DoH ve DoT kullanmanın risklerini en aza indirme
DoH ve DoT koruması
DNS trafiğinizi kontrol ediyor musunuz? Kuruluşlar ağlarını güvence altına almak için çok fazla zaman, para ve çaba harcıyor. Ancak çoğu zaman yeterince ilgi görmeyen alanlardan biri de DNS'dir.
DNS'nin getirdiği risklere iyi bir genel bakış Bilgi Güvenliği konferansında.
Ankete katılan fidye yazılımı sınıflarının %31'i anahtar değişimi için DNS kullandı.
Ankete katılan fidye yazılımı sınıflarının %31'i anahtar değişimi için DNS kullandı.
Sorun ciddi. Palo Alto Networks Birim 42 araştırma laboratuvarına göre, kötü amaçlı yazılımların yaklaşık %85'i bir komuta ve kontrol kanalı oluşturmak için DNS kullanıyor ve saldırganların ağınıza kolayca kötü amaçlı yazılım yerleştirmesine ve verileri çalmasına olanak tanıyor. Başlangıcından bu yana, DNS trafiği büyük ölçüde şifrelenmemiştir ve NGFW güvenlik mekanizmaları tarafından kolayca analiz edilebilmektedir.
DNS bağlantılarının gizliliğini artırmayı amaçlayan yeni DNS protokolleri ortaya çıktı. Önde gelen tarayıcı satıcıları ve diğer yazılım satıcıları tarafından aktif olarak desteklenirler. Şifreli DNS trafiği yakında kurumsal ağlarda artmaya başlayacak. Araçlar tarafından doğru şekilde analiz edilmeyen ve çözülmeyen şifrelenmiş DNS trafiği, bir şirket için güvenlik riski oluşturur. Örneğin, şifreleme anahtarlarını değiştirmek için DNS kullanan kripto kilitleyiciler böyle bir tehdittir. Saldırganlar artık verilerinize erişimi yeniden sağlamak için birkaç milyon dolarlık fidye talep ediyor. Örneğin Garmin 10 milyon dolar ödedi.
Düzgün yapılandırıldığında, NGFW'ler TLS üzerinden DNS (DoT) kullanımını reddedebilir veya koruyabilir ve HTTPS üzerinden DNS (DoH) kullanımını reddetmek için kullanılabilir ve böylece ağınızdaki tüm DNS trafiğinin analiz edilmesine olanak tanır.
Şifrelenmiş DNS nedir?
DNS nedir
Etki Alanı Adı Sistemi (DNS), insanlar tarafından okunabilen etki alanı adlarını (örneğin, adres) çözümler. ) IP adreslerine (örneğin, 34.107.151.202). Bir kullanıcı bir web tarayıcısına bir alan adı girdiğinde, tarayıcı DNS sunucusuna bir DNS sorgusu göndererek bu alan adıyla ilişkili IP adresini ister. Yanıt olarak DNS sunucusu, bu tarayıcının kullanacağı IP adresini döndürür.
DNS sorguları ve yanıtları ağ üzerinden düz metin olarak, şifrelenmeden gönderilir, bu da onu casusluğa veya yanıtın değiştirilmesine ve tarayıcının kötü amaçlı sunuculara yönlendirilmesine karşı savunmasız hale getirir. DNS şifrelemesi, iletim sırasında DNS isteklerinin izlenmesini veya değiştirilmesini zorlaştırır. DNS isteklerini ve yanıtlarını şifrelemek, geleneksel düz metin DNS (Etki Alanı Adı Sistemi) protokolüyle aynı işlevselliği gerçekleştirirken sizi Ortadaki Adam saldırılarına karşı korur.
Geçtiğimiz birkaç yılda iki DNS şifreleme protokolü tanıtıldı:
-
HTTPS üzerinden DNS (DoH)
-
TLS üzerinden DNS (DoT)
Bu protokollerin ortak bir yanı vardır: DNS isteklerini herhangi bir müdahaleden ve ayrıca kuruluşun güvenlik görevlilerinden kasıtlı olarak gizlerler. Protokoller, normalde DNS trafiği için kullanılmayan bir bağlantı noktası üzerinden sorgu yapan bir istemci ile DNS sorgularını çözen bir sunucu arasında şifreli bir bağlantı kurmak için öncelikle TLS'yi (Aktarım Katmanı Güvenliği) kullanır.
DNS sorgularının gizliliği bu protokollerin büyük bir artısıdır. Ancak ağ trafiğini izlemesi ve kötü amaçlı bağlantıları tespit edip engellemesi gereken güvenlik görevlileri için sorun yaratırlar. Protokollerin uygulanması farklı olduğundan analiz yöntemleri DoH ve DoT arasında farklılık gösterecektir.
HTTPS üzerinden DNS (DoH)
HTTPS içindeki DNS
DoH, HTTPS için iyi bilinen 443 numaralı bağlantı noktasını kullanır; RFC, bunun amacının "DoH trafiğini aynı bağlantıdaki diğer HTTPS trafiğiyle karıştırmak", "DNS trafiğini analiz etmeyi zorlaştırmak" ve dolayısıyla kurumsal kontrolleri atlatmak olduğunu özellikle belirtir. ( ). DoH protokolü, TLS şifrelemesini ve ortak HTTPS ve HTTP/2 standartları tarafından sağlanan istek sözdizimini kullanarak standart HTTP isteklerinin üzerine DNS isteklerini ve yanıtlarını ekler.
DoH ile ilişkili riskler
Normal HTTPS trafiğini DoH isteklerinden ayırt edemiyorsanız kuruluşunuz içindeki uygulamalar, istekleri DoH isteklerine yanıt veren üçüncü taraf sunuculara yönlendirerek yerel DNS ayarlarını atlayabilir (ve yapacaktır), bu da her türlü izlemeyi atlar, yani DNS trafiğini kontrol edin. İdeal olarak DoH'yi HTTPS şifre çözme işlevlerini kullanarak kontrol etmelisiniz.
И tarayıcılarının en son sürümünde ve her iki şirket de tüm DNS istekleri için varsayılan olarak DoH'yi kullanmaya çalışıyor. DoH'u işletim sistemlerine entegre etme konusunda. Dezavantajı ise yalnızca saygın yazılım şirketlerinin değil, aynı zamanda saldırganların da DoH'yi geleneksel kurumsal güvenlik duvarı önlemlerini aşmanın bir yolu olarak kullanmaya başlamasıdır. (Örneğin aşağıdaki makaleleri inceleyin: , и .) Her iki durumda da, hem iyi hem de kötü amaçlı DoH trafiği tespit edilemeyecek ve kuruluş, DoH'un kötü amaçlı yazılımları (C2) kontrol etmek ve hassas verileri çalmak için bir kanal olarak kötü niyetli kullanımına karşı kör kalacaktır.
DoH trafiğinin görünürlüğünün ve kontrolünün sağlanması
DoH kontrolü için en iyi çözüm olarak, NGFW'yi HTTPS trafiğinin şifresini çözecek ve DoH trafiğini engelleyecek şekilde yapılandırmanızı öneririz (uygulama adı: dns-over-https).
Öncelikle NGFW'nin HTTPS'nin şifresini çözecek şekilde yapılandırıldığından emin olun. .
İkinci olarak, aşağıda gösterildiği gibi "https üzerinden dns" uygulama trafiği için bir kural oluşturun:
Palo Alto Networks'ün HTTPS Üzerinden DNS'yi Engellemeye Yönelik NGFW Kuralı
Geçici bir alternatif olarak (kuruluşunuz HTTPS şifre çözmeyi tam olarak uygulamadıysa), NGFW, "https üzerinden dns" uygulama kimliğine bir "reddet" eylemi uygulayacak şekilde yapılandırılabilir, ancak etkisi, belirli iyi durumdaki öğelerin engellenmesiyle sınırlı olacaktır. DoH sunucuları etki alanı adlarına göre tanınıyor, dolayısıyla HTTPS şifre çözme olmadan DoH trafiği tam olarak incelenemez (bkz. ve "dns-over-https" ifadesini arayın.
TLS üzerinden DNS (DoT)
TLS içindeki DNS
DoH protokolü aynı bağlantı noktasındaki diğer trafikle karışma eğilimindeyken, DoT bunun yerine varsayılan olarak yalnızca bu amaç için ayrılmış özel bir bağlantı noktasını kullanır, hatta aynı bağlantı noktasının geleneksel şifrelenmemiş DNS trafiği tarafından kullanılmasına özellikle izin vermez ( ).
DoT protokolü, iyi bilinen 853 numaralı bağlantı noktasını kullanan trafikle standart DNS protokolü sorgularını kapsülleyen şifreleme sağlamak için TLS'yi kullanır ( ). DoT protokolü, kuruluşların bir bağlantı noktasındaki trafiği engellemesini veya trafiği kabul edip bu bağlantı noktasında şifre çözmeyi etkinleştirmesini kolaylaştırmak için tasarlandı.
DoT ile ilişkili riskler
Google, istemcisinde DoT'yi uyguladı , varsa DoT'yi otomatik olarak kullanacak varsayılan ayarla. Riskleri değerlendirdiyseniz ve kurumsal düzeyde DoT'yi kullanmaya hazırsanız, ağ yöneticilerinin bu yeni protokol için kendi çevreleri üzerinden 853 numaralı bağlantı noktasından giden trafiğe açıkça izin vermesini sağlamanız gerekir.
DoT trafiğinin görünürlüğünün ve kontrolünün sağlanması
DoT kontrolüne yönelik en iyi uygulama olarak kuruluşunuzun gereksinimlerine göre yukarıdakilerden herhangi birini öneriyoruz:
-
Hedef bağlantı noktası 853 için tüm trafiğin şifresini çözecek şekilde NGFW'yi yapılandırın. Trafiğin şifresini çözdüğünüzde DoT, aboneliği etkinleştirme gibi herhangi bir eylemi uygulayabileceğiniz bir DNS uygulaması olarak görünecektir. DGA alanlarını veya mevcut olanı kontrol etmek için ve casus yazılım önleme.
-
Bir alternatif, App-ID motorunun 853 numaralı bağlantı noktasındaki 'dns-over-tls' trafiğini tamamen engellemesini sağlamaktır. Bu genellikle varsayılan olarak engellenir, herhangi bir işlem yapılması gerekmez ('dns-over-tls' uygulamasına veya bağlantı noktasına özellikle izin vermediğiniz sürece) trafik 853).
Kaynak: habr.com