Firefox ve Chrome kısa süre önce bulutta harici DNS çözümleyicilerini desteklemeye başladı. Bu DNS hizmetlerinin kullanılması, kurumsal BT kuruluşlarının son kullanıcıların yetkisiz İnternet hedeflerini ziyaret etmesini önlemek için uygulamaya koyduğu denetimleri atlar.
Sorunu bir araya getirmek, bazı işletim sistemleri ve tarayıcıların, bu yetkisiz DNS hizmetleriyle engellenmelerini zorlaştıran sorgu yanıt el sıkışmasında TLS (DoT) üzerinden DNS ve HTTPS üzerinden DNS (DoH) gibi yeni şifreleme teknolojileri kullanmasıdır.
Adresinde kaydedilen bu podcast'te RSA Konferansı 2020, Srikrupa Srivatsan, Ürün Pazarlama Direktörü Infoblox, bu eğilimler ve kurumsal ortamınızı korumak için neler yapabileceğiniz hakkında konuşur.
Rahatınız için podcast'in bir transkripti.
Merhaba, ben Infoblox'ta Ürün Pazarlama Direktörü Srikrupa Srivatsan. Bugün HTTPS üzerinde DNS kötüye kullanımı veya kötüye kullanımı hakkında konuşacağım. DNS iletişiminin gizliliğini artırmak için HTTPS üzerinden DNS veya TLS üzerinden DNS kullanımı hakkında bir şeyler duymuş veya duymuş olabilirsiniz.
DNS, ilk icat edildiğinde geriye bakarsanız, güvenlik veya gizlilik göz önünde bulundurularak oluşturulmamış veya oluşturulmamıştır. Bu açık bir protokol, çok güvenilir bir protokol ve internet için temel. Web sitelerine erişmek için kullanıyoruz, e-posta için kullanıyoruz, adlandırıyorsunuz, çevrimiçi olan her şey DNS kullanıyor. Ancak güvenlik veya gizlilikle inşa edilmediğinden, cihazınız arasındaki gerçek iletişim, diyelim ki bir dizüstü bilgisayar veya iPad veya her neyse, DNS sunucusuna açık. Herhangi biri gözetliyorsa, tam olarak hangi web sitelerine eriştiğinizi bilir.
Bunun anlamı, birisi bunu yaptığında biraz kullanıcı gizliliği sorunu olmasıdır. Buna karşılık, pazarda iki yeni gelişme var: HTTPS üzerinden DNS ve TLS üzerinden DNS. Bunlar, uç nokta ile özyinelemeli DNS sunucunuz arasındaki iletişimi şifrelemek içindir. Niyet iyi olsa da ve tüketiciler için mükemmel bir kullanım örneği olsa da - evde, Starbucks'tan web sitelerine erişirken, rastgele adamların nereye gideceğinizi, bunun gibi şeyleri bilmesini istemezsiniz. Saldırganlar, bunun gibi şeyler olabilir.
Ancak kurumsal bir ortamda TLS üzerinden DNS veya HTTPS üzerinden DNS kullandığınızda güvenlik sorunlarına neden olur. Güvenlik dediğimde, HTTPS veya DoH üzerinden DNS'de, DNS sorguları şifrelenir ve HTTPS protokolü üzerinden gönderilir, bu da kurumsal DNS sunucusunun bu isteği hiç görmediği anlamına gelir. Tamamen atlandı.
Kurumsal DNS sunucunuz tamamen atlandığında, BT yöneticinizde bir sorun vardır. Artık dış dünyaya, internete erişiminizi kontrol etmiyor. Artık şirketin güvenlik politikalarına uygun olup olmadığınızı, cihazınızın yeterince güvenli olup olmadığını bilmiyor.
Güvenlik yöneticinizin, veri hırsızlığı veya kötü amaçlı yazılım, C&C iletişimleri gibi şeyleri tespit etmek için DNS sunucusuna bazı kontroller koyduğunu varsayalım. Şimdi, dahili DNS sunucusu atlandığında, kullanıcı için bu güvenlik kaybedilir. Yine de bir tür tüketici ortamında kullanmak iyidir, ancak bir işletme hakkında düşündüğünüzde, kullanıcıların nereye gittiğini kontrol ettiğinizden emin olmak istersiniz, kullanıcıların nereye gittiğine dair görünürlük elde edersiniz ve kullanıcılarınızın nereye gittiğini, bu bağlantıları güvence altına alabilir.
Bunun için önerdiğimiz veya en iyi uygulama olarak önerdiğimiz şey, bir numaralı DoH çözümleyicilerini kullanmaktan kaçınmaktır, çünkü bu çözümleyiciler internette bir yerde oturuyor. Şirketiniz, kuruluşun güvenlik yöneticisi veya BT yöneticisi tarafından yetkilendirilmemişlerdir. Yani, onaylamadıkları veya yetkilendirmedikleri şeylerle bağlantı kuruyorsunuz.
Bugünlerde bir sorun haline geliyor çünkü Mozilla gibi tarayıcı şirketleri, bugün, tüm Firefox tarayıcılarının DoH'ın etkin olduğundan emin olduklarını varsayılan olarak belirten bir basın açıklaması yaptılar. Firefox kullanıyorsanız, otomatik olarak DoH etkinleştirilir. Bu varsayılan ayardır. Cihazınız, dizüstü bilgisayarınız DNS sorgularını internette bir yerde bir DoH çözümleyicisine gönderebilir.
Bu eğilimi belirli şirketler tarafından DoH'ye varsayılan olarak görüyoruz. Biraz tehlikelidir, çünkü dahili DNS'inizi atlıyorsunuz ve güvenlik denetimlerini atlıyorsunuz. Önerdiğimiz, DoH'ı algılayabilen ve bu tarayıcıların DoH kullanmasını engelleyebilen dahili bir DNS çözümü kullandığınızdan emin olmaktır.
Ve biliyor olabilirsiniz, Infoblox DNS güvenlik alanında. Adlı bir çözümümüz var BloxOne Tehdit Savunması Bu, dizüstü bilgisayarlarınızdan veya herhangi bir cihazdan kötü amaçlı yazılımları, C&C iletişimlerini algılama gibi şeyler için temel güvenlik sağlar. DNS üzerinden veri hırsızlığını algılar. DLP çözümleriniz veya yeni nesil güvenlik duvarlarınız DNS'yi incelemediğinden, DNS sürekli olarak veri göndermek için kullanılır. Veri sızdırmak için harika bir arka kapı. Bunu tespit edip engelleyebiliriz.
BloxOne Tehdit Savunma İş Yerinde İşletme, tüm siber güvenlik ekosistemiyle bütünleşir
Ve sonra şimdi bir kurumsal ortamda DoH kullanımını önleme ve bu tarayıcıların dahili DNS'nize geri dönmesini sağlama yeteneği ekledik, böylece BT yöneticileri ve güvenlik yöneticileri kontrolü elinde tutuyor. Kurumsal ağınızda bir cihaz getirseniz ve Firefox kullansanız bile, dahili DNS'ye geri döner. DoH'ye bağlanmayacaktır, çünkü çözümümüzde bunu sağlayan belirli beslemeler var. Bunu sağlayan DoH yayınlarımız var.
Kesinlikle bu, tüm müşterilerimize ve genel kurumsal şirketlere önerdiğimiz en iyi uygulamadır. Eğitim, finansal hizmetler, hükümet, perakende olabilir. Ne tür bir şirket olduğunuz önemli değil. Çok sayıda kullanıcısı olan bir kuruluşsanız ve nereye gittiklerini kontrol altında tuttuğunuzdan ve görünürlüğünü koruduğunuzdan emin olmak istiyorsanız ve şirketinizin politikalarının uygulandığından emin olmak istiyorsanız, bu tür DNS uygulamaları.
Bununla, umarım size DoH gibi şeyleri kullanmanın olumsuz yönleri veya düşüşleri hakkında bir fikir verdim ve BloxOne Tehdit Savunması gibi çözümlerle DNS sunucunuzun olabildiğince güvenli olmasını sağladığınızdan emin olun. Infoblox'tan.
DNS güvenlik çözümlerimiz hakkında daha fazla bilgiye ihtiyacınız varsa şu adresi ziyaret edebilirsiniz: www.infoblox.com. Bahsettiğim gibi, DNS katmanında sağlam temel güvenliği sağlayan BloxOne Tehdit Savunması adlı bir çözümümüz var. Teşekkür ederim.
Kaynak: https://www.helpnetsecurity.com/2020/03/11/dns-over-http-abuse/
