Кам кардани хатарҳои истифодаи DoH ва DoT
Муҳофизати DoH ва DoT
Оё шумо трафики DNS-и худро назорат мекунед? Ташкилотҳо барои таъмини шабакаҳои худ вақт, пул ва кӯшиши зиёд сарф мекунанд. Аммо, як соҳае, ки аксар вақт диққати кофӣ намедиҳад, DNS мебошад.
Шарҳи хуби хатарҳое, ки DNS меорад, ин аст
31% синфҳои ransomware, ки мавриди таҳқиқ қарор гирифтанд, DNS-ро барои мубодилаи калид истифода мебаранд
31% синфҳои ransomware, ки пурсида шудаанд, DNS-ро барои мубодилаи калид истифода мебаранд.
Мушкилот ҷиддӣ аст. Мувофиқи лабораторияи тадқиқотии Palo Alto Networks Unit 42, тақрибан 85% нармафзори зараровар DNS-ро барои таъсиси канали фармон ва назорат истифода мебарад, ки ба ҳамлагарон имкон медиҳад, ки ба осонӣ ба шабакаи шумо нармафзори зараровар ворид кунанд ва инчунин маълумотро дузданд. Аз замони таъсиси худ, трафики DNS асосан рамзнашуда буд ва онро тавассути механизмҳои амнияти NGFW ба осонӣ таҳлил кардан мумкин аст.
Протоколҳои нав барои DNS пайдо шуданд, ки ба баланд бардоштани махфияти пайвастҳои DNS нигаронида шудаанд. Онҳоро фурӯшандагони пешбари браузер ва дигар фурӯшандагони нармафзор фаъолона дастгирӣ мекунанд. Трафики рамзгузоришудаи DNS ба зудӣ дар шабакаҳои корпоративӣ афзоиш хоҳад ёфт. Трафики рамзгузоришудаи DNS, ки тавассути асбобҳо дуруст таҳлил ва ҳал карда намешаванд, барои ширкат хатари амниятӣ эҷод мекунад. Масалан, чунин таҳдид cryptolockers мебошанд, ки DNS-ро барои мубодилаи калидҳои рамзгузорӣ истифода мебаранд. Ҳоло ҳамлагарон барои барқарор кардани дастрасӣ ба маълумоти шумо фидя ба маблағи якчанд миллион доллар талаб мекунанд. Масалан, Garmin 10 миллион доллар пардохт кардааст.
Ҳангоми дуруст конфигуратсия кардан, NGFW-ҳо метавонанд истифодаи DNS-over-TLS (DoT)-ро рад ё муҳофизат кунанд ва метавонанд барои рад кардани истифодаи DNS-over-HTTPS (DoH) истифода шаванд, ки имкон медиҳад тамоми трафики DNS дар шабакаи шумо таҳлил карда шаванд.
DNS-и рамзгузорӣ чист?
DNS чист
Системаи номи доменҳо (DNS) номҳои домейнҳои ба одамон хондашавандаро ҳал мекунад (масалан, суроға
Дархостҳо ва посухҳои DNS дар саросари шабака бо матни оддӣ, рамзношуда фиристода мешаванд, ки онро ба ҷосусӣ ё тағир додани посух ва масири браузер ба серверҳои зараровар осебпазир мегардонад. Рамзгузории DNS ҳангоми интиқол пайгирӣ ё тағир додани дархостҳои DNS-ро мушкил мекунад. Рамзгузорӣ кардани дархостҳо ва ҷавобҳои DNS шуморо аз ҳамлаҳои Man-in-the-Middle муҳофизат мекунад ва ҳангоми иҷрои як функсияе, ки протоколи анъанавии DNS (Системаи Номи Домен) -ро иҷро мекунад.
Дар тӯли чанд соли охир, ду протоколи рамзгузории DNS ҷорӣ карда шуданд:
-
DNS-over-HTTPS (DoH)
-
DNS-over-TLS (DoT)
Ин протоколҳо як чизи умумӣ доранд: онҳо дидаю дониста дархостҳои DNS-ро аз ҳама гуна боздошт ... ва инчунин аз посбонони созмон пинҳон мекунанд. Протоколҳо пеш аз ҳама TLS (Қабати Амнияти Нақлиёт) -ро барои барқарор кардани пайвасти рамзгузоришуда байни муштарии дархостҳо ва сервере, ки дархостҳои DNS-ро аз порте ҳал мекунад, ки одатан барои трафики DNS истифода намешаванд, истифода мебаранд.
Махфияти дархостҳои DNS як бартарии бузурги ин протоколҳо мебошад. Аммо, онҳо барои посбонони амниятӣ мушкилот эҷод мекунанд, ки бояд трафики шабакаро назорат кунанд ва пайвастагиҳои зарароварро ошкор ва масдуд кунанд. Азбаски протоколҳо дар татбиқи онҳо фарқ мекунанд, усулҳои таҳлил байни DoH ва DoT фарқ мекунанд.
DNS тавассути HTTPS (DoH)
DNS дар дохили HTTPS
DoH порти маъруфи 443-ро барои HTTPS истифода мебарад, ки барои он RFC махсус изҳор мекунад, ки ҳадаф "омехтани трафики DoH бо трафики HTTPS дар як пайвастшавӣ", "таҳлили трафики DNS-ро душвор гардонад" ва ба ин васила аз назорати корпоративӣ канорагирӣ кардан аст. (
Хавфҳои марбут ба DoH
Агар шумо трафики муқаррарии HTTPS-ро аз дархостҳои DoH фарқ карда натавонед, он гоҳ барномаҳои дохили ташкилоти шумо метавонанд (ва хоҳанд) танзимоти маҳаллии DNS-ро тавассути интиқоли дархостҳо ба серверҳои тарафи сеюм, ки ба дархостҳои DoH посух медиҳанд, ки ҳама гуна мониторингро аз байн мебарад, яъне қобилияти кор карданро аз байн мебарад. трафики DNS-ро назорат кунед. Идеалӣ, шумо бояд DoH-ро бо истифода аз функсияҳои рамзкушоии HTTPS назорат кунед.
И
Таъмини аёният ва назорати трафики DoH
Ҳамчун ҳалли беҳтарин барои назорати DoH, мо тавсия медиҳем, ки NGFW-ро барои рамзкушоӣ кардани трафики HTTPS ва бастани трафики DoH танзим кунем (номи барнома: dns-over-https).
Аввалан, боварӣ ҳосил кунед, ки NGFW мувофиқи шифри HTTPS танзим шудааст
Дуюм, қоидаеро барои трафики замимаи "dns-over-https" созед, ки дар зер нишон дода шудааст:
Пало Алто Шабакаҳои NGFW Қоидаи бастани DNS бар HTTPS
Ҳамчун алтернативаи муваққатӣ (агар ташкилоти шумо рамзкушоии HTTPS-ро пурра иҷро накарда бошад), NGFW-ро метавон танзим кард, то амали "инкор" -ро ба ID-и замимаи "dns-over-https" татбиқ кунад, аммо таъсир бо бастани баъзе қубурҳо маҳдуд мешавад. серверҳои DoH бо номи домени худ маълуманд, пас чӣ гуна бидуни рамзкушоии HTTPS трафики DoH пурра тафтиш карда намешавад (ниг.
DNS бар TLS (DoT)
DNS дар дохили TLS
Дар ҳоле ки протоколи DoH майл дорад бо трафики дигар дар як порт омехта шавад, DoT ба ҷои он, истифодаи порти махсусеро, ки барои ин ҳадаф маҳфуз аст, истифода мебарад, ҳатто махсусан аз истифодаи ҳамон порт тавассути трафики анъанавии рамзнашудаи DNS манъ аст (
Протоколи DoT TLS-ро барои таъмин кардани рамзгузорӣ истифода мебарад, ки дархостҳои стандартии протоколи DNS-ро бо трафик бо порти маъруфи 853 фаро мегирад (
Хатарҳои марбут ба DoT
Google DoT-ро дар муштарии худ татбиқ кардааст
Таъмини аёният ва назорати трафики DoT
Ҳамчун таҷрибаи беҳтарини назорати DoT, мо дар асоси талаботи ташкилоти шумо яке аз чизҳои дар боло зикршударо тавсия медиҳем:
-
NGFW-ро барои рамзкушоӣ кардани ҳама трафик барои бандари таъинотӣ 853 танзим кунед. Бо кушодани рамзгузории трафик, DoT ҳамчун барномаи DNS пайдо мешавад, ки шумо метавонед ба он ҳама гуна амалро татбиқ кунед, ба монанди фаъол кардани обуна
Palo Alto Networks DNS Амният барои назорати доменҳои DGA ё доменҳои мавҷудаDNS Sinkholing ва зидди нармафзори ҷосусӣ. -
Алтернатива ин аст, ки муҳаррики App-ID трафики "dns-over-tls"-ро дар бандари 853 комилан маҳкам кунад. Ин одатан ба таври нобаёнӣ баста мешавад, ҳеҷ амале лозим нест (агар шумо махсус ба барномаи "dns-over-tls" ё трафики порт иҷозат надиҳед. 853).
Манбаъ: will.com