Bez DNS-a Internet ne bi mogao lako funkcionirati, budući da DNS igra presudnu ulogu u cyber-sigurnosti jer se DNS poslužitelji mogu ugroziti i koristiti kao vektor za druge vrste napada.
En dokument Pod nazivom: "Usvajanje šifriranog DNS-a u poslovnom okruženju," Agencija za nacionalnu sigurnost (NSA), vladina agencija Ministarstva obrane Sjedinjenih Država, objavio je prije nekoliko dana izvještaj o cyber sigurnosti u kompanijama.
Dokument objašnjava prednosti i rizike usvajanja protokola Šifrirani sistem imena domena (DoH) u korporacijskim okruženjima.
Za one koji nisu upoznati s DNS-om, trebali bi znati da je to skalabilna, hijerarhijska i dinamički distribuirana baza podataka na globalnoj razini, pruža mapiranje između imena hosta, IP adresa (IPv4 i IPv6), informacija o poslužitelju imena itd.
Međutim, postao je popularan vektor napada za cyber kriminalce jer DNS dijeli njihove zahtjeve i odgovore u jasnom tekstu, koji neovlaštene treće strane mogu lako pregledati.
Američka agencija za obavještajne i informacione sisteme kaže da se šifrirani DNS sve više koristi za sprečavanje prisluškivanja i neovlaštenog korištenja DNS prometa.
"S rastućom popularnošću šifriranog DNS-a, vlasnici korporativnih mreža i administratori moraju u potpunosti razumjeti kako ga uspješno usvojiti na vlastitim sistemima," kaže organizacija. "Čak i ako ih kompanija nije formalno usvojila, noviji preglednici i drugi softver i dalje mogu pokušati koristiti šifrirani DNS i zaobići tradicionalne korporativne obrane zasnovane na DNS-u", rekao je.
Sistem imena domene koji koristi protokol sigurnog prijenosa preko TLS-a (HTTPS) šifrira DNS upite radi osiguranja povjerljivosti, integritet i provjera autentičnosti izvora tijekom transakcije s klijentovim DNS razrješivačem. Izvještaj NSA kaže da dok DoH može zaštititi povjerljivost DNS zahtjeva i integritet odgovora, kompanije koje ga koriste će izgubiti, Ipak, dio kontrole koja im je potrebna kada koriste DNS unutar svojih mreža, osim ako ne odobre svoj Resolver DoH kao upotrebljiv.
DoH korporativni razrješivač može biti DNS poslužitelj kojim upravlja tvrtka ili vanjski razrješivač.
Međutim, ako korporativni DNS razrješivač nije usklađen sa DoH, razrješivač poduzeća treba se i dalje koristiti, a sav šifrirani DNS treba onemogućiti i blokirati sve dok se mogućnosti šifriranog DNS-a ne mogu u potpunosti integrirati u korporativnu DNS infrastrukturu.
U osnovi, NSA preporučuje da se DNS promet za korporativnu mrežu, šifriran ili ne, šalje samo određenom korporativnom DNS rješavaču. Ovo pomaže u osiguranju pravilne upotrebe kritičnih kontrola poslovne sigurnosti, olakšava pristup resursima lokalne mreže i štiti informacije na internoj mreži.
Kako funkcioniraju DNS arhitekture preduzeća
- Korisnik želi posjetiti web stranicu za koju ne zna da je zlonamjerna i upisuje ime domene u web preglednik.
- Zahtjev za imenom domene šalje se korporativnom DNS rješavaču s paketom čistog teksta na portu 53.
- Upiti koji krše DNS nadzorne politike mogu generirati upozorenja i / ili biti blokirani.
- Ako se IP adresa domene ne nalazi u predmemoriji domene korporativnog DNS razrješivača, a domena nije filtrirana, poslat će DNS upit kroz korporativni pristupnik.
- Korporativni pristupnik prosljeđuje DNS upit u jasnom tekstu na vanjski DNS poslužitelj. Takođe blokira DNS zahtjeve koji ne dolaze iz DNS-ovog rješavača kompanije.
- Odgovor na upit s IP adresom domene, adresom drugog DNS servera s više informacija ili greškom vraća se u čistom tekstu kroz mrežni prolaz;
korporativni pristupnik šalje odgovor korporativnom DNS rješavaču. Koraci od 3 do 6 ponavljaju se sve dok se ne pronađe tražena IP adresa domene ili ne dogodi greška. - DNS razrješivač vraća odgovor na korisnikov web preglednik, koji zatim traži web stranicu s IP adrese u odgovoru.
Izvor: https://media.defense.gov/