DNS-over-TLS（DoT）およびDNS-over-HTTPS（DoH）を使用するリスクを最小限に抑える

DoHおよびDoT保護

DNSトラフィックを管理していますか？組織は、ネットワークの保護に多くの時間、お金、労力を費やしています。ただし、見落とされがちな領域の1つはDNSです。

DNSによってもたらされるリスクの概要は、InfosecurityカンファレンスでのVerisignのプレゼンテーションです。

. Palo Alto Networks Unit 42, 85% DNS , , . DNS NGFW. 

DNS, DNS . . DNS-. DNS, , . , , DNS . . Garmin, ,  10 .

NGFW DNS-over-TLS (DoT) DNS-over-HTTPS (DoH), DNS .

DNS?

DNS , . DNS DNS- . DNS Man-in-the-Middle, , DNS ( ) . 

DNS:

1. DNS-over-HTTPS (DoH)

2. DNS-over-TLS (DoT)

: DNS- ... . TLS (Transport Layer Security) , , , DNS, , DNS.

DNS . , , . , DoH DoT.

DNS over HTTPS (DoH)

DoH 443 HTTPS, RFC , , « DoH HTTPS », « DNS» , , ( RFC 8484 DoH, 8.1 ). DoH TLS , HTTPS HTTP/2, DNS HTTP.

, DoH

HTTPS- DoH, ( ) DNS, DoH, , DNS . DoH HTTPS. 

 Google, Mozilla DoH  , DoH DNS. Microsoft   DoH . , - , DoH . ( , : PsiXBot Google DoH , PsiXBot DNS   Godlua .) , , DoH , DoH (C2) .

DoH

DoH NGFW HTTPS DoH ( : dns-over-https). 

-, , NGFW HTTPS,   .

-, «dns-over-https», :

( HTTPS) NGFW «» «dns-over-https», DoH , HTTPS DoH (.  Applipedia Palo Alto Networks   «dns-over-https»).

DNS over TLS (DoT)

DoH , DoT , , DNS ( RFC 7858 , 3.1 ).

DoT TLS , DNS, , 853 ( RFC 7858, 6 ).  DoT , , , .

, DoT

Google DoT  Android 9 Pie  , DoT, . DoT , , 853 .

DoT

DoT , :

• 宛先ポート853のすべてのトラフィックを復号化するようにNGFWを構成します。トラフィックを復号化することにより、DoTはDNSアプリケーションとして表示され、 DGAドメインまたは既存のDNSシンクホールとアンチを制御するためにPalo Alto Networks DNSSecurity サブスクリプションを 有効にするなどのアクションを実行できます。  -スパイウェア。

• または、App-IDエンジンは、ポート853の「dns-over-tls」トラフィックを完全にブロックできます。通常、デフォルトでブロックされます。アクションは不要です（「dns-over-tls」アプリケーションまたはポートのトラフィックを特に許可しない限り）。 853）。