои зеринро аз назар гузаронед: , и .) Дар ҳар сурат, ҳам трафики хуб ва ҳам зараровари DoH ноаён боқӣ мемонад ва созмонро аз истифодаи бадқасдонаи DoH ҳамчун канал барои назорати нармафзори зараровар (C2) ва дуздии маълумоти ҳассос нобино мегузорад.
Таъмини аёният ва назорати трафики DoH
Ҳамчун ҳалли беҳтарин барои назорати DoH, мо тавсия медиҳем, ки NGFW-ро барои рамзкушоӣ кардани трафики HTTPS ва бастани трафики DoH танзим кунем (номи барнома: dns-over-https).
Аввалан, боварӣ ҳосил кунед, ки NGFW мувофиқи шифри HTTPS танзим шудааст .
Дуюм, қоидаеро барои трафики замимаи "dns-over-https" созед, ки дар зер нишон дода шудааст:
Пало Алто Шабакаҳои NGFW Қоидаи бастани DNS бар HTTPS
Ҳамчун алтернативаи муваққатӣ (агар ташкилоти шумо рамзкушоии HTTPS-ро пурра иҷро накарда бошад), NGFW-ро метавон танзим кард, то амали "инкор" -ро ба ID-и замимаи "dns-over-https" татбиқ кунад, аммо таъсир бо бастани баъзе қубурҳо маҳдуд мешавад. серверҳои DoH бо номи домени худ маълуманд, пас чӣ гуна бидуни рамзкушоии HTTPS трафики DoH пурра тафтиш карда намешавад (ниг. ва ҷустуҷӯи "dns-over-https").
DNS бар TLS (DoT)
DNS дар дохили TLS
Дар ҳоле ки протоколи DoH майл дорад бо трафики дигар дар як порт омехта шавад, DoT ба ҷои он, истифодаи порти махсусеро, ки барои ин ҳадаф маҳфуз аст, истифода мебарад, ҳатто махсусан аз истифодаи ҳамон порт тавассути трафики анъанавии рамзнашудаи DNS манъ аст ( ).
Протоколи DoT TLS-ро барои таъмин кардани рамзгузорӣ истифода мебарад, ки дархостҳои стандартии протоколи DNS-ро бо трафик бо порти маъруфи 853 фаро мегирад ( ). Протоколи DoT барои он тарҳрезӣ шудааст, ки созмонҳо бастани трафик дар порт ё қабули трафикро осон кунад, аммо рамзкушоӣ дар он портро фаъол созад.
Хатарҳои марбут ба DoT
Google DoT-ро дар муштарии худ татбиқ кардааст , бо танзимоти пешфарз барои ба таври худкор истифода DoT, агар дастрас бошад. Агар шумо хатарҳоро арзёбӣ карда бошед ва барои истифодаи DoT дар сатҳи ташкилӣ омода бошед, пас ба шумо лозим аст, ки маъмурони шабака ба таври возеҳ трафики беруниро дар бандари 853 тавассути периметри худ барои ин протоколи нав иҷозат диҳанд.
Таъмини аёният ва назорати трафики DoT
Ҳамчун таҷрибаи беҳтарини назорати DoT, мо дар асоси талаботи ташкилоти шумо яке аз чизҳои дар боло зикршударо тавсия медиҳем:
-
NGFW-ро барои рамзкушоӣ кардани ҳама трафик барои бандари таъинотӣ 853 танзим кунед. Бо кушодани рамзгузории трафик, DoT ҳамчун барномаи DNS пайдо мешавад, ки шумо метавонед ба он ҳама гуна амалро татбиқ кунед, ба монанди фаъол кардани обуна барои назорати доменҳои DGA ё доменҳои мавҷуда ва зидди нармафзори ҷосусӣ.
-
Алтернатива ин аст, ки муҳаррики App-ID трафики "dns-over-tls"-ро дар бандари 853 комилан маҳкам кунад. Ин одатан ба таври нобаёнӣ баста мешавад, ҳеҷ амале лозим нест (агар шумо махсус ба барномаи "dns-over-tls" ё трафики порт иҷозат надиҳед. 853).
Манбаъ: will.com