¿Se puede hundir el tráfico DNS a través de HTTPS (DoH)?
8801
Created On 04/29/22 00:00 AM - Last Modified 08/15/24 09:10 AM
Question
¿Se puede hundir el tráfico DNS a través de HTTPS (DoH)?
Environment
- Cortafuegos de Palo Alto (incluido PA-VM)
- PAN-OS 8.1 y versiones posteriores
- DNS a través de HTTPs
Answer
- DNS a través de HTTPS (DoH) no se puede hundir con o sin descifrado.
- El tráfico de DoH sin descifrado se parece al tráfico TLS/SSL (TCP/443) al cortafuegos y etiquetado con el ID de aplicación de 'SSL'.
- Con el descifrado: DoH debe descifrarse para que el firewall pueda ver y hacer coincidir el tráfico con el ID de aplicación 'dns-over-https' en lugar del ID de aplicación de 'SSL'.
- Si bien las sesiones DoH se pueden descifrar sin pérdida de funcionalidad, los motores de seguridad del firewall no están ajustados para buscar consultas DNS en GET o POST de paquetes HTTP.
- Si bien el firewall de Palo Alto Networks puede identificar la aplicación de 'dns-over-https', no puede realizar hundimiento de DNS ni es compatible con funciones de seguridad de DNS como la función DNS-Proxy.
- Una vez que se establece 'deny' para el ID de aplicación dns sobre https, los clientes deben recurrir a las solicitudes DNS normales, que luego estos paquetes DNS (TCP/UDP 53) se pueden hundir.
Additional Information
- Mejores prácticas según "Protección de organizaciones en un mundo de DoH y DoT"
- "Como práctica recomendada para DoH, recomendamos configurar el NGFW para descifrar el tráfico HTTPS y bloquear el tráfico DoH con el ID de aplicación 'dns-over-https'. En primer lugar, asegúrese de que el NGFW esté configurado para descifrar HTTPS consultando nuestra guía sobre las mejores prácticas de descifrado".
- RFC 8484 (https://datatracker.ietf.org/doc/html/rfc8484)
- Consultas de DNS a través de HTTPS (DoH)