Kann DNS-over-HTTPS (DoH)-Datenverkehr mit einem Sinkhole versehen werden?
8801
Created On 04/29/22 00:00 AM - Last Modified 08/15/24 09:10 AM
Question
Kann DNS-over-HTTPS (DoH)-Datenverkehr mit einem Sinkhole versehen werden?
Environment
- Palo Alto Firewalls (einschließlich PA-VM)
- PAN-OS 8.1 und neuer
- DNS über HTTPs
Answer
- DNS über HTTPS (DoH) kann nicht mit oder ohne Entschlüsselung verschlüsselt werden.
- Der Datenverkehr von DoH ohne Entschlüsselung sieht aus wie TLS/SSL-Verkehr (TCP/443) zur Firewall und ist mit der Anwendungs-ID 'SSL' gekennzeichnet.
- Mit Entschlüsselung muss DoH entschlüsselt werden, damit die Firewall den Datenverkehr mit der App-ID "dns-over-https" im Gegensatz zur App-ID "SSL" abgleichen kann.
- Während DoH-Sitzungen ohne Funktionsverlust entschlüsselt werden können, sind die Sicherheits-Engines der Firewall nicht darauf eingestellt, in GET oder POST von HTTP-Paketen nach DNS-Abfragen zu suchen.
- Die Firewall von Palo Alto Networks kann zwar die Anwendung von "dns-over-https" identifizieren, aber sie kann kein DNS-Sinkholing durchführen und wird auch nicht mit DNS-Sicherheitsfunktionen wie der DNS-Proxy-Funktion unterstützt.
- Sobald das 'deny' für die dns-over-https-Anwendungs-ID gesetzt ist, sollten die Clients auf reguläre DNS-Anfragen zurückgreifen, die dann diese DNS-Pakete (TCP/UDP 53) versenken können.
Additional Information
- Best Practice gemäß "Schutz von Organisationen in einer Welt von DoH und DoT"
- "Als Best Practice für DoH empfehlen wir, die NGFW so zu konfigurieren, dass HTTPS-Datenverkehr entschlüsselt und DoH-Datenverkehr mit der App-ID 'dns-over-https' blockiert wird. Stellen Sie zunächst sicher, dass die NGFW für die Entschlüsselung von HTTPS konfiguriert ist, indem Sie unseren Leitfaden zu Best Practices für die Entschlüsselung konsultieren."
- RFC 8484 (https://datatracker.ietf.org/doc/html/rfc8484)
- DNS-Abfragen über HTTPS (DoH)