跳至主要内容
简体中文

DNS over HTTPS (DoH): 对公共 WiFi 过滤的影响

本技术参考指南解释了 DNS over HTTPS (DoH) 如何绕过公共 WiFi 网络上的传统端口 53 内容过滤。它为网络架构师和 IT 经理提供了可操作的、供应商中立的缓解策略,以重新获得可见性、执行合规性并在企业环境中保护访客访问。

📖 6 分钟阅读📝 1,392 🔧 2 应用实例3 练习题📚 8 关键定义

收听本指南

查看播客转录
欢迎收听 Purple 技术简报。我是今天会议的主持人,在接下来的十分钟里,我们将讨论一个正在悄悄破坏数千个公共 WiFi 部署内容过滤策略的话题——DNS over HTTPS,简称 DoH。 如果您在酒店、零售物业、体育场馆或公共部门设施运行访客 WiFi,并且没有在网络架构中专门处理 DoH,那么您的过滤策略很可能存在重大漏洞。让我们详细分析这个漏洞是什么、为什么重要以及可以采取什么措施。 第一部分——背景和问题陈述。 首先快速回顾传统 DNS 过滤的工作原理,因为理解绕过机制需要理解被绕过的是什么。 当访客设备连接到您的 WiFi 并尝试访问网站时,它做的第一件事就是发送 DNS 查询——本质上是询问该域名的 IP 地址是什么?该查询通过 UDP 或 TCP 在端口 53 上传输。您的网络基础设施拦截该查询,将其路由到您选择的 DNS 解析器,该解析器根据您的过滤策略检查域名。如果该域名在阻止列表中——恶意软件、成人内容、赌博,无论您的可接受使用策略指定什么——解析器拒绝返回 IP 地址,连接就不会发生。 这是每个基于 DNS 的内容过滤部署的基础。它成本效益高,不影响吞吐量,并且十年来一直是场馆运营商的标准方法。 DNS over HTTPS 打破了这一模式。以下是具体方式。 DoH 将 DNS 查询封装在端口 443 的标准 HTTPS 流量中。从您的网络角度来看,它看起来与任何其他加密网络流量完全相同。无法区分 DoH 查询与用户加载网页、流式传输视频或访问银行应用。查询直接传送到外部 DoH 解析器——Google 的 8.8.8.8、Cloudflare 的 1.1.1.1 或任意数量的其他解析器——通过您的 DNS 过滤器无法检查的加密通道。 结果呢?您精心配置的 DNS 过滤策略被完全绕过。设备直接解析域名,而您的解析器从未看到查询。 现在,这不是访客的蓄意攻击。在大多数情况下,这是完全被动的。Firefox 自 2020 年起默认启用 DoH。Chrome 会在检测到配置的解析器支持 DoH 时自动将 DNS 查询升级为 DoH。Android 9 及更高版本默认支持带有 DNS over TLS 的私人 DNS。iOS 从 iOS 14 开始支持 DoH 配置文件。这些都是主流消费设备,按照制造商的意图运行。您的访客并非试图绕过您的过滤。他们的设备只是在自动执行。 第二部分——技术深入探讨。 让我们深入了解机制。在现场会遇到两种主要的 DoH 实施模式。 第一种是应用级 DoH,其中应用程序(通常是浏览器)独立于操作系统的 DNS 设置维护自己的 DoH 配置。Firefox 是典型例子。安装 Firefox 并启用 DoH 后,它会完全忽略系统 DNS 解析器,并将所有 DNS 查询发送到其配置的 DoH 提供商,默认是 Cloudflare。您通过 DHCP 分配的 DNS 服务器变得无关紧要。您的端口 53 拦截规则也无关紧要。Firefox 在端口 443 上进行完全独立的 DNS 对话,您无法看到。 第二种模式是操作系统级 DoH,其中操作系统本身处理升级。Chrome 和 Windows 10 及 11 采用这种方法。它们检查系统的配置 DNS 解析器(由您的 DHCP 服务器分配的那个)是否具有对应的 DoH 端点。如果有,它们会自动升级到 DoH。这称为机会性 DoH。如果您将 8.8.8.8 分配给访客 DNS 服务器,Chrome 将自动使用 Google 的 DoH 端点。如果您分配 1.1.1.1,它将使用 Cloudflare 的 DoH 端点。 这一区别对您的缓解策略很重要,我们稍后会讨论。 还有一个值得提及的向量:DNS over TLS,即 DoT。它运行在端口 853 上,使用 TLS 加密 DNS 查询,而不是将其封装在 HTTPS 中。它比 DoH 更容易阻止,因为它使用专用端口,但在启用私人 DNS 的 Android 设备上越来越常见。您的缓解策略需要同时解决这两个问题。 现在让我们谈谈为什么这是一个合规性和运营风险,而不仅仅是技术上的好奇。 根据 GDPR,如果您的可接受使用策略声明您过滤某些类别的内容,而您的技术控制实际上并未强制执行该策略,那么您所声明的数据保护和内容治理承诺与实际技术实施之间存在差距。如果您面临监管查询或事件,这就是可辩护性问题。 根据英国《在线安全法》,提供公共互联网访问的场馆运营商有义务保护用户(尤其是未成年人)免受有害内容侵害。如果 DoH 悄悄绕过您的内容过滤,您可能无法履行这些义务。 对于属于 PCI DSS 范围的场馆——尤其是支付卡数据流经与访客 WiFi 相邻网络的那些场馆——PCI DSS 版本 4.0 要求您监控和控制 DNS 流量,作为网络安全控制的一部分。不受监控的 DoH 流量是该控制框架中的一个漏洞。 从纯粹的安全角度来看,DoH 已被恶意软件积极利用。威胁行为者已将 DoH 用作命令和控制通道,因为它融入正常的 HTTPS 流量中。GodLua 后门使用 DoH 进行命令和控制通信。PsiXBot 恶意软件使用 Google 的 DoH 服务。如果您的安全监控依赖于 DNS 可见性来检测恶意活动,那么 DoH 盲点就是真正的威胁。 第三部分——实施建议。 好的,让我们进入实际部分。有三种主要的缓解策略,在大多数场馆部署中,您需要结合使用这三种策略。 策略一:在防火墙上阻止已知的 DoH 解析器端点。 这是您的第一道防线,也是最可立即部署的选项。维护一个已知 DoH 解析器 IP 地址和域名的阻止列表——Google、Cloudflare、Quad9、NextDNS、AdGuard 等——并从您的访客 VLAN 拒绝对这些端点的出站 HTTPS 流量。IETF 和各种安全供应商发布并维护这些列表。GitHub 上的 curl 项目维护了一份已知 DoH 解析器的综合列表,这是一个很好的起点。 这种方法处理了大多数 DoH 流量,因为正如卡内基梅隆大学软件工程研究所的研究表明,大多数 DoH 流量都流向少数知名的解析器。对 DNS 足够了解以配置自定义 DoH 解析器的用户是极少数。 这种方法的局限性在于它是一个阻止列表,而阻止列表需要维护。新的 DoH 解析器会定期出现。但结合其他策略,它可以提供坚实的覆盖。 策略二:在下一代防火墙上进行 TLS 检查。 来自 Palo Alto Networks、Fortinet、Check Point 和 Cisco Firepower 等供应商的下一代防火墙支持 TLS 检查,也称为 SSL 检查或深度数据包检查。启用后,防火墙充当 HTTPS 流量的中间人,解密流量,检查有效载荷,并在转发前重新加密。这使得防火墙能够识别 DoH 流量,即使它要发送到未知的解析器。 Palo Alto 的 App-ID 可以专门识别 DoH 流量并对其应用策略。Fortinet 的 FortiGate 具有类似功能。关键的配置步骤是确保您的访客 VLAN 流量通过检查策略进行路由。 这里的操作考虑是证书信任。要使 TLS 检查在访客设备上起作用,这些设备需要信任您的检查证书。在受管理的企业设备上,这很简单——您通过 MDM 推送证书。在不受管理的访客设备上,情况更复杂。访客 WiFi 的实用方法是使用 captive portal 接受流程通知用户,流量可能会被检查用于内容过滤目的,并依赖 DoH 解析器阻止和 DNS 拦截的组合作为主要控制措施,将 TLS 检查作为高风险环境的辅助层。 策略三:强制 DNS 拦截和重定向。 配置您的防火墙或无线控制器,以拦截 UDP 和 TCP 端口 53 上的所有出站 DNS 流量,并将其重定向到您的合规 DNS 解析器。这并不能阻止 DoH,但它确保任何回退到端口 53 的 DNS 流量(因为 DoH 失败或不可用)都会被捕获并过滤。 结合阻止从访客 VLAN 出站的端口 853,以防止 DNS over TLS 绕过您的控制。 对于受管理的端点——公司设备、员工设备——您还有一个额外选择:组策略或 MDM 配置,在浏览器和操作系统级别禁用 DoH。在 Firefox 中,将 network.trr.mode 首选项设置为 5 完全禁用 DoH。在 Chrome 中,disable-features 等于 DnsOverHttps 标志可实现相同效果。Windows 10 和 11 有组策略设置来控制 DoH 行为。这是对受管理设备最可靠的控制,但不适用于不受管理的访客设备。 第四部分——实施陷阱。 在部署中经常出现的一些问题。 最常见的故障模式是端口 53 拦截不完整。团队正确配置了 DNS 过滤服务,但忘记添加重定向所有出站端口 53 流量的防火墙规则。具有硬编码 DNS 设置的设备(8.8.8.8、1.1.1.1)完全绕过过滤器。始终验证此规则是否存在,并通过配置带有硬编码 DNS 服务器的测试设备并确认过滤域名仍被阻止来进行测试。 第二个常见故障是没有考虑 IPv6。通过 IPv6 的 DNS 查询越来越常见,而许多防火墙规则仅针对 IPv4 编写。确保您的端口 53 拦截和 DoH 解析器阻止列表覆盖 IPv4 和 IPv6 地址。 第三:陈旧的 DoH 解析器阻止列表。如果您维护一个静态的 DoH 解析器 IP 阻止列表,它将变得过时。自动化更新过程或使用为您维护此列表的 DNS 过滤服务。Cloudflare Gateway、Cisco Umbrella 和类似的企业 DNS 服务包括 DoH 绕过检测作为托管功能。 第四:过度依赖单一缓解层。DoH 缓解是一个纵深防御问题。没有任何单一控制是足够的。阻止已知解析器处理大多数情况。TLS 检查处理边缘情况。DNS 拦截提供安全网。将这三者叠加。 第五部分——快速问答。 DoH 缓解是否会破坏合法的隐私工具?有可能。如果用户运行的是合法的注重隐私的浏览器配置,您的 DoH 阻止将迫使他们使用您的 DNS 解析器。您的可接受使用政策应明确说明,场馆的 DNS 解析器用于内容过滤目的。这是标准做法,在法律上是可辩护的。 DoH 能否被用来从我的网络中窃取数据?是的,这是一个真正的威胁向量。通过 DoH 的 DNS 隧道已经在野外得到证实。您的下一代防火墙的 DoH 检测功能应包括异常检测,以识别异常高的查询量或与隧道一致的查询模式。 使用 DoH 的移动应用呢?这是最棘手的情况。实现自己的 DoH 堆栈(而不是使用操作系统的 DNS 设置)的移动应用在没有 TLS 检查的情况下难以控制。您的最佳缓解措施是已知解析器阻止和 TLS 检查的组合。 WPA3 与此相关吗?WPA3 改善了无线加密并提供前向保密,这对访客隐私非常有利。但 WPA3 不解决 DoH——那是第 7 层应用协议问题,而不是第 2 层无线安全问题。它们是针对不同威胁向量的互补控制。 第六部分——ROI 和业务影响。 让我以正确解决此问题的业务案例作为结束。 不解决 DoH 的成本是不对称的。一起单一事件——访客在您的网络上访问非法内容,由于 DNS 监控存在盲点而未检测到的恶意软件回拨,对内容过滤合规性的监管查询——可能比适当缓解的投资成本高出许多。 对于在 20 个物业运营的酒店集团,部署 DoH 缓解通常需要一次性的配置工作,每个物业需要两到四个小时进行防火墙规则和 DNS 拦截配置,加上维护解析器阻止列表的持续运营开销——如果您使用托管 DNS 过滤服务,这在很大程度上是自动化的。总投资相对于风险降低来说是适度的。 对于根据 PCI DSS 运营的零售连锁店,合规收益是直接可量化的。证明您的网络安全控制包括 DoH 缓解,会降低 PCI DSS 审计发现及相关补救成本的风险。 对于公共部门场馆和根据《在线安全法》运营的场馆,文档化的 DoH 缓解是您证据库的一部分,证明您已采取合理的技术步骤来执行内容过滤政策。 底线:DoH 不是未来的问题。它是当前的问题。Firefox、Chrome、Android 和 iOS 都正在向您的访客设备提供支持 DoH 的配置。如果您在过去 12 个月内没有审计过 DNS 过滤架构中的 DoH 绕过向量,那么该审计应列入您的近期路线图。 总结今天简报的关键要点。 第一:DoH 将 DNS 查询加密在端口 443 的 HTTPS 中,使其对传统的端口 53 DNS 过滤不可见。这正在主流浏览器和操作系统上默认发生。 第二:三层缓解策略——阻止已知 DoH 解析器 IP,在下一代防火墙上实施 TLS 检查,并强制端口 53 拦截——为受管理和不受管理的访客设备提供纵深防御覆盖。 第三:这是一个合规性问题,而不仅仅是技术问题。GDPR、《在线安全法》和 PCI DSS 都对 DoH 悄悄绕过内容过滤政策的场馆产生影响。 第四:最常见的实施失败是端口 53 拦截不完整。测试它。验证它。不要假设它在工作。 第五:托管 DNS 过滤服务——Cloudflare Gateway、Cisco Umbrella 等——越来越多地将 DoH 绕过检测作为托管功能,这减少了维护静态阻止列表的运营开销。 今天的 Purple 技术简报到此结束。如果您希望审计当前的 DNS 过滤架构或在您的场馆资产中实施 DoH 缓解,Purple 平台提供网络智能和访客 WiFi 管理层来支持该部署。感谢收听,我们下期再见。

header_image.png

এক্সিকিউটিভ সামারি

প্রায় এক দশক ধরে, পোর্ট 53-এ প্রথাগত DNS ফিল্টারিং পাবলিক WiFi নেটওয়ার্কগুলোতে কন্টেন্ট পলিসি প্রয়োগ এবং ম্যালওয়্যার হুমকি প্রশমিত করার প্রাথমিক মেকানিজম হিসেবে কাজ করেছে। তবে, মূলধারার ব্রাউজার এবং অপারেটিং সিস্টেমগুলোর দ্বারা DNS over HTTPS (DoH)-এর ব্যাপক গ্রহণ এই মডেলটিকে মৌলিকভাবে ব্যাহত করে। পোর্ট 443-এ স্ট্যান্ডার্ড HTTPS ট্রাফিকের মধ্যে DNS কোয়েরিগুলোকে এনক্যাপসুলেট করার মাধ্যমে, DoH এই কোয়েরিগুলোকে প্রথাগত নেটওয়ার্ক ইন্টারসেপশন কৌশলগুলোর কাছে অদৃশ্য করে তোলে।

এন্টারপ্রাইজ আইটি ম্যানেজার এবং নেটওয়ার্ক আর্কিটেক্ট যারা Hospitality , Retail , স্টেডিয়াম এবং পাবলিক-সেক্টর ভেন্যুগুলোতে গেস্ট WiFi পরিচালনা করেন, তাদের জন্য এটি একটি উল্লেখযোগ্য কমপ্লায়েন্স এবং সিকিউরিটি গ্যাপ তৈরি করে। যখন গেস্ট ডিভাইসগুলো নীরবে ভেন্যুর নির্ধারিত DNS রিভলভারগুলোকে বাইপাস করে, তখন সতর্কতার সাথে তৈরি করা গ্রহণযোগ্য ব্যবহারের পলিসিগুলো ব্যর্থ হয়, যা নেটওয়ার্কটিকে কমান্ড-অ্যান্ড-কন্ট্রোল (C2) ম্যালওয়্যার ট্রাফিক এবং অনুপযুক্ত কন্টেন্টের সম্মুখীন করে। এই গাইডটি DoH বাইপাস ভেক্টরের মেকানিক্স বিস্তারিতভাবে বর্ণনা করে এবং নেটওয়ার্ক ভিজিবিলিটি পুনরুদ্ধার, রেগুলেটরি কমপ্লায়েন্স নিশ্চিত করতে এবং শক্তিশালী Guest WiFi সিকিউরিটি বজায় রাখতে একটি স্তরযুক্ত, ডিফেন্স-ইন-ডেপথ আর্কিটেকচার প্রদান করে।

টেকনিক্যাল ডিপ-ডাইভ: DoH বাইপাস মেকানিজম

DoH থ্রেট ভেক্টর বুঝতে হলে, প্রথমে প্রথাগত DNS ফিল্টারিংয়ের বেসলাইন আর্কিটেকচার পরীক্ষা করতে হবে। ঐতিহাসিকভাবে, যখন কোনো গেস্ট ডিভাইস পাবলিক নেটওয়ার্কে কানেক্ট করে কোনো ডোমেইনের জন্য রিকোয়েস্ট করত, তখন কোয়েরিটি প্লেইনটেক্সটে UDP বা TCP পোর্ট 53-এর মাধ্যমে ট্রান্সমিট হতো। নেটওয়ার্ক অ্যাডমিনিস্ট্রেটররা সহজেই ফায়ারওয়াল বা ওয়্যারলেস কন্ট্রোলারে এই ট্রাফিক ইন্টারসেপ্ট করতে পারতেন এবং এটিকে একটি কমপ্লায়েন্ট DNS রিভলভারের দিকে রিডাইরেক্ট করতে পারতেন, যা থ্রেট ইন্টেলিজেন্স ফিড এবং কন্টেন্ট ক্যাটাগরাইজেশন পলিসির বিপরীতে রিকোয়েস্ট করা ডোমেইনটি চেক করত।

DNS over HTTPS এই সম্পূর্ণ কন্ট্রোল প্লেনটিকে এড়িয়ে যায়। ডিজাইন অনুযায়ী, DoH DNS কোয়েরিটিকে এনক্রিপ্ট করে এবং পোর্ট 443-এ স্ট্যান্ডার্ড TLS এনক্রিপশন ব্যবহার করে একটি এক্সটার্নাল রিভলভারের (যেমন Cloudflare-এর 1.1.1.1 বা Google-এর 8.8.8.8) কাছে ট্রান্সমিট করে। ভেন্যুর নেটওয়ার্ক ইনফ্রাস্ট্রাকচারের দৃষ্টিকোণ থেকে, একটি DoH কোয়েরি এবং একজন ব্যবহারকারীর সুরক্ষিত ওয়েবসাইট ব্রাউজ করা বা ভিডিও স্ট্রিম করার মধ্যে কোনো পার্থক্য করা যায় না।

ইমপ্লিমেন্টেশন প্যাটার্ন: অ্যাপ্লিকেশন বনাম OS-লেভেল DoH

বিভিন্ন প্ল্যাটফর্মে DoH কীভাবে ইমপ্লিমেন্ট করা হয়, তার কারণে নেটওয়ার্ক অ্যাডমিনিস্ট্রেটরদের জন্য চ্যালেঞ্জ আরও বেড়ে যায়। এর দুটি প্রাথমিক ডিপ্লয়মেন্ট প্যাটার্ন রয়েছে:

  1. অ্যাপ্লিকেশন-লেভেল DoH: এই মডেলে, অ্যাপ্লিকেশনটি হোস্ট অপারেটিং সিস্টেম থেকে স্বাধীনভাবে তার নিজস্ব DoH কনফিগারেশন বজায় রাখে। Mozilla Firefox এর একটি আদর্শ উদাহরণ; যখন DoH এনাবল করা থাকে, তখন Firefox DHCP-অ্যাসাইন করা DNS সার্ভারগুলোকে উপেক্ষা করে এবং সমস্ত কোয়েরি তার পছন্দের DoH প্রোভাইডারের কাছে রাউট করে। ভেন্যুর পোর্ট 53 ইন্টারসেপশন রুলগুলো সম্পূর্ণভাবে বাইপাস হয়ে যায়।
  2. OS-লেভেল (অপারচুনিস্টিক) DoH: Windows 11 এবং Android সহ আধুনিক অপারেটিং সিস্টেমগুলো অপারচুনিস্টিক DoH ব্যবহার করে। OS চেক করে যে DHCP-অ্যাসাইন করা DNS রিভলভারের কোনো পরিচিত DoH এন্ডপয়েন্ট আছে কি না। যদি কোনো ম্যাচ পাওয়া যায়, তবে OS স্বয়ংক্রিয়ভাবে কানেকশনটিকে DoH-এ আপগ্রেড করে। যদিও এটি অ্যাডমিনিস্ট্রেটরের রিভলভার পছন্দকে বজায় রাখে, তবুও এটি ট্রাফিকটিকে পোর্ট 443-এ শিফট করে, যা পোর্ট 53-এ ট্রাফিক প্রত্যাশাকারী লিগ্যাসি মনিটরিং টুলগুলোকে বাইপাস করতে পারে।

অধিকন্তু, অ্যাডমিনিস্ট্রেটরদের অবশ্যই DNS over TLS (DoT) বিবেচনা করতে হবে, যা পোর্ট 853-এ কাজ করে। ডেডিকেটেড পোর্টের কারণে DoT ব্লক করা সহজ হলেও, এটি Android-এর "Private DNS" ফিচারের ডিফল্ট স্ট্যান্ডার্ড এবং গেস্ট VLAN-এ পোর্ট 853 খোলা থাকলে এটি একই ধরনের বাইপাস ঝুঁকি তৈরি করে।

doh_vs_traditional_dns_comparison.png

ইমপ্লিমেন্টেশন গাইড: একটি ডিফেন্স-ইন-ডেপথ আর্কিটেকচার

DNS রেজোলিউশনের ওপর নিয়ন্ত্রণ ফিরে পেতে একটি মাল্টি-লেয়ারড মিটিগেশন স্ট্র্যাটেজি প্রয়োজন। আধুনিক, এনক্রিপ্টেড প্রোটোকলগুলোর বিরুদ্ধে শুধুমাত্র একটি কন্ট্রোল পয়েন্টের ওপর নির্ভর করা যথেষ্ট নয়। গেস্ট অ্যাক্সেস সুরক্ষিত করতে এবং PCI DSS ও GDPR-এর মতো ফ্রেমওয়ার্কগুলোর সাথে কমপ্লায়েন্স নিশ্চিত করতে নেটওয়ার্ক আর্কিটেক্টদের নিচের আর্কিটেকচারটি ইমপ্লিমেন্ট করা উচিত।

লেয়ার 1: পরিচিত DoH রিভলভার এন্ডপয়েন্টগুলো ব্লক করুন

সবচেয়ে তাৎক্ষণিক এবং কার্যকর মিটিগেশন হলো নেটওয়ার্ক এজে পরিচিত পাবলিক DoH রিভলভারগুলোতে আউটবাউন্ড HTTPS ট্রাফিক ব্লক করা। যদিও DoH ট্রাফিক স্ট্যান্ডার্ড HTTPS-এর সাথে মিশে যায়, তবে প্রধান DoH প্রোভাইডারদের ডেস্টিনেশন IP অ্যাড্রেস এবং ডোমেইনগুলো সুপরিচিত।

এই নির্দিষ্ট এন্ডপয়েন্টগুলোতে (যেমন, dns.google, cloudflare-dns.com) কানেকশন ড্রপ করার জন্য নেক্সট-জেনারেশন ফায়ারওয়াল (NGFW) কনফিগার করার মাধ্যমে, অ্যাডমিনিস্ট্রেটররা ক্লায়েন্ট ডিভাইসের DoH রেজোলিউশন ব্যর্থ হতে বাধ্য করেন। বেশিরভাগ ইমপ্লিমেন্টেশনে, DoH ব্যর্থ হলে, ক্লায়েন্ট স্বাভাবিকভাবেই পোর্ট 53-এ প্রথাগত, আনএনক্রিপ্টেড DNS-এ ফিরে যাবে, যা পরবর্তীতে ইন্টারসেপ্ট এবং ফিল্টার করা যেতে পারে।

ইমপ্লিমেন্টেশন নোট: এই অ্যাপ্রোচের জন্য একটি আপডেটেড ব্লকলিস্ট বজায় রাখা প্রয়োজন। এন্টারপ্রাইজ ফায়ারওয়াল ভেন্ডররা প্রায়শই ডায়নামিক থ্রেট ফিড সরবরাহ করে যা পরিচিত DoH এন্ডপয়েন্টগুলোকে স্বয়ংক্রিয়ভাবে আপডেট করে, যা অপারেশনাল ওভারহেড উল্লেখযোগ্যভাবে হ্রাস করে。

লেয়ার 2: পোর্ট 53 ইন্টারসেপশন এবং রিডাইরেক্ট এনফোর্স করুন

DoH ব্লক করা তখনই কার্যকর হয় যদি ফলব্যাক ট্রাফিক সঠিকভাবে ম্যানেজ করা হয়। গেস্ট VLAN থেকে উৎপন্ন পোর্ট 53-এর সমস্ত আউটবাউন্ড UDP এবং TCP ট্রাফিক ইন্টারসেপ্ট করার জন্য নেটওয়ার্কটিকে কনফিগার করতে হবে। এই ট্রাফিকটিকে অবশ্যই (NAT/পোর্ট ফরোয়ার্ডিং রুলগুলোর মাধ্যমে) ভেন্যুর অনুমোদিত, কমপ্লায়েন্ট DNS রিভলভারের দিকে জোরপূর্বক রিডাইরেক্ট করতে হবে।

এই ধাপটি অত্যন্ত গুরুত্বপূর্ণ কারণ অনেক ডিভাইস বা ক্ষতিকারক অ্যাপ্লিকেশন তাদের নেটওয়ার্ক স্ট্যাকে পাবলিক DNS সার্ভারগুলোকে (যেমন, 8.8.8.8) হার্ডকোড করে রাখে, যা DHCP-প্রদত্ত সেটিংগুলোকে উপেক্ষা করে। জোরপূর্বক ইন্টারসেপশন ছাড়া, DoH ব্লক করা হলেও এই ডিভাইসগুলো সফলভাবে ভেন্যুর ফিল্টারিং পলিসিগুলোকে বাইপাস করবে।

লেয়ার 3: পোর্ট 853 (DNS over TLS) ব্লক করুন

DoT বাইপাস ভেক্টর মোকাবেলা করতে, অ্যাডমিনিস্ট্রেটরদের অবশ্যই গেস্ট নেটওয়ার্ক থেকে TCP পোর্ট 853-এ আউটবাউন্ড ট্রাফিক স্পষ্টভাবে ব্লক করতে হবে। DoH মিটিগেশনের মতোই, DoT ব্লক করা Android ডিভাইস এবং অন্যান্য DoT-সক্ষম ক্লায়েন্টগুলোকে স্ট্যান্ডার্ড পোর্ট 53 DNS-এ ফিরে যেতে বাধ্য করে।

doh_mitigation_architecture.png

বেস্ট প্র্যাকটিস এবং কমপ্লায়েন্স বিবেচনা

DoH মিটিগেশন ইমপ্লিমেন্ট করা কেবল একটি টেকনিক্যাল কাজ নয়; এটি রেগুলেটরি কমপ্লায়েন্স বজায় রাখা এবং গ্রহণযোগ্য ব্যবহারের পলিসিগুলো প্রয়োগ করার জন্য একটি মৌলিক প্রয়োজনীয়তা।

  • পলিসি ডকুমেন্টেশন: নিশ্চিত করুন যে ভেন্যুর Captive Portal-এর টার্মস অ্যান্ড কন্ডিশনগুলোতে স্পষ্টভাবে উল্লেখ করা আছে যে সিকিউরিটি এবং কমপ্লায়েন্সের উদ্দেশ্যে DNS ফিল্টারিং চালু রয়েছে। এনক্রিপ্টেড DNS প্রোটোকলগুলো ব্লক করার সময় এটি GDPR এবং যুক্তরাজ্যের অনলাইন সেফটি অ্যাক্টের অধীনে আইনি সমর্থন প্রদান করে।
  • নেটওয়ার্ক সেগমেন্টেশন: VLAN এবং ফায়ারওয়াল রুল ব্যবহার করে গেস্ট WiFi-কে কর্পোরেট এবং পেমেন্ট নেটওয়ার্ক থেকে কঠোরভাবে আলাদা করতে হবে। এটি PCI DSS v4.0-এর একটি মূল প্রয়োজনীয়তা, যা নেটওয়ার্ক ট্রাফিকের শক্তিশালী মনিটরিংও বাধ্যতামূলক করে—যদি DoH-কে সিকিউরিটি কন্ট্রোল বাইপাস করার অনুমতি দেওয়া হয় তবে এই মনিটরিং অসম্ভব হয়ে পড়ে।
  • কন্টিনিউয়াস মনিটরিং: কোয়েরি ভলিউম মনিটর করতে এবং অস্বাভাবিক প্যাটার্ন শনাক্ত করতে আপনার এন্টারপ্রাইজ DNS ফিল্টারিং সার্ভিসের রিপোর্টিং সক্ষমতাগুলো কাজে লাগান। কোনো নির্দিষ্ট সাবনেট থেকে পোর্ট 53 ট্রাফিকের হঠাৎ পতন প্রায়শই নির্দেশ করে যে ক্লায়েন্ট ডিভাইসগুলো একটি নতুন, আনব্লক করা DoH রিভলভার ব্যবহার করছে।
  • অ্যানালিটিক্সের সাথে ইন্টিগ্রেশন: সুরক্ষিত গেস্ট অ্যাক্সেস ইমপ্লিমেন্ট করার সময়, অথেনটিকেশন ফ্লো কীভাবে বৃহত্তর ব্যবসায়িক উদ্দেশ্যগুলোর সাথে একীভূত হয় তা বিবেচনা করুন। সুরক্ষিত, প্রোফাইল-ভিত্তিক অথেনটিকেশনের জন্য একটি wi fi assistant ব্যবহার করা নিশ্চিত করে যে ব্যবহারকারীরা নিরাপদে কানেক্ট করতে পারে, পাশাপাশি ভেন্যুকে WiFi Analytics ব্যবহার করে ফুটফল এবং ডুয়েলের সময় বুঝতে সাহায্য করে, ঠিক যেমনভাবে Offline Maps Mode ভিজিটর এক্সপেরিয়েন্সকে উন্নত করে।

ট্রাবলশুটিং এবং রিস্ক মিটিগেশন

DoH মিটিগেশন ডিপ্লয় করার সময়, নেটওয়ার্ক টিমগুলো প্রায়শই নির্দিষ্ট ফেইলিওর মোডের সম্মুখীন হয়। এই সমস্যাগুলো আগে থেকে অনুমান করা ডাউনটাইম এবং গেস্টদের অসুবিধা হ্রাস করে।

অসম্পূর্ণ ইন্টারসেপশন রুল

সবচেয়ে সাধারণ ডিপ্লয়মেন্ট ফেইলিওর হলো অসম্পূর্ণ পোর্ট 53 ইন্টারসেপশন। অ্যাডমিনিস্ট্রেটররা সঠিক DNS IP প্রদান করার জন্য DHCP সার্ভার কনফিগার করতে পারেন কিন্তু হার্ডকোড করা DNS রিকোয়েস্টগুলো ধরার জন্য প্রয়োজনীয় ফায়ারওয়াল NAT রুলগুলো ইমপ্লিমেন্ট করতে ব্যর্থ হতে পারেন। মিটিগেশন: একটি স্ট্যাটিক, এক্সটার্নাল DNS সার্ভার (যেমন, 9.9.9.9) দিয়ে একটি ক্লায়েন্ট ডিভাইস কনফিগার করে সর্বদা ডিপ্লয়মেন্ট পরীক্ষা করুন এবং যাচাই করুন যে রিকোয়েস্টগুলো এখনও সফলভাবে ভেন্যুর ফিল্টারিং সার্ভিসে রাউট করা হচ্ছে।

IPv6 ওভারসাইট

যেহেতু নেটওয়ার্কগুলো ডুয়াল-স্ট্যাক কনফিগারেশনে ট্রানজিশন করছে, ফায়ারওয়াল রুলগুলো প্রায়শই একচেটিয়াভাবে IPv4-এর জন্য লেখা হয়। যদি DoH ব্লকলিস্ট এবং পোর্ট 53 ইন্টারসেপশন রুলগুলো IPv6 কভার না করে, তবে আধুনিক ডিভাইসগুলো তাদের IPv6 স্ট্যাক ব্যবহার করে নির্বিঘ্নে IPv4 কন্ট্রোলগুলোকে বাইপাস করবে। মিটিগেশন: নিশ্চিত করুন যে সমস্ত DoH ব্লকলিস্ট, পোর্ট 53 রিডাইরেক্ট রুল এবং পোর্ট 853 ড্রপ রুলগুলো IPv4 এবং IPv6 উভয় রাউটিং টেবিলে সমানভাবে প্রয়োগ করা হয়েছে।

অ্যাপ্লিকেশন ব্রেকএজ

অ্যাগ্রেসিভ DoH ব্লকিং মাঝে মাঝে নির্দিষ্ট মোবাইল অ্যাপ্লিকেশনগুলোকে ব্রেক করতে পারে যেগুলো একচেটিয়াভাবে তাদের নিজস্ব DoH ইমপ্লিমেন্টেশনের ওপর নির্ভর করে এবং স্ট্যান্ডার্ড DNS-এ ফিরে যেতে অস্বীকার করে। মিটিগেশন: একটি ডকুমেন্টেড এক্সেপশন প্রসেস বজায় রাখুন। যদি কোনো বিজনেস-ক্রিটিক্যাল অ্যাপ্লিকেশন ব্রেক করে, তবে বিশ্বব্যাপী DoH ওপেন করার পরিবর্তে, সেই নির্দিষ্ট অ্যাপ্লিকেশনের রিভলভারের জন্য DoH ট্রাফিককে সিলেক্টিভভাবে অনুমতি দিতে TLS ইন্সপেকশন (যদি NGFW-তে উপলব্ধ থাকে) ব্যবহার করুন।

ROI এবং বিজনেস ইমপ্যাক্ট

শক্তিশালী DoH মিটিগেশনের বিজনেস কেসটি ঝুঁকি এড়ানো এবং কমপ্লায়েন্স নিশ্চিতকরণের ওপর ভিত্তি করে তৈরি। একটি একক ঘটনা—যেমন কোনো গেস্ট অবৈধ কন্টেন্ট অ্যাক্সেস করার ফলে রেগুলেটরি ইনকোয়ারি হওয়া, অথবা কোনো আপোসকৃত IoT ডিভাইস DoH-এর মাধ্যমে C2 কানেকশন স্থাপন করা—এমন খরচ ডেকে আনতে পারে যা সঠিক কন্ট্রোল ইমপ্লিমেন্ট করার জন্য প্রয়োজনীয় ইঞ্জিনিয়ারিং সময়ের চেয়ে অনেক বেশি।

একাধিক ভেন্যু জুড়ে পরিচালিত একটি এন্টারপ্রাইজের জন্য, DoH মিটিগেশন আর্কিটেকচারকে স্ট্যান্ডার্ডাইজ করা ধারাবাহিক পলিসি এনফোর্সমেন্ট নিশ্চিত করে। এই স্ট্যান্ডার্ডাইজেশন IT সার্ভিস ডেস্কের ওপর অপারেশনাল বোঝা কমায়, কারণ ISP-গুলোর কাছ থেকে আসা অ্যাবিউজ নোটিশ শূন্যে নেমে আসে এবং উচ্চ-ব্যান্ডউইথের অনুপযুক্ত কন্টেন্ট ব্লক করার মাধ্যমে নেটওয়ার্ক পারফরম্যান্স বজায় থাকে। পরিশেষে, DNS লেয়ার সুরক্ষিত করা নিশ্চিত করে যে Guest WiFi -এ ভেন্যুর বিনিয়োগ একটি দায়বদ্ধতার পরিবর্তে একটি নিরাপদ, কমপ্লায়েন্ট সম্পদ হিসেবে থাকে।

关键定义

DNS over HTTPS (DoH)

一种通过 HTTPS 协议执行远程域名系统 (DNS) 解析的协议,在 DoH 客户端和基于 DoH 的 DNS 解析器之间加密数据。

当 IT 团队部署内容过滤时,DoH 充当绕过机制,将 DNS 查询隐藏在标准加密的网络流量中。

DNS over TLS (DoT)

一种安全协议,通过传输层安全 (TLS) 协议加密和包装 DNS 查询和答案,在专用端口 (853) 上运行。

通常在现代 Android 设备(私人 DNS)上默认启用,必须在防火墙上阻止 DoT,以确保查询回退到场所的过滤 DNS。

Opportunistic DoH

操作系统或浏览器在检测到配置的 DNS 解析器支持加密协议时,自动将标准 DNS 查询升级为 DoH 的行为。

此功能在 Windows 11 和 Chrome 中很常见,意味着即使场所分配了标准 DNS IP,流量仍可能转移到加密端口 443,从而绕过传统监控。

Port 53 Interception

一种网络防火墙配置,它捕获 UDP/TCP 端口 53 上的所有出站流量,并将其强制重定向到指定的 DNS 解析器,无论客户端请求的目标 IP 是什么。

对于捕获具有硬编码 DNS 设置或已从失败的 DoH 连接回退的设备的 DNS 查询至关重要。

Next-Generation Firewall (NGFW)

一种网络安全设备,提供超越传统状态防火墙的功能,包括深度数据包检测、应用程序感知和 TLS/SSL 解密。

NGFW 对于 DoH 缓解至关重要,因为它们可以根据应用程序签名而不仅仅是 IP 地址来识别和阻止 DoH 流量。

Fallback Behavior

客户端设备在其首选的加密 DNS 协议(DoH 或 DoT)连接失败时的编程响应,通常导致设备回退到标准的未加密 DNS。

网络架构师依赖这种行为;通过故意中断 DoH/DoT 连接,他们强制设备使用可拦截的端口 53。

Command-and-Control (C2)

攻击者用来与目标网络内的受感染设备(恶意软件/僵尸网络)进行通信的基础设施。

现代恶意软件越来越多地使用 DoH 来隐藏与企业网络监视器的 C2 通信,使得 DoH 缓解成为一项关键的安全要求。

Captive Portal

在授予访问权限之前,公共访问网络的用户必须查看并进行交互的网页。

captive portal 是告知用户其 DNS 流量正被过滤且加密 DNS 协议被阻止的法律上适当的位置。

应用实例

一家拥有 400 间客房的酒店最近部署了基于云的 DNS 过滤服务,以符合关于家庭友好内容的品牌标准。然而,IT 经理注意到,很大一部分访客流量仍然访问成人内容网站,并且 DNS 过滤仪表板显示的查询量低于预期。网络架构师应如何修复此绕过问题?

  1. 审计防火墙规则:架构师必须首先验证出站 TCP/UDP 端口 53 是否被拦截并 NAT 重定向到云 DNS 服务。
  2. 阻止 DoH 解析器:实施 NGFW 阻止列表,以丢弃发往已知 DoH 提供商(例如 Cloudflare、Google、Quad9)的出站 HTTPS(端口 443)流量。
  3. 阻止 DoT:添加防火墙规则以丢弃所有出站 TCP 端口 853 流量,以防止 Android 私人 DNS 绕过。
  4. 验证 IPv6:确保上述所有规则同时应用于 IPv4 和 IPv6 流量。
考官评语: 此场景突出了 DoH/DoT 绕过的典型症状:批准的解析器上的查询量低,同时策略失败。解决方案正确地指出,仅通过 DHCP 提供 DNS 服务器是不够的;需要网络级强制执行来处理硬编码 DNS 和加密协议。

一家拥有 150 个门店的零售连锁店需要实施 DNS 过滤,以阻止其访客 WiFi 上的恶意软件和网络钓鱼。他们使用基本的分支防火墙,没有高级 TLS 检查功能。他们如何在不升级硬件的情况下有效缓解 DoH?

在没有 TLS 检查的情况下,该连锁店必须依赖强大的路由和阻止列表。

  1. 在分支防火墙上部署动态 DoH IP/域阻止列表,配置为通过外部威胁源自动更新。
  2. 实施严格的端口 53 NAT 重定向到企业 DNS 过滤器。
  3. 完全阻止端口 853。
  4. 更新 captive portal 服务条款,明确说明为了执行网络安全策略而阻止加密 DNS 协议。
考官评语: 这展示了一种在硬件受限环境下的务实方法。虽然 TLS 检查提供了精细控制,但维护良好的阻止列表与强制端口 53 重定向相结合,提供了一种高效的纵深防御策略,可跨多个分支位置良好扩展。

练习题

Q1. 一名体育场网络工程师配置 DHCP 服务器,向所有访客设备提供其安全的过滤 DNS 服务的 IP 地址。然而,测试显示,手动配置 DNS 设置(例如 8.8.8.8)的设备成功绕过了过滤器。最合适的架构修复是什么?

提示:考虑建议路由和执行网络边缘路由之间的区别。

查看标准答案

工程师必须在体育场的防火墙上实施 NAT 端口转发规则。此规则应拦截来自访客 VLAN 的所有出站 UDP 和 TCP 端口 53 流量,并将目标 IP 强制转换为安全 DNS 服务的 IP 地址。这可确保无论客户端的本地配置如何,流量都通过过滤策略进行路由。

Q2. 在实施严格的 DoH 阻止列表后,一家会议中心的 IT 帮助台收到报告,称一个特定的定制活动管理应用无法为与会者加载。数据包捕获显示,该应用正在尝试使用自己的硬编码 DoH 解析器,但已被阻止,并且该应用拒绝回退到标准 DNS。应如何解决此问题?

提示:在安全策略与业务连续性之间取得平衡。防火墙能否区分一般 DoH 流量和到特定批准端点的流量?

查看标准答案

管理员应在 NGFW 策略中创建例外。他们不应全局禁用 DoH 阻止列表,而应识别活动管理应用所使用的 DoH 解析器的特定 IP 地址或域名,并将其列入白名单。如果防火墙支持应用层(Layer 7)检查,则更可靠的解决方案是创建一条策略,仅当目的地与批准的应用程序基础设施匹配时才允许 DoH 流量,确保一般的 DoH 绕过尝试仍被阻止。

Q3. 一家公共部门组织正在审计其访客 WiFi 合规性。他们已成功阻止端口 853 (DoT) 并实施端口 53 拦截。然而,他们缺乏预算购买具有高级 TLS 检查或动态 DoH 阻止列表的 NGFW。缓解 DoH 的最有效剩余策略是什么?

提示:如果无法使用动态列表,如何应对绝大多数机会性 DoH 流量?

查看标准答案

该组织应在其现有防火墙上实施静态阻止列表,针对最常见的公共 DoH 提供商(例如 Cloudflare、Google、Quad9)的 IP 地址和域名。虽然这需要手动维护,并且无法捕获不知名的 DoH 解析器,但研究表明,绝大多数 DoH 流量默认使用少数几家主要提供商。这在预算限制内提供了一个高效的“80/20”解决方案。

继续阅读本系列

公共WiFi责任:为什么内容过滤是强制性的

本技术参考指南概述了提供未过滤公共WiFi的法律和运营风险,详细说明了为什么内容过滤是场所运营商强制性的部署要求。它提供了可操作的架构策略、实施步骤和风险缓解战术,以保护网络免受非法活动、版权侵犯和监管不合规的影响。场所运营商和CTO将找到具体的案例研究、决策框架和配置指导,以实施一个可防御且合规的Guest WiFi环境。

阅读指南 →

在网络边缘阻止恶意软件和网络钓鱼

本技术参考指南概述了为在网络边缘保护未受管理的访客和物联网设备而实施网络级威胁防护的架构、部署和业务影响。它为IT领导者提供了主动阻止恶意软件和网络钓鱼的可行指导。

阅读指南 →

英国公共WiFi网络的IWF合规性

本权威指南详细说明了在英国各场所实施IWF合规公共WiFi网络的技术要求、架构和部署策略。它为IT领导者提供了切实可行的框架,以降低法律风险,同时保持高性能的网络访问。

阅读指南 →