問題很嚴重。 根據 Palo Alto Networks Unit 42 研究實驗室的數據,大約 85% 的惡意軟件使用 DNS 建立命令和控制通道,使攻擊者能夠輕鬆滲透您的網絡並竊取數據。 自誕生以來,DNS 流量大多未加密,並且很容易被 NGFW 的安全機制解析。
新的 DNS 協議已經出現,以提高 DNS 連接的隱私性。 它們得到了領先的瀏覽器供應商和其他軟件供應商的積極支持。 企業網絡中的加密 DNS 流量很快就會開始增長。 工具未正確解析和允許的加密 DNS 流量會給公司帶來安全風險。 例如,使用 DNS 交換加密密鑰的加密鎖就是這樣的威脅。 攻擊者現在要求支付數百萬美元的贖金才能恢復對您數據的訪問。 例如,Garmin 的薪酬為 10 萬美元。
正確配置後,NGFW 可以禁止或保護 DNS-over-TLS (DoT) 的使用,並可用於禁止使用 DNS-over-HTTPS (DoH),從而允許分析網絡上的所有 DNS 流量。
什麼是加密 DNS?
什麼是DNS
域名系統 (DNS) 翻譯人類可讀的域名(例如,地址 www.paloaltonetworks.com )到 IP 地址(例如 34.107.151.202)。 當用戶在 Web 瀏覽器中輸入域名時,瀏覽器會向 DNS 服務器發送 DNS 查詢,請求與該域名關聯的 IP 地址。 作為響應,DNS 服務器返回該瀏覽器將使用的 IP 地址。
DNS 請求和響應以未加密的純文本形式通過網絡發送,因此很容易受到監視或修改響應並將瀏覽器重定向到惡意服務器。 DNS 加密使得 DNS 請求在傳輸過程中難以被跟踪或修改。 DNS 請求和響應的加密可保護您免受中間人攻擊,同時執行與傳統明文 DNS(域名系統)協議相同的功能。
在過去的幾年裡,已經實現了兩種 DNS 加密協議:
DNS-over-HTTPS (DoH)
DNS-over-TLS (DoT)
這些協議有一個共同點:它們故意隱藏 DNS 請求以防止任何攔截……以及組織的安全人員。 這些協議主要使用傳輸層安全 (TLS) 協議在發出查詢的客戶端和通過通常不用於 DNS 流量的端口解析 DNS 查詢的服務器之間建立加密連接。
DNS 查詢隱私是這些協議的一大優點。 然而,它們給需要監控網絡流量並檢測和阻止惡意連接的安全人員帶來了問題。 由於協議的實施方式不同,DoH 和 DoT 之間的分析方法也會有所不同。