Le trafic DNS sur HTTPS (DoH) peut-il être un gouffre ?
8805
Created On 04/29/22 00:00 AM - Last Modified 08/15/24 09:10 AM
Question
Le trafic DNS sur HTTPS (DoH) peut-il être un gouffre ?
Environment
- Pare-feu Palo Alto (y compris PA-VM)
- PAN-OS 8.1 et versions ultérieures
- DNS sur HTTPs
Answer
- Le DNS sur HTTPS (DoH) ne peut pas être verrouillé avec ou sans déchiffrement.
- Le trafic de DoH sans déchiffrement ressemble au trafic TLS/SSL (TCP/443) vers le pare-feu et marqué avec l'ID d'application 'SSL'.
- Avec le déchiffrement : le DoH doit être déchiffré afin que le pare-feu puisse voir et faire correspondre le trafic à l'ID d'application « dns-over-https » par opposition à l'ID d'application « SSL ».
- Bien que les sessions DoH puissent être déchiffrées sans perte de fonctionnalité, les moteurs de sécurité du pare-feu ne sont pas réglés pour rechercher les requêtes DNS dans GET ou POST des paquets HTTP.
- Bien que le pare-feu de Palo Alto Networks puisse identifier l'application de « dns-over-https », il ne peut pas effectuer de sinkholing DNS ni être pris en charge par les fonctionnalités de sécurité DNS telles que la fonction DNS-Proxy.
- Une fois que le 'deny' est défini pour l'ID d'application dns-over-https, les clients doivent se rabattre sur les requêtes DNS normales, qui peuvent ensuite être supprimées par ces paquets DNS (TCP/UDP 53).
Additional Information
- Meilleures pratiques selon « Protéger les organisations dans un monde de DoH et de DoT »
- « En tant que bonne pratique pour le DoH, nous recommandons de configurer le pare-feu de nouvelle génération pour déchiffrer le trafic HTTPS et bloquer le trafic DoH avec l’ID d’application « dns-over-https ». Tout d’abord, assurez-vous que le pare-feu de nouvelle génération est configuré pour déchiffrer HTTPS en consultant notre guide sur les meilleures pratiques de déchiffrement.
- RFC 8484 (https://datatracker.ietf.org/doc/html/rfc8484)
- Requêtes DNS sur HTTPS (DoH)