تقدم NSA توصيات بشأن الشركات التي تتبنى DNS المشفر

Darkcrizt

4 دقيقة

nsa- المصدر المفتوح

بدون DNS ، لا يمكن للإنترنت العمل بسهولة، نظرًا لأن DNS يلعب دورًا مهمًا في الأمن السيبراني حيث يمكن اختراق خوادم DNS واستخدامها كناقل لأنواع أخرى من الهجمات.

En وثيقة بعنوان: "اعتماد DNS المشفر في بيئات الأعمال" وكالة الأمن القومي (NSA) ، وهي وكالة حكومية تابعة لوزارة دفاع الولايات المتحدة ، نشر قبل عدة أيام تقريرًا عن الأمن السيبراني في الشركات.

المستند يشرح فوائد ومخاطر اعتماد البروتوكول نظام اسم المجال المشفر (DoH) في بيئات الشركات.

بالنسبة لأولئك الذين ليسوا على دراية بـ DNS ، يجب أن يعرفوا أنه قاعدة بيانات قابلة للتطوير وهرمية وموزعة ديناميكيًا على نطاق عالمي ، فهي توفر تعيينًا بين أسماء المضيفين وعناوين IP (IPv4 و IPv6) ومعلومات خادم الاسم ، إلخ.

ومع ذلك ، فقد أصبح ناقلًا شائعًا للهجوم لمجرمي الإنترنت حيث يشارك DNS طلباتهم واستجاباتهم بنص واضح ، والذي يمكن عرضه بسهولة من قبل أطراف ثالثة غير مصرح لها.

تقول وكالة أمن أنظمة المعلومات والمعلومات التابعة للحكومة الأمريكية إن نظام DNS المشفر يتم استخدامه بشكل متزايد لمنع التنصت والعبث بحركة مرور DNS.

"مع تزايد شعبية DNS المشفر ، يجب على مالكي شبكات الشركات والمسؤولين أن يفهموا تمامًا كيفية اعتمادها بنجاح على أنظمتهم الخاصة ،" كما تقول المنظمة. وقال: "حتى إذا لم تتبناها الشركة رسميًا ، فقد تستمر المتصفحات الجديدة والبرامج الأخرى في محاولة استخدام DNS المشفر وتجاوز دفاعات الشركات التقليدية القائمة على DNS".

نظام اسم المجال يستخدم بروتوكول النقل الآمن عبر TLS (https) يشفر استعلامات DNS لضمان السريةوالنزاهة ومصادقة المصدر أثناء معاملة مع محلل DNS الخاص بالعميل. يقول تقرير وكالة الأمن القومي أنه في حين أن يمكن لإدارة الصحة حماية سرية طلبات DNS وسلامة الردود ، الشركات التي تستخدمها ستخسر، مع ذلك، بعض عناصر التحكم التي يحتاجون إليها عند استخدام DNS داخل شبكاتهم، إلا إذا صرّحوا باستخدام أداة حلّ DoH على أنها قابلة للاستخدام.

يمكن أن يكون محلل شركة DoH خادم DNS تديره الشركة أو محلل خارجي.

ومع ذلك ، إذا لم يكن محلل DNS الخاص بالشركات متوافقًا مع DoH ، فيجب الاستمرار في استخدام محلل المؤسسة ويجب تعطيل جميع DNS المشفر وحظره حتى يمكن دمج إمكانات DNS المشفر بالكامل في البنية التحتية لنظام DNS للشركة.

في الأساس، توصي NSA بإرسال حركة مرور DNS لشبكة الشركة ، سواء كانت مشفرة أم غير مشفرة ، إلى محلل DNS المخصص للشركة فقط. يساعد ذلك في ضمان الاستخدام السليم لعناصر التحكم الهامة في أمان الأعمال ، ويسهل الوصول إلى موارد الشبكة المحلية ، ويحمي المعلومات الموجودة على الشبكة الداخلية.

كيف تعمل معماريات DNS للمؤسسات

  • يريد المستخدم زيارة موقع ويب لا يعرف أنه ضار ويكتب اسم المجال في متصفح الويب.
  • يتم إرسال طلب اسم المجال إلى محلل DNS الخاص بالشركة مع حزمة نص واضحة على المنفذ 53.
  • يمكن للاستعلامات التي تنتهك سياسات مراقبة DNS إنشاء تنبيهات و / أو حظرها.
  • إذا لم يكن عنوان IP الخاص بالمجال موجودًا في ذاكرة التخزين المؤقت للمجال لمحلل DNS للشركة ولم يتم تصفية المجال ، فسوف يرسل استعلام DNS من خلال بوابة الشركة.
  • تقوم بوابة الشركة بإعادة توجيه استعلام DNS بنص واضح إلى خادم DNS خارجي. كما أنه يحظر طلبات DNS التي لا تأتي من محلل DNS الخاص بالشركة.
  • يتم إرجاع الرد على الاستعلام بعنوان IP الخاص بالمجال ، أو عنوان خادم DNS آخر بمزيد من المعلومات ، أو خطأ بنص واضح من خلال بوابة الشركة ؛
    ترسل بوابة الشركة الرد إلى محلل DNS الخاص بالشركة. يتم تكرار الخطوات من 3 إلى 6 حتى يتم العثور على عنوان IP للمجال المطلوب أو حدوث خطأ.
  • يعرض محلل DNS الاستجابة إلى متصفح الويب الخاص بالمستخدم ، والذي يطلب بعد ذلك صفحة الويب من عنوان IP في الاستجابة.

مصدر: https://media.defense.gov/


اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: AB Internet Networks 2008 SL
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.