La NSA fa recomanacions sobre les empreses que adopten DNS xifrats

Darkcrizt

4 minuts

nsa-open-source

Sense DNS, Internet no podria funcionar de forma senzilla, Ja que DNS juga un paper crucial en la ciberseguretat ja que els servidors DNS es poden veure compromesos i utilitzar com a vector per a altres tipus d'atacs.

En un document titulat: «Adopció de DNS xifrats en entorns empresarials», l'Agència de Seguretat Nacional (NSA), Una agència governamental de el Departament de Defensa dels Estats Units, va publicar fa ja diversos dies un informe sobre la ciberseguretat en les empreses.

el document explica els beneficis i riscos d'adoptar el protocol de el Sistema de noms de domini xifrat (DOH) en entorns corporatius.

Per als qui desconeixen de DNS, han de saber que és una base de dades escalable, jeràrquica i distribuïda dinàmicament a escala global, proporciona un mapeig entre noms de host, adreces IP (IPv4 i IPv6), informació de servidor de noms, etc.

No obstant això, s'ha convertit en un vector d'atac popular per als ciberdelinqüents ja que DNS comparteix les seves sol·licituds i respostes en text clar, que pot ser vist fàcilment per tercers no autoritzats.

L'agència de seguretat de sistemes d'informació i intel·ligència de govern d'EE. UU. Diu que el DNS encriptat s'utilitza cada vegada més per evitar les escoltes i la manipulació de el tràfic de l'DNS.

«Amb la creixent popularitat de l'DNS encriptat, els propietaris i administradors de xarxes corporatives han de comprendre completament com adoptar correctament en els seus propis sistemes», diu l'organització. "Fins i tot si l'empresa no els ha adoptat formalment, els navegadors més nous i altre programari poden provar a utilitzar DNS encriptats de totes maneres i eludir les defenses corporatives tradicionals basades en DNS", va dir.

El sistema de noms de domini que utilitza el protocol de transferència segura sobre TLS (HTTPS) xifra les consultes de DNS per garantir la confidencialitat, La integritat i l'autenticació d'origen durant una transacció amb el sistema de resolució de DNS d'un client. L'informe de la NSA diu que, si bé el DOH pot protegir la confidencialitat de les sol·licituds de DNS i la integritat de les respostes, les empreses que l'utilitzen perdran, Però, part de l'control que necessiten a l'usar DNS dins de les seves xarxes, Llevat que autoritzin la seva Resoldre Doh com utilitzable.

El resolutor corporatiu de DOH pot ser un servidor DNS administrat per l'empresa o un resolutor extern.

No obstant això, si el solucionador de DNS corporatiu no és compatible amb Doh, el solucionador d'empresa ha de seguir utilitzant-i tots els DNS encriptats han deshabilitar i bloquejar fins que les capacitats de l'DNS encriptat puguin integrar-se completament en la infraestructura de DNS de l'empresa.

Bàsicament, la NSA recomana que el trànsit de DNS per a una xarxa corporativa, xifrat o no, s'enviï només a l'resolutori de DNS corporatiu designat. Això ajuda a garantir l'ús adequat dels controls de seguretat empresarials crítics, facilita l'accés als recursos de la xarxa local i protegeix la informació de la xarxa interna.

Com funcionen les arquitectures DNS empresarials

  • L'usuari vol visitar un lloc web que no sap que és maliciós i escriu el nom de domini en el navegador web.
  • La sol·licitud de nom de domini s'envia a sistema de resolució de DNS corporatiu amb un paquet de text sense xifrar al port 53.
  • Les consultes que violen les polítiques de vigilància de DNS poden generar alertes i / o bloquejar-se.
  • Si l'adreça IP de l'domini no està en la memòria cau de domini de el sistema de resolució de DNS corporatiu i el domini no està filtrat, enviarà una consulta de DNS a través de la porta d'enllaç corporativa.
  • La porta d'enllaç corporativa reenvia la consulta DNS en text sense xifrar a un servidor DNS extern. També bloqueja les sol·licituds de DNS que no provenen de el sistema de resolució de DNS de l'empresa.
  • La resposta a la consulta amb l'adreça IP de l'domini, la direcció d'un altre servidor DNS amb més informació, o es retorna un error en text clar a través de la passarel·la corporativa;
    la porta d'enllaç corporativa envia la resposta a sistema de resolució de DNS corporatiu. Els passos 3 a 6 es repeteixen fins que es troba la direcció IP de domini sol·licitada o es produeix un error.
  • El solucionador de DNS retorna la resposta a el navegador web del l'usuari, que després demana la pàgina web des de la adreça IP a la resposta.

font: https://media.defense.gov/


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.