Uden DNS kunne internettet ikke fungere nemt, da DNS spiller en afgørende rolle i cybersikkerhed, da DNS-servere kan kompromitteres og bruges som vektor for andre typer angreb.
En et dokument med titlen: "Adoption of Encrypted DNS in Enterprise Environments", National Security Agency (NSA), et regeringsorgan under det amerikanske forsvarsministerium, udgav en rapport om cybersikkerhed i virksomheder for flere dage siden.
Dokumentet forklarer fordelene og risiciene ved at vedtage protokollen Krypteret domænenavnesystem (DoH) i virksomhedsmiljøer.
For dem, der ikke kender til DNS, skal de vide, at det er en skalerbar, hierarkisk og dynamisk distribueret database i global skala, den giver en kortlægning mellem værtsnavne, IP-adresser (IPv4 og IPv6), navneserverinformation osv.
Det er dog blevet en populær angrebsvektor for cyberkriminelle, da DNS deler sine anmodninger og svar i klar tekst, som let kan ses af uautoriserede tredjeparter.
Den amerikanske regerings efterretnings- og informationssystemsikkerhedsagentur siger, at krypteret DNS i stigende grad bliver brugt til at forhindre aflytning og manipulation af DNS-trafik.
"Med den voksende popularitet af krypteret DNS, skal virksomhedsnetværksejere og administratorer fuldt ud forstå, hvordan de korrekt skal implementere det i deres egne systemer," siger organisationen. "Selv hvis virksomheden ikke formelt har vedtaget dem, kan nyere browsere og anden software alligevel forsøge at bruge krypteret DNS og omgå traditionelle DNS-baserede virksomhedsforsvar," sagde han.
Domænenavnesystemet, der bruger sikker overførselsprotokol over TLS (HTTPS) krypterer DNS-forespørgsler for at sikre fortrolighed, integritet og oprindelsesgodkendelse under en transaktion med en klients DNS-resolver. NSA-rapporten siger, at mens den DoH kan beskytte fortroligheden af DNS-anmodninger og integriteten af svarene, virksomheder, der bruger det, vil tabe, Alligevel, noget af den kontrol, de har brug for, når de bruger DNS i deres netværk, medmindre de godkender deres DoH Resolver som brugbar.
Virksomhedens DoH-resolver kan være en virksomhedsadministreret DNS-server eller en ekstern resolver.
Men hvis virksomhedens DNS-resolver ikke er DoH-kompatibel, skal virksomhedens resolver fortsat bruges, og al krypteret DNS skal deaktiveres og blokeres, indtil de krypterede DNS-funktioner kan integreres fuldt ud i virksomhedens DNS-infrastruktur.
dybest set, NSA anbefaler, at DNS-trafik for et virksomhedsnetværk, krypteret eller ej, kun sendes til den udpegede virksomheds-DNS-resolver. Dette hjælper med at sikre korrekt brug af kritiske forretningssikkerhedskontroller, letter adgangen til lokale netværksressourcer og beskytter interne netværksoplysninger.
Sådan fungerer virksomhedens DNS-arkitekturer
- Brugeren ønsker at besøge et websted, som de ikke ved er ondsindet, og indtaster domænenavnet i webbrowseren.
- Domænenavnsanmodningen sendes til virksomhedens DNS-resolver med en klar tekstpakke på port 53.
- Forespørgsler, der overtræder DNS-overvågningspolitikker, kan generere advarsler og/eller blive blokeret.
- Hvis domænets IP-adresse ikke er i virksomhedens DNS-resolverens domænecache, og domænet ikke er filtreret, vil det sende en DNS-forespørgsel gennem virksomhedens gateway.
- Virksomhedens gateway videresender DNS-forespørgslen i klartekst til en ekstern DNS-server. Det blokerer også DNS-anmodninger, der ikke kommer fra virksomhedens DNS-resolver.
- Svaret på forespørgslen med IP-adressen på domænet, adressen på en anden DNS-server med flere oplysninger eller en klartekstfejl returneres gennem virksomhedens gateway;
virksomhedens gateway sender svaret til virksomhedens DNS-resolver. Trin 3-6 gentages, indtil den anmodede domæne-IP-adresse er fundet, eller der opstår en fejl. - DNS-resolveren returnerer svaret til brugerens webbrowser, som derefter anmoder om websiden fra IP-adressen i svaret.
kilde: https://media.defense.gov/