ProHoster > Блог > Isakoso > Dinku awọn eewu ti lilo DNS-over-TLS (DoT) ati DNS-over-HTTPS (DoH)

Dinku awọn eewu ti lilo DNS-over-TLS (DoT) ati DNS-over-HTTPS (DoH)

Dinku awọn eewu ti lilo DNS-over-TLS (DoT) ati DNS-over-HTTPS (DoH)Dinku awọn eewu ti lilo DoH ati DoT

DoH ati aabo DoT

Ṣe o ṣakoso ijabọ DNS rẹ? Awọn ile-iṣẹ ṣe idokowo akoko pupọ, owo, ati igbiyanju lati ni aabo awọn nẹtiwọọki wọn. Sibẹsibẹ, agbegbe kan ti nigbagbogbo ko ni akiyesi to ni DNS.

Akopọ ti o dara ti awọn ewu ti DNS mu ni Igbejade Verisign ni Infosecurity alapejọ.

Dinku awọn eewu ti lilo DNS-over-TLS (DoT) ati DNS-over-HTTPS (DoH)31% ti awọn kilasi ransomware ti a ṣe iwadi lo DNS fun paṣipaarọ bọtini. Awọn awari ikẹkọ

31% ti awọn kilasi ransomware ṣe iwadi ti a lo DNS fun paṣipaarọ bọtini.

Iṣoro naa ṣe pataki. Gẹgẹbi Laabu iwadi Palo Alto Networks Unit 42, isunmọ 85% ti malware nlo DNS lati fi idi aṣẹ kan ati ikanni iṣakoso mulẹ, gbigba awọn apaniyan laaye lati fi malware sinu nẹtiwọọki rẹ ni irọrun bi ji data. Lati ibẹrẹ rẹ, ijabọ DNS ti jẹ eyiti ko ni aabo pupọ ati pe o le ṣe itupalẹ ni irọrun nipasẹ awọn ọna aabo NGFW. 

Awọn ilana tuntun fun DNS ti farahan ni ero lati jijẹ aṣiri ti awọn asopọ DNS. Wọn ṣe atilẹyin ni itara nipasẹ awọn olutaja aṣawakiri ati awọn olutaja sọfitiwia miiran. Awọn ijabọ DNS ti paroko yoo bẹrẹ lati dagba laipẹ ni awọn nẹtiwọọki ajọ. Awọn ijabọ DNS ti paroko ti ko ṣe itupalẹ daradara ati ipinnu nipasẹ awọn irinṣẹ jẹ eewu aabo si ile-iṣẹ kan. Fun apẹẹrẹ, iru irokeke kan jẹ cryptolockers ti o lo DNS lati ṣe paṣipaarọ awọn bọtini fifi ẹnọ kọ nkan. Awọn ikọlu n beere fun irapada ti ọpọlọpọ awọn dọla dọla lati mu pada wiwọle si data rẹ. Garmin, fun apẹẹrẹ, san $10 million.

Nigbati a ba tunto daradara, awọn NGFW le sẹ tabi daabobo lilo DNS-over-TLS (DoT) ati pe a le lo lati kọ lilo DNS-over-HTTPS (DoH), gbigba gbogbo awọn ijabọ DNS lori nẹtiwọọki rẹ lati ṣe itupalẹ.

Kini DNS ti paroko?

Kini DNS

Eto Orukọ Ile-iṣẹ (DNS) ṣe ipinnu awọn orukọ agbegbe ti eniyan le ka (fun apẹẹrẹ, adirẹsi www.paloaltonetworks.com ) si awọn adirẹsi IP (fun apẹẹrẹ, 34.107.151.202). Nigbati olumulo kan ba tẹ orukọ ìkápá kan sinu ẹrọ aṣawakiri wẹẹbu kan, aṣawakiri naa firanṣẹ ibeere DNS kan si olupin DNS, n beere fun adiresi IP ti o ni nkan ṣe pẹlu orukọ ìkápá yẹn. Ni idahun, olupin DNS da adiresi IP pada ti ẹrọ aṣawakiri yii yoo lo.

Awọn ibeere DNS ati awọn idahun ni a firanṣẹ kọja nẹtiwọọki ni ọrọ itele, ti ko paṣiparọ, jẹ ki o jẹ ipalara si amí tabi iyipada esi ati ṣiṣatunṣe aṣawakiri si awọn olupin irira. Ìsekóòdù DNS jẹ ki o ṣoro fun awọn ibeere DNS lati tọpinpin tabi yipada lakoko gbigbe. Awọn ibeere DNS ti paroko ati awọn idahun ṣe aabo fun ọ lati awọn ikọlu Eniyan-ni-Aarin lakoko ṣiṣe iṣẹ ṣiṣe kanna gẹgẹbi ilana DNS pẹtẹlẹ ti aṣa (Eto Orukọ Aṣẹ). 

Ni awọn ọdun diẹ sẹhin, awọn ilana fifi ẹnọ kọ nkan DNS meji ni a ti ṣafihan:

  1. DNS-lori-HTTPS (DoH)

  2. DNS-lori-TLS (DoT)

Awọn ilana wọnyi ni ohun kan ni wọpọ: wọn mọọmọ tọju awọn ibeere DNS lati eyikeyi idawọle… ati lati ọdọ awọn oluso aabo ti ajo naa. Awọn ilana ni akọkọ lo TLS (Aabo Layer Transport) lati fi idi asopọ ti paroko laarin alabara kan ti n ṣe awọn ibeere ati olupin ti n yanju awọn ibeere DNS lori ibudo ti ko lo deede fun ijabọ DNS.

Aṣiri ti awọn ibeere DNS jẹ afikun nla ti awọn ilana wọnyi. Sibẹsibẹ, wọn ṣe awọn iṣoro fun awọn oluso aabo ti o gbọdọ ṣe atẹle ijabọ nẹtiwọọki ati rii ati dènà awọn asopọ irira. Nitoripe awọn ilana yatọ ni imuse wọn, awọn ọna itupalẹ yoo yato laarin DoH ati DoT.

DNS lori HTTPS (DoH)

Dinku awọn eewu ti lilo DNS-over-TLS (DoT) ati DNS-over-HTTPS (DoH)DNS inu HTTPS

DoH nlo ibudo 443 ti a mọ daradara fun HTTPS, fun eyiti RFC sọ ni pato pe ipinnu ni lati "dapọ awọn ijabọ DoH pẹlu ijabọ HTTPS miiran lori asopọ kanna", "jẹ ki o ṣoro lati ṣe itupalẹ ijabọ DNS" ati nitorinaa ṣabọ awọn iṣakoso ile-iṣẹ. ( RFC 8484 DoH Abala 8.1 ). Ilana DoH nlo fifi ẹnọ kọ nkan TLS ati sintasi ibeere ti a pese nipasẹ HTTPS ti o wọpọ ati awọn iṣedede HTTP/2, fifi awọn ibeere DNS ati awọn idahun lori oke awọn ibeere HTTP boṣewa.

Awọn ewu ti o ni nkan ṣe pẹlu DoH

Ti o ko ba le ṣe iyatọ awọn ijabọ HTTPS deede lati awọn ibeere DoH, lẹhinna awọn ohun elo laarin agbari rẹ le (ati pe yoo) fori awọn eto DNS agbegbe nipa yiyi awọn ibeere pada si awọn olupin ẹnikẹta ti n dahun si awọn ibeere DoH, eyiti o kọja eyikeyi ibojuwo, iyẹn ni, ba agbara run lati šakoso awọn DNS ijabọ. Bi o ṣe yẹ, o yẹ ki o ṣakoso DoH nipa lilo awọn iṣẹ decryption HTTPS. 

И Google ati Mozilla ti ṣe imuse awọn agbara DoH ninu ẹya tuntun ti awọn aṣawakiri wọn, ati pe awọn ile-iṣẹ mejeeji n ṣiṣẹ lati lo DoH nipasẹ aiyipada fun gbogbo awọn ibeere DNS. Microsoft tun n ṣe agbekalẹ awọn ero lori iṣọpọ DoH sinu awọn ọna ṣiṣe wọn. Isalẹ ni pe kii ṣe awọn ile-iṣẹ sọfitiwia olokiki nikan, ṣugbọn awọn ikọlu tun ti bẹrẹ lati lo DoH gẹgẹbi ọna ti lilọ kiri awọn igbese ogiriina ajọ-ajo ibile. (Fun apẹẹrẹ, ṣatunyẹwo awọn nkan wọnyi: PsiXBot lo Google DoH bayi , PsiXBot tẹsiwaju lati dagbasoke pẹlu awọn amayederun DNS imudojuiwọn и Godlua backdoor onínọmbà .) Ni boya idiyele, mejeeji ti o dara ati irira ijabọ DoH yoo lọ lai ṣe akiyesi, nlọ kuro ni ajọṣọ afọju si lilo irira ti DoH gẹgẹbi ọna gbigbe lati ṣakoso malware (C2) ati ji data ifura.

Idaniloju hihan ati iṣakoso ti ijabọ DoH

Gẹgẹbi ojutu ti o dara julọ fun iṣakoso DoH, a ṣeduro atunto NGFW lati decrypt ijabọ HTTPS ati dènà ijabọ DoH (orukọ ohun elo: dns-over-https). 

Ni akọkọ, rii daju pe NGFW ti tunto lati decrypt HTTPS, ni ibamu si Itọsọna kan si awọn imuposi decryption ti o dara julọ.

Ẹlẹẹkeji, ṣẹda ofin fun ijabọ ohun elo "dns-over-https" bi a ṣe han ni isalẹ:

Dinku awọn eewu ti lilo DNS-over-TLS (DoT) ati DNS-over-HTTPS (DoH)Palo Alto Awọn nẹtiwọki Ofin NGFW lati Dẹkun DNS-lori-HTTPS

Gẹgẹbi yiyan adele (ti ile-iṣẹ rẹ ko ba ti ni imuse ni kikun HTTPS decryption), NGFW le tunto lati lo iṣe “kikọ” si ID ohun elo “dns-over-https”, ṣugbọn ipa naa yoo ni opin si dinamọ diẹ ninu daradara- Awọn olupin DoH ti a mọ nipasẹ orukọ-ašẹ wọn, nitorinaa bii laisi idinku HTTPS, ijabọ DoH ko le ṣe ayẹwo ni kikun (wo  Applipedia lati Palo Alto Awọn nẹtiwọki   ki o si wa "dns-over-https").

DNS lori TLS (DoT)

Dinku awọn eewu ti lilo DNS-over-TLS (DoT) ati DNS-over-HTTPS (DoH)DNS inu TLS

Lakoko ti ilana DoH duro lati dapọ pẹlu awọn ijabọ miiran lori ibudo kanna, DoT dipo awọn aṣiṣe si lilo ibudo pataki kan ti o wa ni ipamọ fun idi kanṣoṣo yẹn, paapaa ni pataki gbigba ibudo kanna lati ni lilo nipasẹ ijabọ DNS ti ko ni iṣiri ti aṣa ( RFC 7858, Abala 3.1 ).

Ilana DoT nlo TLS lati pese fifi ẹnọ kọ nkan ti o ṣe agbekalẹ awọn ibeere Ilana DNS boṣewa, pẹlu ijabọ lilo ibudo 853 ti a mọ daradara ( RFC 7858 apakan 6 ). Ilana DoT jẹ apẹrẹ lati jẹ ki o rọrun fun awọn ajo lati ṣe idiwọ ijabọ lori ibudo kan, tabi gba ijabọ ṣugbọn jẹ ki idinku kuro ni ibudo yẹn.

Awọn ewu ti o ni nkan ṣe pẹlu DoT

Google ti ṣe imuse DoT ninu alabara rẹ Android 9 Pie ati nigbamii , pẹlu eto aiyipada lati lo DoT laifọwọyi ti o ba wa. Ti o ba ti ṣe ayẹwo awọn eewu ati pe o ti ṣetan lati lo DoT ni ipele eto, lẹhinna o nilo lati ni awọn alabojuto nẹtiwọọki ni gbangba gba awọn ijabọ ti njade ni ibudo 853 nipasẹ agbegbe wọn fun ilana tuntun yii.

Aridaju hihan ati iṣakoso ti DoT ijabọ

Gẹgẹbi iṣe ti o dara julọ fun iṣakoso DoT, a ṣeduro eyikeyi ninu awọn loke, da lori awọn ibeere ti ajo rẹ:

  • Ṣe atunto NGFW lati dinku gbogbo awọn ijabọ fun ibudo 853 ti o nlo. Nipa didasilẹ ijabọ, DoT yoo han bi ohun elo DNS si eyiti o le lo eyikeyi iṣe, bii ṣiṣe ṣiṣe alabapin ṣiṣẹ Palo Alto Networks DNS Aabo lati ṣakoso awọn ibugbe DGA tabi ọkan ti o wa tẹlẹ DNS Sinkholing ati egboogi-spyware.

  • Omiiran ni lati ni ohun elo App-ID engine patapata dina 'dns-over-tls' ijabọ lori ibudo 853. Eyi nigbagbogbo ni idinamọ nipasẹ aiyipada, ko si iṣẹ ti o nilo (ayafi ti o ba gba ohun elo 'dns-over-tls' ni pato tabi ijabọ ibudo. 853).

orisun: www.habr.com

Fi ọrọìwòye kun