ProHoster > Blog > Pangangasiwa > Pagbabawas sa mga panganib ng paggamit ng DNS-over-TLS (DoT) at DNS-over-HTTPS (DoH)

Pagbabawas sa mga panganib ng paggamit ng DNS-over-TLS (DoT) at DNS-over-HTTPS (DoH)

Pagbabawas sa mga panganib ng paggamit ng DNS-over-TLS (DoT) at DNS-over-HTTPS (DoH)Pagbabawas ng mga panganib ng paggamit ng DoH at DoT

Proteksyon ng DoH at DoT

Kinokontrol mo ba ang iyong trapiko sa DNS? Ang mga organisasyon ay namumuhunan ng maraming oras, pera, at pagsisikap sa pag-secure ng kanilang mga network. Gayunpaman, ang isang lugar na kadalasang hindi nakakakuha ng sapat na atensyon ay ang DNS.

Isang magandang pangkalahatang-ideya ng mga panganib na dulot ng DNS Verisign presentation sa kumperensya ng Infosecurity.

Pagbabawas sa mga panganib ng paggamit ng DNS-over-TLS (DoT) at DNS-over-HTTPS (DoH)31% ng mga klase ng ransomware na na-survey ay gumamit ng DNS para sa key exchange. Mga Natuklasan sa Pag-aaral

31% ng mga klase ng ransomware na na-survey ay gumamit ng DNS para sa key exchange.

Grabe ang problema. Ayon sa research lab ng Palo Alto Networks Unit 42, humigit-kumulang 85% ng malware ang gumagamit ng DNS para magtatag ng command at control channel, na nagpapahintulot sa mga attacker na madaling mag-inject ng malware sa iyong network at magnakaw ng data. Mula nang magsimula ito, ang trapiko ng DNS ay higit na hindi naka-encrypt at madaling masuri ng mga mekanismo ng seguridad ng NGFW. 

Ang mga bagong protocol para sa DNS ay lumitaw na naglalayong pataasin ang pagiging kumpidensyal ng mga koneksyon sa DNS. Aktibong sinusuportahan sila ng mga nangungunang vendor ng browser at iba pang vendor ng software. Malapit nang magsimulang lumaki ang naka-encrypt na trapiko ng DNS sa mga corporate network. Ang naka-encrypt na trapiko ng DNS na hindi maayos na nasuri at naresolba ng mga tool ay nagdudulot ng panganib sa seguridad sa isang kumpanya. Halimbawa, ang naturang banta ay ang mga cryptolocker na gumagamit ng DNS upang makipagpalitan ng mga encryption key. Humihingi na ngayon ang mga attacker ng ransom na ilang milyong dolyar upang maibalik ang access sa iyong data. Ang Garmin, halimbawa, ay nagbayad ng $10 milyon.

Kapag maayos na na-configure, maaaring tanggihan o protektahan ng mga NGFW ang paggamit ng DNS-over-TLS (DoT) at maaaring gamitin upang tanggihan ang paggamit ng DNS-over-HTTPS (DoH), na nagpapahintulot sa lahat ng trapiko ng DNS sa iyong network na masuri.

Ano ang naka-encrypt na DNS?

Ano ang DNS

Niresolba ng Domain Name System (DNS) ang mga domain name na nababasa ng tao (halimbawa, address www.paloaltonetworks.com ) sa mga IP address (halimbawa, 34.107.151.202). Kapag nagpasok ang isang user ng domain name sa isang web browser, nagpapadala ang browser ng DNS query sa DNS server, na humihingi ng IP address na nauugnay sa domain name na iyon. Bilang tugon, ibinabalik ng DNS server ang IP address na gagamitin ng browser na ito.

Ang mga query at tugon ng DNS ay ipinapadala sa buong network sa plain text, hindi naka-encrypt, na ginagawa itong bulnerable sa pag-espiya o pagbabago ng tugon at pag-redirect ng browser sa mga nakakahamak na server. Ginagawang mahirap ng pag-encrypt ng DNS para sa mga kahilingan ng DNS na masubaybayan o mabago sa panahon ng paghahatid. Ang pag-encrypt ng mga kahilingan at tugon ng DNS ay nagpoprotekta sa iyo mula sa mga pag-atake ng Man-in-the-Middle habang gumaganap ang parehong functionality tulad ng tradisyonal na plaintext DNS (Domain Name System) protocol. 

Sa nakalipas na ilang taon, dalawang DNS encryption protocol ang ipinakilala:

  1. DNS-over-HTTPS (DoH)

  2. DNS-over-TLS (DoT)

Ang mga protocol na ito ay may isang bagay na karaniwan: sinasadya nilang itago ang mga kahilingan sa DNS mula sa anumang pagharang... at mula sa mga security guard ng organisasyon. Pangunahing ginagamit ng mga protocol ang TLS (Transport Layer Security) upang magtatag ng isang naka-encrypt na koneksyon sa pagitan ng isang client na gumagawa ng mga query at isang server na nagre-resolve ng mga query sa DNS sa isang port na hindi karaniwang ginagamit para sa trapiko ng DNS.

Ang pagiging kumpidensyal ng mga query sa DNS ay isang malaking plus ng mga protocol na ito. Gayunpaman, nagdudulot sila ng mga problema para sa mga security guard na dapat subaybayan ang trapiko sa network at tuklasin at harangan ang mga nakakahamak na koneksyon. Dahil magkakaiba ang mga protocol sa kanilang pagpapatupad, ang mga pamamaraan ng pagsusuri ay mag-iiba sa pagitan ng DoH at DoT.

DNS sa HTTPS (DoH)

Pagbabawas sa mga panganib ng paggamit ng DNS-over-TLS (DoT) at DNS-over-HTTPS (DoH)DNS sa loob ng HTTPS

Ginagamit ng DoH ang kilalang port 443 para sa HTTPS, kung saan partikular na isinasaad ng RFC na ang layunin ay "ihalo ang trapiko ng DoH sa iba pang trapiko ng HTTPS sa parehong koneksyon", "pahirapang suriin ang trapiko ng DNS" at sa gayon ay iwasan ang mga kontrol ng korporasyon ( RFC 8484 DoH Seksyon 8.1 ). Gumagamit ang DoH protocol ng TLS encryption at ang request syntax na ibinibigay ng karaniwang HTTPS at HTTP/2 standards, pagdaragdag ng mga DNS request at tugon sa ibabaw ng karaniwang HTTP requests.

Mga panganib na nauugnay sa DoH

Kung hindi mo matukoy ang pagkakaiba ng regular na trapiko ng HTTPS mula sa mga kahilingan ng DoH, ang mga application sa loob ng iyong organisasyon ay maaaring (at maiiwasan) ang mga lokal na setting ng DNS sa pamamagitan ng pag-redirect ng mga kahilingan sa mga server ng third-party na tumutugon sa mga kahilingan ng DoH, na lumalampas sa anumang pagsubaybay, iyon ay, sumisira sa kakayahang kontrolin ang trapiko ng DNS. Sa isip, dapat mong kontrolin ang DoH gamit ang HTTPS decryption functions. 

И Ipinatupad ng Google at Mozilla ang mga kakayahan ng DoH sa pinakabagong bersyon ng kanilang mga browser, at ang parehong kumpanya ay nagsusumikap na gamitin ang DoH bilang default para sa lahat ng kahilingan sa DNS. Gumagawa din ang Microsoft ng mga plano sa pagsasama ng DoH sa kanilang mga operating system. Ang downside ay hindi lamang ang mga kagalang-galang na kumpanya ng software, kundi pati na rin ang mga umaatake ay nagsimulang gumamit ng DoH bilang isang paraan ng pag-bypass sa mga tradisyunal na hakbang ng corporate firewall. (Halimbawa, suriin ang mga sumusunod na artikulo: Ginagamit na ngayon ng PsiXBot ang Google DoH , Ang PsiXBot ay patuloy na nagbabago sa na-update na imprastraktura ng DNS ΠΈ Godlua backdoor analysis .) Sa alinmang kaso, ang parehong mabuti at nakakahamak na trapiko ng DoH ay mapupunta nang hindi matutukoy, na magiging bulag sa organisasyon sa malisyosong paggamit ng DoH bilang isang conduit upang makontrol ang malware (C2) at magnakaw ng sensitibong data.

Tinitiyak ang visibility at kontrol ng trapiko ng DoH

Bilang pinakamahusay na solusyon para sa kontrol ng DoH, inirerekomenda namin ang pag-configure ng NGFW upang i-decrypt ang trapiko ng HTTPS at i-block ang trapiko ng DoH (pangalan ng aplikasyon: dns-over-https). 

Una, siguraduhin na ang NGFW ay na-configure upang i-decrypt ang HTTPS, ayon sa isang gabay sa pinakamahusay na mga diskarte sa pag-decryption.

Pangalawa, gumawa ng panuntunan para sa trapiko ng application na "dns-over-https" tulad ng ipinapakita sa ibaba:

Pagbabawas sa mga panganib ng paggamit ng DNS-over-TLS (DoT) at DNS-over-HTTPS (DoH)Palo Alto Networks NGFW Rule to Block DNS-over-HTTPS

Bilang pansamantalang alternatibo (kung hindi pa ganap na naipatupad ng iyong organisasyon ang HTTPS decryption), maaaring i-configure ang NGFW na maglapat ng "deny" na aksyon sa "dns-over-https" application ID, ngunit ang epekto ay limitado sa pagharang sa ilang partikular na well- kilalang mga server ng DoH sa pamamagitan ng kanilang domain name, kaya't kung walang HTTPS decryption, hindi ganap na masuri ang trapiko ng DoH (tingnan ang  Applipedia mula sa Palo Alto Networks   at hanapin ang "dns-over-https").

DNS sa TLS (DoT)

Pagbabawas sa mga panganib ng paggamit ng DNS-over-TLS (DoT) at DNS-over-HTTPS (DoH)DNS sa loob ng TLS

Habang ang protocol ng DoH ay may posibilidad na makihalubilo sa iba pang trapiko sa parehong port, ang DoT sa halip ay nagde-default sa paggamit ng isang espesyal na port na nakalaan para sa tanging layuning iyon, kahit na partikular na hindi pinapayagan ang parehong port na gamitin ng tradisyonal na hindi naka-encrypt na trapiko ng DNS ( RFC 7858, Seksyon 3.1 ).

Gumagamit ang DoT protocol ng TLS upang magbigay ng encryption na sumasaklaw sa karaniwang mga query sa DNS protocol, na may trapiko gamit ang kilalang port 853 ( RFC 7858 seksyon 6 ). Ang protocol ng DoT ay idinisenyo upang gawing mas madali para sa mga organisasyon na harangan ang trapiko sa isang port, o tanggapin ang trapiko ngunit i-enable ang pag-decryption sa port na iyon.

Mga panganib na nauugnay sa DoT

Ipinatupad ng Google ang DoT sa kliyente nito Android 9 Pie at mas bago , na may default na setting para awtomatikong gamitin ang DoT kung available. Kung nasuri mo ang mga panganib at handa ka nang gumamit ng DoT sa antas ng organisasyon, kailangan mong magkaroon ng tahasang payagan ang mga administrator ng network ng papalabas na trapiko sa port 853 sa pamamagitan ng kanilang perimeter para sa bagong protocol na ito.

Tinitiyak ang visibility at kontrol ng trapiko ng DoT

Bilang pinakamahusay na kasanayan para sa kontrol ng DoT, inirerekomenda namin ang alinman sa nasa itaas, batay sa mga kinakailangan ng iyong organisasyon:

  • I-configure ang NGFW upang i-decrypt ang lahat ng trapiko para sa patutunguhang port 853. Sa pamamagitan ng pag-decrypt ng trapiko, lalabas ang DoT bilang isang DNS application kung saan maaari kang maglapat ng anumang aksyon, tulad ng pag-enable ng subscription Seguridad ng DNS ng Palo Alto Networks upang kontrolin ang mga domain ng DGA o isang umiiral na DNS Sinkholing at anti-spyware.

  • Ang isang alternatibo ay ang ganap na i-block ng App-ID engine ang trapiko ng 'dns-over-tls' sa port 853. Karaniwan itong hinaharangan bilang default, walang kinakailangang aksyon (maliban kung partikular mong pinapayagan ang 'dns-over-tls' na application o trapiko sa port 853).

Pinagmulan: www.habr.com

Magdagdag ng komento