Без DNS интернет не може да функционира лесно, тъй като DNS играе решаваща роля в киберсигурността, тъй като DNS сървърите могат да бъдат компрометирани и използвани като вектор за други видове атаки.
En документ Озаглавен: „Приемане на криптиран DNS в бизнес среда“, Агенцията за национална сигурност (НСА), държавна агенция на Министерството на отбраната на САЩ, публикува преди няколко дни доклад за киберсигурността в компаниите.
Документът обяснява ползите и рисковете от приемането на протокола Шифрована система от имена на домейни (DoH) в корпоративна среда.
За тези, които не са запознати с DNS, те трябва да знаят, че това е мащабируема, йерархична и динамично разпределена база данни в глобален мащаб, тя осигурява картографиране между имена на хостове, IP адреси (IPv4 и IPv6), информация за сървъра на имена и т.н.
Въпреки това, той се превърна в популярен вектор за атака за киберпрестъпници, тъй като DNS споделя техните заявки и отговори в ясен текст, който може лесно да се види от неоторизирани трети страни.
Агенцията за сигурност на информационните и информационните системи на правителството на САЩ казва, че кодираният DNS все повече се използва за предотвратяване на подслушване и подправяне на DNS трафик.
„С нарастващата популярност на криптиран DNS, собствениците и администраторите на корпоративни мрежи трябва напълно да разберат как да го възприемат успешно в собствените си системи“, казва организацията. „Дори ако компанията не ги е приела официално, по-новите браузъри и друг софтуер все пак могат да се опитат да използват криптиран DNS и да заобиколят традиционните корпоративни DNS-базирани защити“, каза той.
Системата с имена на домейни, която използва протокол за сигурен трансфер през TLS (HTTPS) криптира DNS заявки, за да осигури поверителност, целостта и удостоверяването на източника по време на транзакция с DNS резолвър на клиента. Докладът на NSA казва, че докато DoH може да защити поверителността на DNS заявките и целостта на отговорите, компаниите, които го използват, ще загубят, Въпреки това, част от контрола, от който се нуждаят, когато използват DNS в своите мрежи, освен ако не разрешат своя Resolver DoH като използваем.
Корпоративният преобразувател на DoH може да бъде управляван от компанията DNS сървър или външен преобразувател.
Ако обаче корпоративният DNS преобразувател не е съвместим с DoH, корпоративният преобразувател трябва да продължи да се използва и всички криптирани DNS трябва да бъдат деактивирани и блокирани, докато възможностите на криптирания DNS могат да бъдат напълно интегрирани в корпоративната DNS инфраструктура.
общо взето, NSA препоръчва DNS трафикът за корпоративна мрежа, криптиран или не, да се изпраща само до определения корпоративен DNS преобразувател. Това помага да се осигури правилното използване на критичните контролни мерки за бизнес сигурност, улеснява достъпа до ресурси на локалната мрежа и защитава информацията във вътрешната мрежа.
Как работят корпоративните DNS архитектури
- Потребителят иска да посети уебсайт, който не знае, че е злонамерен и въвежда името на домейна в уеб браузъра.
- Искането за име на домейн се изпраща до корпоративния DNS преобразувател с чист текстов пакет на порт 53.
- Заявки, които нарушават правилата за наблюдение на DNS, могат да генерират предупреждения и / или да бъдат блокирани.
- Ако IP адресът на домейна не е в кеша на домейна на корпоративния DNS преобразувател и домейнът не е филтриран, той ще изпрати DNS заявка през корпоративния шлюз.
- Корпоративният шлюз препраща DNS заявката в чист текст към външен DNS сървър. Той също така блокира DNS заявки, които не идват от DNS преобразувателя на компанията.
- Отговорът на заявката с IP адреса на домейна, адреса на друг DNS сървър с повече информация или грешка се връща в чист текст през корпоративния шлюз;
корпоративният шлюз изпраща отговора на корпоративния DNS преобразувател. Стъпки от 3 до 6 се повтарят, докато се намери заявеният IP адрес на домейна или се появи грешка. - DNS преобразувателят връща отговора на уеб браузъра на потребителя, който след това изисква уеб страницата от IP адреса в отговора.
Fuente: https://media.defense.gov/