基于 HTTPS 的 DNS (DoH) 流量是否可以下沉?

基于 HTTPS 的 DNS (DoH) 流量是否可以下沉?

8741
Created On 04/29/22 00:00 AM - Last Modified 08/15/24 09:10 AM


Question


基于 HTTPS 的 DNS (DoH) 流量是否可以下沉?  

Environment


  • Palo Alto 防火墙(包括 PA-VM)
  • PAN-OS 8.1 及更高版本
  • 基于 HTTP 的 DNS

Answer


  1. 无论是否解密,基于 HTTPS 的 DNS (DoH) 都无法下沉。
  2. 未经解密的 DoH 流量看起来像到防火墙的 TLS/SSL 流量 (TCP/443),并标记为“SSL”的应用程序 ID。
  3. 使用解密 - 需要对 DoH 进行解密,以便防火墙可以看到流量并将其匹配到 App-ID“dns-over-https”,而不是“SSL”的 App-ID。
  4. 虽然 DoH 会话能够在不丢失功能的情况下解密,但防火墙的安全引擎不会调整为在 HTTP 数据包的 GET 或 POST 中查找 DNS 查询。
  5. 虽然Palo Alto Networks防火墙可以识别“dns-over-https”的应用程序,但它不能执行DNS沉洞,也不支持DNS安全功能,如DNS代理功能。
  6. 为 dns-over-https 应用程序 ID 设置“拒绝”后,客户端应回退到常规 DNS 请求,然后这些 DNS 数据包 (TCP/UDP 53) 可以沉没。

Additional Information


  • 根据“在 DoH 和 DoT 世界中保护组织”的最佳实践
  • “作为 DoH 的最佳实践,我们建议将 NGFW 配置为解密 HTTPS 流量,并使用 App-ID 'dns-over-https'阻止 DoH 流量。 首先,通过查阅我们的解密最佳实践指南,确保将 NGFW 配置为解密 HTTPS。
  • RFC 8484 (https://datatracker.ietf.org/doc/html/rfc8484)
  • 通过 HTTPS 的 DNS 查询 (DoH)
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oNloCAE&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language