DNS over HTTPS(DoH)トラフィックをシンクホール化できますか?

8791

Created On 04/29/22 00:00 AM - Last Modified 08/15/24 09:10 AM

Question

DNS over HTTPS(DoH)は、復号化の有無にかかわらずシンクホール化できません。
復号化なしのDoHのトラフィックは、ファイアウォールへのTLS/SSLトラフィック(TCP/443)のようになり、「SSL」のアプリケーションIDでタグ付けされます。
復号化あり:ファイアウォールがトラフィックを「SSL」のApp-ID「dns-over-https」ではなく「dns-over-https」に表示して照合できるように、DoHを復号化する必要があります。
DoHセッションは機能を損なうことなく復号化できますが、ファイアウォールのセキュリティエンジンは、HTTPパケットのGETまたはPOSTでDNSクエリを検索するように調整されていません。
パロアルトネットワークスのファイアウォールは「dns-over-https」のアプリケーションを識別できますが、DNSシンクホールを実行することはできず、DNSプロキシ機能などのDNSセキュリティ機能でサポートすることもできません。
dns-over-httpsアプリケーションIDに「拒否」が設定されると、クライアントは通常のDNSリクエストにフォールバックし、これらのDNSパケット(TCP/UDP 53)をシンクホール化できます。

「Protecting Organizations in a World of DoH and DoT」によるベストプラクティス
「DoHのベストプラクティスとして、HTTPSトラフィックを復号化し、App-ID「dns-over-https」でDoHトラフィックをブロックするようにNGFWを設定することをお勧めします。まず、復号化のベストプラクティスに関するガイドを参照して、NGFWがHTTPSを復号するように設定されていることを確認します。
RFC 8484 (https://datatracker.ietf.org/doc/html/rfc8484) (英語)
HTTPS 経由の DNS クエリ (DoH)