ProHoster > Блог > Isakoso > Dinku awọn eewu ti lilo DNS-over-TLS (DoT) ati DNS-over-HTTPS (DoH)
Dinku awọn eewu ti lilo DNS-over-TLS (DoT) ati DNS-over-HTTPS (DoH)
Dinku awọn eewu ti lilo DoH ati DoT
DoH ati aabo DoT
Ṣe o ṣakoso ijabọ DNS rẹ? Awọn ile-iṣẹ ṣe idokowo akoko pupọ, owo, ati igbiyanju lati ni aabo awọn nẹtiwọọki wọn. Sibẹsibẹ, agbegbe kan ti nigbagbogbo ko ni akiyesi to ni DNS.
Akopọ ti o dara ti awọn ewu ti DNS mu ni Igbejade Verisign ni Infosecurity alapejọ.
31% ti awọn kilasi ransomware ti a ṣe iwadi lo DNS fun paṣipaarọ bọtini. Awọn awari ikẹkọ
31% ti awọn kilasi ransomware ṣe iwadi ti a lo DNS fun paṣipaarọ bọtini.
Iṣoro naa ṣe pataki. Gẹgẹbi Laabu iwadi Palo Alto Networks Unit 42, isunmọ 85% ti malware nlo DNS lati fi idi aṣẹ kan ati ikanni iṣakoso mulẹ, gbigba awọn apaniyan laaye lati fi malware sinu nẹtiwọọki rẹ ni irọrun bi ji data. Lati ibẹrẹ rẹ, ijabọ DNS ti jẹ eyiti ko ni aabo pupọ ati pe o le ṣe itupalẹ ni irọrun nipasẹ awọn ọna aabo NGFW.
Awọn ilana tuntun fun DNS ti farahan ni ero lati jijẹ aṣiri ti awọn asopọ DNS. Wọn ṣe atilẹyin ni itara nipasẹ awọn olutaja aṣawakiri ati awọn olutaja sọfitiwia miiran. Awọn ijabọ DNS ti paroko yoo bẹrẹ lati dagba laipẹ ni awọn nẹtiwọọki ajọ. Awọn ijabọ DNS ti paroko ti ko ṣe itupalẹ daradara ati ipinnu nipasẹ awọn irinṣẹ jẹ eewu aabo si ile-iṣẹ kan. Fun apẹẹrẹ, iru irokeke kan jẹ cryptolockers ti o lo DNS lati ṣe paṣipaarọ awọn bọtini fifi ẹnọ kọ nkan. Awọn ikọlu n beere fun irapada ti ọpọlọpọ awọn dọla dọla lati mu pada wiwọle si data rẹ. Garmin, fun apẹẹrẹ, san $10 million.
Nigbati a ba tunto daradara, awọn NGFW le sẹ tabi daabobo lilo DNS-over-TLS (DoT) ati pe a le lo lati kọ lilo DNS-over-HTTPS (DoH), gbigba gbogbo awọn ijabọ DNS lori nẹtiwọọki rẹ lati ṣe itupalẹ.
Kini DNS ti paroko?
Kini DNS
Eto Orukọ Ile-iṣẹ (DNS) ṣe ipinnu awọn orukọ agbegbe ti eniyan le ka (fun apẹẹrẹ, adirẹsi www.paloaltonetworks.com ) si awọn adirẹsi IP (fun apẹẹrẹ, 34.107.151.202). Nigbati olumulo kan ba tẹ orukọ ìkápá kan sinu ẹrọ aṣawakiri wẹẹbu kan, aṣawakiri naa firanṣẹ ibeere DNS kan si olupin DNS, n beere fun adiresi IP ti o ni nkan ṣe pẹlu orukọ ìkápá yẹn. Ni idahun, olupin DNS da adiresi IP pada ti ẹrọ aṣawakiri yii yoo lo.
Awọn ibeere DNS ati awọn idahun ni a firanṣẹ kọja nẹtiwọọki ni ọrọ itele, ti ko paṣiparọ, jẹ ki o jẹ ipalara si amí tabi iyipada esi ati ṣiṣatunṣe aṣawakiri si awọn olupin irira. Ìsekóòdù DNS jẹ ki o ṣoro fun awọn ibeere DNS lati tọpinpin tabi yipada lakoko gbigbe. Awọn ibeere DNS ti paroko ati awọn idahun ṣe aabo fun ọ lati awọn ikọlu Eniyan-ni-Aarin lakoko ṣiṣe iṣẹ ṣiṣe kanna gẹgẹbi ilana DNS pẹtẹlẹ ti aṣa (Eto Orukọ Aṣẹ).
Ni awọn ọdun diẹ sẹhin, awọn ilana fifi ẹnọ kọ nkan DNS meji ni a ti ṣafihan:
DNS-lori-HTTPS (DoH)
DNS-lori-TLS (DoT)
Awọn ilana wọnyi ni ohun kan ni wọpọ: wọn mọọmọ tọju awọn ibeere DNS lati eyikeyi idawọle… ati lati ọdọ awọn oluso aabo ti ajo naa. Awọn ilana ni akọkọ lo TLS (Aabo Layer Transport) lati fi idi asopọ ti paroko laarin alabara kan ti n ṣe awọn ibeere ati olupin ti n yanju awọn ibeere DNS lori ibudo ti ko lo deede fun ijabọ DNS.
Aṣiri ti awọn ibeere DNS jẹ afikun nla ti awọn ilana wọnyi. Sibẹsibẹ, wọn ṣe awọn iṣoro fun awọn oluso aabo ti o gbọdọ ṣe atẹle ijabọ nẹtiwọọki ati rii ati dènà awọn asopọ irira. Nitoripe awọn ilana yatọ ni imuse wọn, awọn ọna itupalẹ yoo yato laarin DoH ati DoT.
DNS lori HTTPS (DoH)
DNS inu HTTPS
DoH nlo ibudo 443 ti a mọ daradara fun HTTPS, fun eyiti RFC sọ ni pato pe ipinnu ni lati "dapọ awọn ijabọ DoH pẹlu ijabọ HTTPS miiran lori asopọ kanna", "jẹ ki o ṣoro lati ṣe itupalẹ ijabọ DNS" ati nitorinaa ṣabọ awọn iṣakoso ile-iṣẹ. ( RFC 8484 DoH Abala 8.1 ). Ilana DoH nlo fifi ẹnọ kọ nkan TLS ati sintasi ibeere ti a pese nipasẹ HTTPS ti o wọpọ ati awọn iṣedede HTTP/2, fifi awọn ibeere DNS ati awọn idahun lori oke awọn ibeere HTTP boṣewa.
Awọn ewu ti o ni nkan ṣe pẹlu DoH
Ti o ko ba le ṣe iyatọ awọn ijabọ HTTPS deede lati awọn ibeere DoH, lẹhinna awọn ohun elo laarin agbari rẹ le (ati pe yoo) fori awọn eto DNS agbegbe nipa yiyi awọn ibeere pada si awọn olupin ẹnikẹta ti n dahun si awọn ibeere DoH, eyiti o kọja eyikeyi ibojuwo, iyẹn ni, ba agbara run lati šakoso awọn DNS ijabọ. Bi o ṣe yẹ, o yẹ ki o ṣakoso DoH nipa lilo awọn iṣẹ decryption HTTPS.
Ẹlẹẹkeji, ṣẹda ofin fun ijabọ ohun elo "dns-over-https" bi a ṣe han ni isalẹ:
Palo Alto Awọn nẹtiwọki Ofin NGFW lati Dẹkun DNS-lori-HTTPS
Gẹgẹbi yiyan adele (ti ile-iṣẹ rẹ ko ba ti ni imuse ni kikun HTTPS decryption), NGFW le tunto lati lo iṣe “kikọ” si ID ohun elo “dns-over-https”, ṣugbọn ipa naa yoo ni opin si dinamọ diẹ ninu daradara- Awọn olupin DoH ti a mọ nipasẹ orukọ-ašẹ wọn, nitorinaa bii laisi idinku HTTPS, ijabọ DoH ko le ṣe ayẹwo ni kikun (wo Applipedia lati Palo Alto Awọn nẹtiwọki ki o si wa "dns-over-https").
DNS lori TLS (DoT)
DNS inu TLS
Lakoko ti ilana DoH duro lati dapọ pẹlu awọn ijabọ miiran lori ibudo kanna, DoT dipo awọn aṣiṣe si lilo ibudo pataki kan ti o wa ni ipamọ fun idi kanṣoṣo yẹn, paapaa ni pataki gbigba ibudo kanna lati ni lilo nipasẹ ijabọ DNS ti ko ni iṣiri ti aṣa ( RFC 7858, Abala 3.1 ).
Ilana DoT nlo TLS lati pese fifi ẹnọ kọ nkan ti o ṣe agbekalẹ awọn ibeere Ilana DNS boṣewa, pẹlu ijabọ lilo ibudo 853 ti a mọ daradara ( RFC 7858 apakan 6 ). Ilana DoT jẹ apẹrẹ lati jẹ ki o rọrun fun awọn ajo lati ṣe idiwọ ijabọ lori ibudo kan, tabi gba ijabọ ṣugbọn jẹ ki idinku kuro ni ibudo yẹn.
Awọn ewu ti o ni nkan ṣe pẹlu DoT
Google ti ṣe imuse DoT ninu alabara rẹ Android 9 Pie ati nigbamii , pẹlu eto aiyipada lati lo DoT laifọwọyi ti o ba wa. Ti o ba ti ṣe ayẹwo awọn eewu ati pe o ti ṣetan lati lo DoT ni ipele eto, lẹhinna o nilo lati ni awọn alabojuto nẹtiwọọki ni gbangba gba awọn ijabọ ti njade ni ibudo 853 nipasẹ agbegbe wọn fun ilana tuntun yii.
Aridaju hihan ati iṣakoso ti DoT ijabọ
Gẹgẹbi iṣe ti o dara julọ fun iṣakoso DoT, a ṣeduro eyikeyi ninu awọn loke, da lori awọn ibeere ti ajo rẹ:
Ṣe atunto NGFW lati dinku gbogbo awọn ijabọ fun ibudo 853 ti o nlo. Nipa didasilẹ ijabọ, DoT yoo han bi ohun elo DNS si eyiti o le lo eyikeyi iṣe, bii ṣiṣe ṣiṣe alabapin ṣiṣẹ Palo Alto Networks DNS Aabo lati ṣakoso awọn ibugbe DGA tabi ọkan ti o wa tẹlẹ DNS Sinkholing ati egboogi-spyware.
Omiiran ni lati ni ohun elo App-ID engine patapata dina 'dns-over-tls' ijabọ lori ibudo 853. Eyi nigbagbogbo ni idinamọ nipasẹ aiyipada, ko si iṣẹ ti o nilo (ayafi ti o ba gba ohun elo 'dns-over-tls' ni pato tabi ijabọ ibudo. 853).