Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Sử dụng sai hoặc lạm dụng DNS qua HTTPS: Cách giữ an toàn

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 977

Firefox và Chrome gần đây đã bắt đầu hỗ trợ các trình phân giải DNS bên ngoài trên đám mây. Việc sử dụng các dịch vụ DNS này bỏ qua các biện pháp kiểm soát mà các tổ chức CNTT doanh nghiệp đưa ra để ngăn người dùng cuối truy cập các điểm đến Internet trái phép.

Vấn đề phức tạp hơn là một số hệ điều hành và trình duyệt nhất định sử dụng các công nghệ mã hóa mới – DNS qua TLS (DoT) và DNS qua HTTPS (DoH) – trong bắt tay phản hồi truy vấn với các dịch vụ DNS trái phép này khiến chúng khó bị chặn hơn.

Lạm dụng DNS qua HTTP

Trong podcast này được ghi tại Hội nghị RSA 2020, Srikrupa Srivatsan, Giám đốc Tiếp thị Sản phẩm tại Thông tin, nói về những xu hướng này và những gì bạn có thể làm để bảo vệ môi trường doanh nghiệp của mình.

Đây là bản ghi của podcast để bạn tiện theo dõi.

Xin chào, tôi là Srikrupa Srivatsan, Giám đốc Tiếp thị Sản phẩm tại Infoblox. Hôm nay tôi sẽ nói về việc lạm dụng hoặc lạm dụng DNS qua HTTPS. Bạn có thể đã nghe hoặc có tin tức gần đây về việc sử dụng DNS qua HTTPS hoặc DNS qua TLS để cải thiện tính riêng tư của các giao tiếp DNS.

DNS, nếu bạn nhìn lại khi nó được phát minh lần đầu tiên, thì nó không được tạo ra hoặc xây dựng với mục đích bảo mật hoặc quyền riêng tư. Đó là một giao thức mở, một giao thức rất đáng tin cậy và là nền tảng của Internet. Chúng tôi sử dụng nó để truy cập các trang web, chúng tôi sử dụng nó cho email, bạn đặt tên cho nó, bất kỳ điều gì xảy ra trực tuyến đều sử dụng DNS. Nhưng vì nó không được xây dựng với bảo mật hoặc quyền riêng tư, điều xảy ra là giao tiếp thực tế giữa thiết bị của bạn, giả sử máy tính xách tay hoặc iPad hoặc bất kỳ thứ gì, với máy chủ DNS đang mở. Nếu có ai đang rình mò, họ sẽ biết chính xác bạn đang truy cập trang web nào.

Điều đó có nghĩa là có một chút vấn đề về quyền riêng tư của người dùng khi ai đó làm điều đó. Để chống lại điều đó, điều đã xảy ra là có hai hướng phát triển mới trên thị trường, DNS qua HTTPS và DNS qua TLS. Chúng nhằm mã hóa giao tiếp giữa điểm cuối và máy chủ DNS đệ quy của bạn. Mặc dù mục đích là tốt và đó là một trường hợp sử dụng hoàn hảo cho người tiêu dùng – ở nhà, truy cập các trang web từ Starbucks, bạn không muốn những kẻ ngẫu nhiên biết bạn đang đi đâu, những thứ như thế. Nó có thể là những kẻ tấn công, những thứ như thế.

Lạm dụng DNS qua HTTP

Tuy nhiên, trong cài đặt doanh nghiệp, khi bạn sử dụng DNS qua TLS hoặc DNS qua HTTPS, điều đó sẽ gây ra sự cố bảo mật. Khi tôi nói bảo mật, ý tôi là, bởi vì trong DNS qua HTTPS hoặc DoH, như tên gọi của nó, các truy vấn DNS được mã hóa và gửi qua giao thức HTTPS, có nghĩa là máy chủ DNS của doanh nghiệp hoàn toàn không nhìn thấy yêu cầu đó. Nó hoàn toàn bị bỏ qua.

Khi máy chủ DNS doanh nghiệp của bạn bị bỏ qua hoàn toàn, quản trị viên CNTT của bạn gặp sự cố. Anh ấy không còn kiểm soát quyền truy cập của bạn vào thế giới bên ngoài, vào internet. Anh ta không còn biết liệu bạn có tuân thủ các chính sách bảo mật của công ty hay không, liệu thiết bị của bạn có đủ an toàn hay không.

Giả sử quản trị viên bảo mật của bạn đã đặt một số kiểm soát trên máy chủ DNS để phát hiện những thứ như đánh cắp dữ liệu hoặc phần mềm độc hại, giao tiếp C&C. Bây giờ, khi máy chủ DNS nội bộ bị bỏ qua, người dùng sẽ mất bảo mật đó. Mặc dù sử dụng trong môi trường người tiêu dùng là tốt, nhưng khi bạn nghĩ về một doanh nghiệp, bạn muốn đảm bảo rằng bạn kiểm soát được nơi người dùng sẽ đến, bạn có thể nhìn thấy nơi người dùng sẽ đến và bạn đang có thể bảo mật nơi người dùng của bạn sẽ đến, những kết nối đó.

Vì vậy, những gì chúng tôi đề xuất hoặc những gì chúng tôi đề xuất như một phương pháp hay nhất, là đảm bảo rằng, thứ nhất, là tránh sử dụng trình phân giải DoH, bởi vì các trình phân giải này nằm ở đâu đó trên internet. Họ không được công ty của bạn hoặc quản trị viên bảo mật của doanh nghiệp hoặc quản trị viên CNTT ủy quyền. Vì vậy, bạn đang kết nối với những thứ mà họ không chấp thuận hoặc họ không cho phép.

Lạm dụng DNS qua HTTP

Ngày nay, nó đang trở thành một vấn đề bởi vì các công ty trình duyệt như Mozilla, mới hôm nay, họ đã công bố một thông cáo báo chí nói rằng theo mặc định, họ đảm bảo rằng tất cả các trình duyệt Firefox đều được bật DoH. Nếu bạn sử dụng Firefox, DoH sẽ tự động được bật. Đó là cài đặt mặc định. Thiết bị, máy tính xách tay của bạn có thể gửi các truy vấn DNS của nó tới trình phân giải DoH ở đâu đó trên internet.

Chúng tôi thấy xu hướng này bởi một số công ty mặc định là DoH. Nó hơi nguy hiểm vì bạn đang bỏ qua DNS nội bộ của mình và bạn đang bỏ qua các biện pháp kiểm soát bảo mật. Những gì chúng tôi đề xuất là đảm bảo rằng bạn đang sử dụng giải pháp DNS nội bộ có thể phát hiện DoH và ngăn các trình duyệt này sử dụng DoH.

Và các bạn có thể đã biết, Infoblox nằm trong không gian bảo mật DNS. Chúng tôi có một giải pháp gọi là Bảo vệ mối đe dọa BloxOne cung cấp bảo mật cơ bản cho những thứ như phát hiện phần mềm độc hại, liên lạc C&C, từ máy tính xách tay của bạn hoặc bất kỳ thiết bị nào. Nó phát hiện việc đánh cắp dữ liệu qua DNS. DNS liên tục được sử dụng để gửi dữ liệu vì các giải pháp DLP hoặc tường lửa thế hệ tiếp theo của bạn không kiểm tra DNS. Đó là một cửa hậu tuyệt vời để lọc dữ liệu. Chúng tôi có thể phát hiện và ngăn chặn điều đó.

Lạm dụng DNS qua HTTP

BloxOne Threat Defense Business On-Premises tích hợp với toàn bộ hệ sinh thái an ninh mạng

Và sau đó, giờ đây chúng tôi cũng đã thêm khả năng ngăn chặn việc sử dụng DoH trong cài đặt doanh nghiệp và làm cho các trình duyệt này quay trở lại DNS nội bộ của bạn một cách duyên dáng, để quản trị viên CNTT và quản trị viên bảo mật giữ quyền kiểm soát. Ngay cả khi bạn mang một thiết bị trong mạng doanh nghiệp của mình và bạn đang sử dụng Firefox, thiết bị đó sẽ quay trở lại DNS nội bộ. Nó sẽ không kết nối với DoH vì chúng tôi có một số nguồn cấp dữ liệu nhất định trong giải pháp của mình cho phép điều đó. Chúng tôi có nguồn cấp dữ liệu DoH cho phép điều đó.

Chắc chắn đó là phương pháp hay nhất mà chúng tôi đề xuất cho tất cả khách hàng của mình và trong các công ty doanh nghiệp nói chung. Đó có thể là giáo dục, dịch vụ tài chính, chính phủ, bán lẻ. Không quan trọng bạn là loại công ty nào. Nếu bạn là một doanh nghiệp có nhiều người dùng và bạn muốn đảm bảo rằng bạn giữ quyền kiểm soát và duy trì khả năng hiển thị nơi họ sẽ đến, đồng thời bạn muốn đảm bảo các chính sách của công ty mình được thực thi, chúng tôi thực sự khuyên bạn nên chặn những loại này Triển khai DNS.

Với điều đó, tôi hy vọng tôi đã cung cấp cho bạn một chút ý tưởng về nhược điểm hoặc nhược điểm của việc sử dụng những thứ như DoH và đảm bảo rằng bạn đang kích hoạt máy chủ DNS của mình an toàn nhất có thể, với các giải pháp như BloxOne Threat Defense từ Infoblox.

Nếu cần thêm thông tin về các giải pháp bảo mật DNS của chúng tôi, bạn có thể truy cập www.infoblox.com. Chúng tôi có một giải pháp, như tôi đã đề cập, có tên là BloxOne Threat Defense cung cấp bảo mật nền tảng mạnh mẽ ở lớp DNS. Cảm ơn bạn.

Nguồn: https://www.helpnetsecurity.com/2020/03/11/dns-over-http-abuse/

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.