پرو ہوسٹر > بلاگ > انتظامیہ > DNS-over-TLS (DoT) اور DNS-over-HTTPS (DoH) کے استعمال کے خطرات کو کم کرنا
DNS-over-TLS (DoT) اور DNS-over-HTTPS (DoH) کے استعمال کے خطرات کو کم کرنا
DoH اور DoT کے استعمال کے خطرات کو کم کرنا
DoH اور DoT تحفظ
کیا آپ اپنے DNS ٹریفک کو کنٹرول کرتے ہیں؟ تنظیمیں اپنے نیٹ ورکس کو محفوظ بنانے میں بہت زیادہ وقت، پیسہ اور کوششیں لگاتی ہیں۔ تاہم، ایک ایسا علاقہ جس پر اکثر توجہ نہیں ملتی وہ ہے DNS۔
سروے میں 31% رینسم ویئر کلاسز نے کلیدی تبادلے کے لیے DNS کا استعمال کیا۔ مطالعہ کے نتائج
سروے میں 31% رینسم ویئر کلاسز نے کلیدی تبادلے کے لیے DNS کا استعمال کیا۔
مسئلہ سنگین ہے۔ پالو آلٹو نیٹ ورکس یونٹ 42 ریسرچ لیب کے مطابق، تقریباً 85% میلویئر کمانڈ اور کنٹرول چینل قائم کرنے کے لیے DNS کا استعمال کرتے ہیں، جس سے حملہ آور آسانی سے آپ کے نیٹ ورک میں میلویئر داخل کرنے کے ساتھ ساتھ ڈیٹا چوری کر سکتے ہیں۔ اپنے آغاز کے بعد سے، DNS ٹریفک بڑی حد تک غیر خفیہ کردہ ہے اور NGFW سیکیورٹی میکانزم کے ذریعے آسانی سے تجزیہ کیا جا سکتا ہے۔
DNS کے لیے نئے پروٹوکول سامنے آئے ہیں جس کا مقصد DNS کنکشنز کی رازداری کو بڑھانا ہے۔ وہ براؤزر کے سرکردہ دکانداروں اور دیگر سافٹ ویئر فروشوں کی طرف سے فعال طور پر تعاون کرتے ہیں۔ خفیہ کردہ DNS ٹریفک جلد ہی کارپوریٹ نیٹ ورکس میں بڑھنا شروع ہو جائے گا۔ انکرپٹڈ DNS ٹریفک جس کا درست طریقے سے تجزیہ نہیں کیا گیا اور ٹولز کے ذریعے حل نہیں کیا گیا، کمپنی کے لیے سیکیورٹی کا خطرہ ہے۔ مثال کے طور پر، ایسا خطرہ cryptolockers ہے جو خفیہ کاری کی چابیاں کا تبادلہ کرنے کے لیے DNS کا استعمال کرتے ہیں۔ حملہ آور اب آپ کے ڈیٹا تک رسائی بحال کرنے کے لیے کئی ملین ڈالر کا تاوان مانگ رہے ہیں۔ مثال کے طور پر گارمن نے 10 ملین ڈالر ادا کیے۔
مناسب طریقے سے ترتیب دینے پر، NGFWs DNS-over-TLS (DoT) کے استعمال سے انکار یا تحفظ کر سکتے ہیں اور DNS-over-HTTPS (DoH) کے استعمال سے انکار کرنے کے لیے استعمال کیا جا سکتا ہے، جس سے آپ کے نیٹ ورک پر موجود تمام DNS ٹریفک کا تجزیہ کیا جا سکتا ہے۔
خفیہ کردہ DNS کیا ہے؟
DNS کیا ہے؟
ڈومین نیم سسٹم (DNS) انسانی پڑھنے کے قابل ڈومین ناموں کو حل کرتا ہے (مثال کے طور پر، پتہ www.paloaltonetworks.com ) آئی پی ایڈریس تک (مثال کے طور پر، 34.107.151.202)۔ جب کوئی صارف ویب براؤزر میں ڈومین کا نام داخل کرتا ہے، تو براؤزر DNS سرور کو ایک DNS استفسار بھیجتا ہے، جس میں اس ڈومین نام سے وابستہ IP ایڈریس کا مطالبہ کیا جاتا ہے۔ جواب میں، DNS سرور وہ IP ایڈریس لوٹاتا ہے جسے یہ براؤزر استعمال کرے گا۔
DNS استفسارات اور جوابات پورے نیٹ ورک پر سادہ متن میں بھیجے جاتے ہیں، غیر خفیہ کردہ، یہ جاسوسی یا جواب کو تبدیل کرنے اور براؤزر کو نقصان دہ سرورز پر بھیجنے کا خطرہ بناتا ہے۔ DNS خفیہ کاری DNS درخواستوں کو ٹرانسمیشن کے دوران ٹریک کرنا یا تبدیل کرنا مشکل بناتی ہے۔ ڈی این ایس کی درخواستوں اور جوابات کو خفیہ کرنا آپ کو مین-ان-دی-مڈل حملوں سے بچاتا ہے جبکہ روایتی سادہ متن DNS (ڈومین نیم سسٹم) پروٹوکول جیسی فعالیت انجام دیتا ہے۔
پچھلے کچھ سالوں میں، دو DNS انکرپشن پروٹوکول متعارف کرائے گئے ہیں:
DNS سے زیادہ HTTPS (DoH)
DNS-over-TLS (DoT)
ان پروٹوکولز میں ایک چیز مشترک ہے: وہ جان بوجھ کر DNS کی درخواستوں کو کسی بھی مداخلت سے چھپاتے ہیں... اور تنظیم کے سیکیورٹی گارڈز سے بھی۔ پروٹوکول بنیادی طور پر TLS (ٹرانسپورٹ لیئر سیکیورٹی) کا استعمال کرتے ہیں تاکہ کلائنٹ کے سوالات بنانے والے اور ایک سرور کے درمیان ایک خفیہ کنکشن قائم کیا جا سکے جو ایک بندرگاہ پر DNS سوالات کو حل کرتا ہے جو عام طور پر DNS ٹریفک کے لیے استعمال نہیں ہوتا ہے۔
DNS سوالات کی رازداری ان پروٹوکولز کا ایک بڑا پلس ہے۔ تاہم، وہ سیکیورٹی گارڈز کے لیے مسائل پیدا کرتے ہیں جنہیں نیٹ ورک ٹریفک کی نگرانی کرنی چاہیے اور نقصان دہ کنکشن کا پتہ لگانا اور بلاک کرنا چاہیے۔ چونکہ پروٹوکول ان کے نفاذ میں مختلف ہیں، تجزیہ کے طریقے DoH اور DoT کے درمیان مختلف ہوں گے۔
HTTPS (DoH) سے زیادہ DNS
HTTPS کے اندر DNS
DoH معروف پورٹ 443 کو HTTPS کے لیے استعمال کرتا ہے، جس کے لیے RFC خاص طور پر بتاتا ہے کہ "DoH ٹریفک کو ایک ہی کنکشن پر دوسرے HTTPS ٹریفک کے ساتھ ملانا"، "DNS ٹریفک کا تجزیہ کرنا مشکل بنانا" اور اس طرح کارپوریٹ کنٹرول کو روکنا ہے۔ ( RFC 8484 DoH سیکشن 8.1 )۔ DoH پروٹوکول TLS انکرپشن اور عام HTTPS اور HTTP/2 معیارات کے ذریعہ فراہم کردہ درخواست کا نحو استعمال کرتا ہے، معیاری HTTP درخواستوں کے اوپر DNS درخواستیں اور جوابات شامل کرتا ہے۔
DoH سے وابستہ خطرات
اگر آپ باقاعدہ HTTPS ٹریفک کو DoH کی درخواستوں سے ممتاز نہیں کر سکتے ہیں، تو آپ کی تنظیم کے اندر موجود ایپلیکیشنز DoH درخواستوں کا جواب دینے والے فریق ثالث کے سرورز کو درخواستوں کو ری ڈائریکٹ کر کے مقامی DNS سیٹنگز کو نظرانداز کر سکتی ہیں (اور کریں گی)، جو کہ کسی بھی نگرانی کو نظرانداز کر دیتی ہے، یعنی اس کی صلاحیت کو ختم کر دیتی ہے۔ DNS ٹریفک کو کنٹرول کریں۔ مثالی طور پر، آپ کو HTTPS ڈکرپشن فنکشنز کا استعمال کرتے ہوئے DoH کو کنٹرول کرنا چاہیے۔
DoH کنٹرول کے بہترین حل کے طور پر، ہم NGFW کو HTTPS ٹریفک کو ڈکرپٹ کرنے اور DoH ٹریفک کو بلاک کرنے کی تجویز کرتے ہیں (ایپلیکیشن کا نام: dns-over-https)۔
دوسرا، ایپلیکیشن ٹریفک "dns-over-https" کے لیے ایک اصول بنائیں جیسا کہ ذیل میں دکھایا گیا ہے:
DNS-over-HTTPS کو بلاک کرنے کے لیے Palo Alto Networks NGFW اصول
ایک عبوری متبادل کے طور پر (اگر آپ کی تنظیم نے HTTPS ڈکرپشن کو مکمل طور پر لاگو نہیں کیا ہے)، NGFW کو "dns-over-https" ایپلیکیشن ID پر "انکار" ایکشن لاگو کرنے کے لیے کنفیگر کیا جا سکتا ہے، لیکن اس کا اثر کچھ اچھی طرح سے بلاک کرنے تک محدود ہو گا۔ DoH سرورز کو ان کے ڈومین نام سے جانا جاتا ہے، تو کیسے HTTPS ڈکرپشن کے بغیر، DoH ٹریفک کا مکمل معائنہ نہیں کیا جا سکتا (دیکھیں پالو آلٹو نیٹ ورکس سے اپلیپیڈیا اور "dns-over-https" تلاش کریں)۔
DNS اوور TLS (DoT)
TLS کے اندر DNS
جبکہ DoH پروٹوکول ایک ہی پورٹ پر دیگر ٹریفک کے ساتھ گھل مل جاتا ہے، DoT اس کے بجائے اس واحد مقصد کے لیے مخصوص ایک خصوصی پورٹ کو استعمال کرنے میں ڈیفالٹ کرتا ہے، یہاں تک کہ خاص طور پر اسی پورٹ کو روایتی غیر خفیہ کردہ DNS ٹریفک کے ذریعے استعمال کرنے سے منع کرتا ہے۔ RFC 7858، سیکشن 3.1 ).
DoT پروٹوکول TLS کو خفیہ کاری فراہم کرنے کے لیے استعمال کرتا ہے جو معیاری DNS پروٹوکول کے سوالات کو سمیٹتا ہے، ٹریفک کے ساتھ معروف پورٹ 853 ( RFC 7858 سیکشن 6 )۔ DoT پروٹوکول کو تنظیموں کے لیے بندرگاہ پر ٹریفک کو روکنے، یا ٹریفک کو قبول کرنے لیکن اس بندرگاہ پر ڈکرپشن کو فعال کرنے کے لیے ڈیزائن کیا گیا تھا۔
DoT سے وابستہ خطرات
گوگل نے اپنے کلائنٹ میں DoT کو نافذ کیا ہے۔ Android 9 Pie اور بعد میں اگر دستیاب ہو تو خود بخود DoT استعمال کرنے کے لیے پہلے سے طے شدہ ترتیب کے ساتھ۔ اگر آپ نے خطرات کا اندازہ لگا لیا ہے اور تنظیمی سطح پر DoT کو استعمال کرنے کے لیے تیار ہیں، تو آپ کو اس نئے پروٹوکول کے لیے نیٹ ورک کے منتظمین کو واضح طور پر پورٹ 853 پر آؤٹ باؤنڈ ٹریفک کی اجازت دینے کی ضرورت ہے۔
DoT ٹریفک کی مرئیت اور کنٹرول کو یقینی بنانا
DoT کنٹرول کے لیے ایک بہترین عمل کے طور پر، ہم آپ کی تنظیم کی ضروریات کی بنیاد پر مندرجہ بالا میں سے کسی ایک کی سفارش کرتے ہیں:
منزل پورٹ 853 کے لیے تمام ٹریفک کو ڈیکرپٹ کرنے کے لیے NGFW کو ترتیب دیں۔ ٹریفک کو ڈکرپٹ کرنے سے، DoT ایک DNS ایپلیکیشن کے طور پر ظاہر ہو گا جس پر آپ کسی بھی کارروائی کو لاگو کر سکتے ہیں، جیسے سبسکرپشن کو فعال کرنا پالو آلٹو نیٹ ورکس ڈی این ایس سیکیورٹی DGA ڈومینز یا موجودہ ڈومینز کو کنٹرول کرنے کے لیے ڈی این ایس سنکھولنگ اور اینٹی اسپائی ویئر۔
ایک متبادل یہ ہے کہ App-ID انجن کو پورٹ 853 پر 'dns-over-tls' ٹریفک کو مکمل طور پر بلاک کر دیا جائے۔ یہ عام طور پر بطور ڈیفالٹ بلاک ہوتا ہے، کسی کارروائی کی ضرورت نہیں ہے (جب تک کہ آپ خاص طور پر 'dns-over-tls' ایپلیکیشن یا پورٹ ٹریفک کی اجازت نہ دیں۔ 853)۔