Die NSA gibt Empfehlungen für Unternehmen ab, die verschlüsseltes DNS einsetzen

Darkcrizt

4 Minuten

NSA-Open-Source

Ohne DNS könnte das Internet nicht einfach funktionieren, da DNS eine entscheidende Rolle bei der Cybersicherheit spielt, da DNS-Server kompromittiert und als Vektor für andere Arten von Angriffen verwendet werden können.

En ein Dokument Titel: "Einführung von verschlüsseltem DNS in Geschäftsumgebungen", die National Security Agency (NSA), eine Regierungsbehörde des US-Verteidigungsministeriums, veröffentlichte vor einigen Tagen einen Bericht über Cybersicherheit in Unternehmen.

Das Dokument erläutert die Vorteile und Risiken der Annahme des Protokolls Verschlüsseltes Domain Name System (DoH) in Unternehmensumgebungen.

Für diejenigen, die mit DNS nicht vertraut sind, sollten sie wissen, dass es sich um eine skalierbare, hierarchische und dynamisch verteilte Datenbank auf globaler Ebene handelt. Sie bietet eine Zuordnung zwischen Hostnamen, IP-Adressen (IPv4 und IPv6), Nameserver-Informationen usw.

Es ist jedoch zu einem beliebten Angriffsvektor für Cyberkriminelle geworden, da DNS ihre Anfragen und Antworten im Klartext teilt, der von nicht autorisierten Dritten leicht eingesehen werden kann.

Die Sicherheitsbehörde für Geheimdienste und Informationssysteme der US-Regierung sagt, dass verschlüsseltes DNS zunehmend verwendet wird, um das Abhören und Manipulieren des DNS-Verkehrs zu verhindern.

"Angesichts der wachsenden Beliebtheit von verschlüsseltem DNS müssen Eigentümer und Administratoren von Unternehmensnetzwerken vollständig verstehen, wie sie es erfolgreich auf ihren eigenen Systemen anwenden können", so die Organisation. "Auch wenn das Unternehmen sie nicht offiziell übernommen hat, versuchen neuere Browser und andere Software möglicherweise, verschlüsseltes DNS zu verwenden und herkömmliche DNS-basierte Unternehmensverteidigungen zu umgehen", sagte er.

Das Domain Name System, das verwendet ein sicheres Übertragungsprotokoll über TLS (HTTPS) verschlüsselt DNS-Abfragen, um die Vertraulichkeit zu gewährleisten, Integrität und Quellauthentifizierung während einer Transaktion mit dem DNS-Resolver eines Kunden. Der NSA-Bericht sagt, dass während der DoH kann die Vertraulichkeit von DNS-Anfragen schützen und die Integrität der Antworten, Unternehmen, die es verwenden, werden verlieren, Dennoch, Einige der Steuerelemente, die sie für die Verwendung von DNS in ihren Netzwerken benötigen, es sei denn, sie autorisieren ihren Resolver DoH als verwendbar.

Der DoH-Unternehmensresolver kann ein vom Unternehmen verwalteter DNS-Server oder ein externer Resolver sein.

Wenn der Unternehmens-DNS-Resolver jedoch nicht DoH-kompatibel ist, sollte der Unternehmens-Resolver weiterhin verwendet werden und alle verschlüsselten DNS sollten deaktiviert und blockiert werden, bis die Funktionen des verschlüsselten DNS vollständig in die Unternehmens-DNS-Infrastruktur integriert werden können.

Grundsätzlich Die NSA empfiehlt, den DNS-Verkehr für ein Unternehmensnetzwerk, verschlüsselt oder nicht, nur an den angegebenen Unternehmens-DNS-Resolver zu senden. Dies trägt dazu bei, die ordnungsgemäße Verwendung kritischer Sicherheitskontrollen für Unternehmen sicherzustellen, erleichtert den Zugriff auf lokale Netzwerkressourcen und schützt Informationen im internen Netzwerk.

Funktionsweise von Enterprise-DNS-Architekturen

  • Der Benutzer möchte eine Website besuchen, von der er nicht weiß, dass sie böswillig ist, und gibt den Domainnamen in den Webbrowser ein.
  • Die Domainnamenanforderung wird mit einem Klartextpaket an Port 53 an den DNS-Resolver des Unternehmens gesendet.
  • Abfragen, die gegen DNS-Watchdog-Richtlinien verstoßen, können Warnungen generieren und / oder blockiert werden.
  • Wenn sich die IP-Adresse der Domäne nicht im Domänencache des DNS-Resolvers des Unternehmens befindet und die Domäne nicht gefiltert wird, wird eine DNS-Abfrage über das Unternehmensgateway gesendet.
  • Das Unternehmensgateway leitet die DNS-Abfrage im Klartext an einen externen DNS-Server weiter. Außerdem werden DNS-Anforderungen blockiert, die nicht vom DNS-Resolver des Unternehmens stammen.
  • Die Antwort auf die Abfrage mit der IP-Adresse der Domäne, der Adresse eines anderen DNS-Servers mit weiteren Informationen oder einem Fehler wird im Klartext über das Unternehmensgateway zurückgegeben.
    Das Unternehmens-Gateway sendet die Antwort an den Unternehmens-DNS-Resolver. Die Schritte 3 bis 6 werden wiederholt, bis die angeforderte Domänen-IP-Adresse gefunden wurde oder ein Fehler auftritt.
  • Der DNS-Resolver gibt die Antwort an den Webbrowser des Benutzers zurück, der dann die Webseite von der IP-Adresse in der Antwort anfordert.

Quelle: https://media.defense.gov/


Hinterlasse einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *

*

*

  1. Verantwortlich für die Daten: AB Internet Networks 2008 SL
  2. Zweck der Daten: Kontrolle von SPAM, Kommentarverwaltung.
  3. Legitimation: Ihre Zustimmung
  4. Übermittlung der Daten: Die Daten werden nur durch gesetzliche Verpflichtung an Dritte weitergegeben.
  5. Datenspeicherung: Von Occentus Networks (EU) gehostete Datenbank
  6. Rechte: Sie können Ihre Informationen jederzeit einschränken, wiederherstellen und löschen.