DoH va DoT dan foydalanish xavfini kamaytirish
DoH va DoT himoyasi
DNS trafigingizni nazorat qilasizmi? Tashkilotlar o'z tarmoqlarini himoya qilish uchun ko'p vaqt, pul va kuch sarflaydi. Biroq, ko'pincha etarlicha e'tibor qaratmaydigan sohalardan biri bu DNS.
DNS olib keladigan xavflarning yaxshi umumiy ko'rinishi Infosecurity konferentsiyasida.
Soʻrovda qatnashgan toʻlov dasturlari sinflarining 31% kalit almashinuvi uchun DNS dan foydalangan. Tadqiqot natijalari
So‘rovda qatnashgan ransomware sinflarining 31% kalit almashinuvi uchun DNS-dan foydalangan.
Muammo jiddiy. Palo Alto Networks Unit 42 tadqiqot laboratoriyasi ma'lumotlariga ko'ra, zararli dasturlarning taxminan 85% DNS-dan buyruq va boshqaruv kanalini o'rnatish uchun foydalanadi, bu esa tajovuzkorlarga zararli dasturlarni tarmoqqa osongina kiritish va ma'lumotlarni o'g'irlash imkonini beradi. Yaratilganidan beri DNS trafiki asosan shifrlanmagan va NGFW xavfsizlik mexanizmlari tomonidan osongina tahlil qilinishi mumkin.
DNS ulanishlarining maxfiyligini oshirishga qaratilgan yangi DNS protokollari paydo bo'ldi. Ular etakchi brauzer sotuvchilari va boshqa dasturiy ta'minot ishlab chiqaruvchilari tomonidan faol qo'llab-quvvatlanadi. Tez orada shifrlangan DNS-trafik korporativ tarmoqlarda o'sishni boshlaydi. Asboblar tomonidan to'g'ri tahlil qilinmagan va hal etilmagan shifrlangan DNS trafik kompaniya uchun xavfsizlikka xavf tug'diradi. Misol uchun, bunday tahdid shifrlash kalitlarini almashish uchun DNS-dan foydalanadigan kriptolokerlardir. Hujumchilar endi maʼlumotlaringizga kirishni tiklash uchun bir necha million dollar toʻlashni talab qilmoqda. Masalan, Garmin 10 million dollar to'lagan.
To'g'ri sozlanganda, NGFW'lar DNS-over-TLS (DoT) foydalanishni rad etishi yoki himoya qilishi mumkin va DNS-over-HTTPS (DoH) dan foydalanishni rad etish uchun ishlatilishi mumkin, bu sizning tarmog'ingizdagi barcha DNS trafigini tahlil qilish imkonini beradi.
Shifrlangan DNS nima?
DNS nima
Domen nomlari tizimi (DNS) inson o'qiy oladigan domen nomlarini (masalan, manzil ) IP manzillariga (masalan, 34.107.151.202). Agar foydalanuvchi veb-brauzerga domen nomini kiritsa, brauzer DNS serveriga ushbu domen nomi bilan bog'langan IP-manzilni so'rab DNS so'rovini yuboradi. Bunga javoban DNS-server ushbu brauzer foydalanadigan IP-manzilni qaytaradi.
DNS so'rovlari va javoblari tarmoq bo'ylab oddiy matnda shifrlanmagan holda yuboriladi, bu ularni josuslik qilish yoki javobni o'zgartirish va brauzerni zararli serverlarga yo'naltirish uchun himoyasiz qiladi. DNS shifrlash DNS so'rovlarini kuzatish yoki uzatish paytida o'zgartirishni qiyinlashtiradi. DNS so'rovlari va javoblarini shifrlash an'anaviy ochiq matnli DNS (domen nomlari tizimi) protokoli bilan bir xil funktsiyani amalga oshirishda sizni "O'rtadagi odam" hujumlaridan himoya qiladi.
So'nggi bir necha yil ichida ikkita DNS shifrlash protokoli joriy etildi:
-
HTTPS orqali DNS (DoH)
-
TLS orqali DNS (DoT)
Ushbu protokollarning bir umumiy tomoni bor: ular DNS so'rovlarini har qanday ushlashdan ataylab yashirishadi ... va tashkilotning xavfsizlik xodimlaridan ham. Protokollar, birinchi navbatda, so'rovlar qiluvchi mijoz va odatda DNS trafigida foydalanilmaydigan port orqali DNS so'rovlarini hal qiluvchi server o'rtasida shifrlangan aloqani o'rnatish uchun TLS (Transport Layer Security) dan foydalanadi.
DNS so'rovlarining maxfiyligi ushbu protokollarning katta afzalligi hisoblanadi. Biroq, ular tarmoq trafigini kuzatishi va zararli ulanishlarni aniqlashi va blokirovka qilishi kerak bo'lgan qo'riqchilar uchun muammolarni keltirib chiqaradi. Protokollar ularni amalga oshirishda farq qilganligi sababli, tahlil usullari DoH va DoT o'rtasida farqlanadi.
HTTPS orqali DNS (DoH)
HTTPS ichidagi DNS
DoH HTTPS uchun taniqli port 443 dan foydalanadi, buning uchun RFC maqsadi "bir ulanishdagi boshqa HTTPS trafik bilan DoH trafigini aralashtirish", "DNS trafigini tahlil qilishni qiyinlashtirish" va shu bilan korporativ boshqaruvni chetlab o'tish ekanligini ta'kidlaydi. ( ). DoH protokoli standart HTTP so'rovlari ustiga DNS so'rovlari va javoblarini qo'shib, umumiy HTTPS va HTTP/2 standartlari tomonidan taqdim etilgan TLS shifrlash va so'rov sintaksisidan foydalanadi.
DoH bilan bog'liq xavflar
Agar siz muntazam HTTPS trafigini DoH so'rovlaridan ajrata olmasangiz, tashkilotingizdagi ilovalar mahalliy DNS sozlamalarini chetlab o'tishlari mumkin (va bo'ladi) so'rovlarni DoH so'rovlariga javob beradigan uchinchi tomon serverlariga yo'naltirish, bu har qanday monitoringni chetlab o'tadi, ya'ni DNS trafigini boshqarish. Ideal holda siz HTTPS shifrini ochish funksiyalaridan foydalangan holda DoHni boshqarishingiz kerak.
И brauzerlarining so'nggi versiyasida va ikkala kompaniya ham barcha DNS so'rovlari uchun sukut bo'yicha DoH dan foydalanishga harakat qilmoqda. DoHni ularning operatsion tizimlariga integratsiya qilish bo'yicha. Salbiy tomoni shundaki, nafaqat nufuzli dasturiy ta'minot kompaniyalari, balki hujumchilar ham an'anaviy korporativ xavfsizlik devori choralarini chetlab o'tish vositasi sifatida DoH dan foydalanishni boshladilar. (Masalan, quyidagi maqolalarni ko'rib chiqing: , и .) Har qanday holatda ham yaxshi va zararli DoH trafigi aniqlanmaydi va tashkilot zararli dasturlarni (C2) nazorat qilish va maxfiy ma'lumotlarni o'g'irlash uchun kanal sifatida DoH dan zararli foydalanishdan ko'r bo'lib qoladi.
DoH trafigining ko'rinishi va nazoratini ta'minlash
DoH nazorati uchun eng yaxshi yechim sifatida HTTPS trafigini shifrlash va DoH trafigini bloklash uchun NGFWni sozlashni tavsiya qilamiz (ilova nomi: dns-over-https).
Birinchidan, NGFW HTTPS shifrini ochish uchun sozlanganligiga ishonch hosil qiling .
Ikkinchidan, quyida ko'rsatilganidek, "dns-over-https" ilova trafiki uchun qoida yarating:
HTTPS orqali DNS-ni bloklash uchun Palo Alto Networks NGFW qoidasi
Vaqtinchalik muqobil sifatida (agar tashkilotingiz HTTPS parolini hal qilishni toʻliq amalga oshirmagan boʻlsa), NGFW “dns-over-https” ilova identifikatoriga “rad etish” amalini qoʻllash uchun sozlanishi mumkin, ammo bu taʼsir maʼlum quduqlarni blokirovka qilish bilan cheklanadi. DoH serverlari o'zlarining domen nomlari bilan ma'lum, shuning uchun HTTPS shifrini hal qilmasdan qanday qilib DoH trafigini to'liq tekshirib bo'lmaydi (qarang. va "dns-over-https" ni qidiring).
TLS orqali DNS (DoT)
TLS ichidagi DNS
DoH protokoli bir xil portdagi boshqa trafik bilan aralashishga moyil bo'lsa-da, DoT o'rniga faqat shu maqsad uchun ajratilgan maxsus portdan foydalanadi, hattoki bir xil portdan an'anaviy shifrlanmagan DNS trafigida foydalanishga ruxsat bermaydi ( ).
DoT protokoli standart DNS protokoli so'rovlarini o'z ichiga olgan shifrlashni ta'minlash uchun TLS dan foydalanadi, trafik bilan mashhur port 853 ( ). DoT protokoli tashkilotlarga portdagi trafikni blokirovka qilishni yoki trafikni qabul qilishni, lekin ushbu portda shifrni ochishni yoqishni osonlashtirish uchun ishlab chiqilgan.
DoT bilan bog'liq xavflar
Google o'z mijozida DoTni joriy qildi , agar mavjud bo'lsa, DoT dan avtomatik foydalanish uchun standart sozlamalar bilan. Agar siz xavflarni baholagan bo'lsangiz va DoT-dan tashkiliy darajada foydalanishga tayyor bo'lsangiz, unda siz tarmoq ma'murlari ushbu yangi protokol uchun perimetri orqali 853-portda chiquvchi trafikga aniq ruxsat berishlari kerak.
DoT trafigining ko'rinishi va nazoratini ta'minlash
DoT nazoratining eng yaxshi amaliyoti sifatida tashkilotingiz talablariga asosan yuqoridagilardan birini tavsiya qilamiz:
-
NGFW ni mo‘ljallangan port 853 uchun barcha trafik shifrini ochish uchun sozlang. Trafik shifrini ochish orqali DoT obunani yoqish kabi istalgan amalni qo‘llashingiz mumkin bo‘lgan DNS ilovasi sifatida paydo bo‘ladi. DGA domenlarini yoki mavjudlarini boshqarish uchun va josuslarga qarshi dasturlar.
-
Shu bilan bir qatorda App-ID dvigateli 853-portda “dns-over-tls” trafigini to‘liq bloklashi mumkin. Bu odatda sukut bo‘yicha bloklanadi, hech qanday harakat talab etilmaydi (agar “dns-over-tls” ilovasi yoki port trafigiga maxsus ruxsat bermasangiz. 853).
Manba: www.habr.com