Ilman DNS: ää Internet ei voisi toimia helposti, koska DNS: llä on ratkaiseva rooli kyberturvallisuudessa, koska DNS-palvelimia voidaan vaarantaa ja käyttää vektorina muun tyyppisissä hyökkäyksissä.
En dokumentti Kansallisen turvallisuusviraston ("Salatun DNS: n käyttöönotto yritysympäristöissä") nimitys:NSA), Yhdysvaltain puolustusministeriön valtion virasto, julkaisi useita päiviä sitten raportin yritysten kyberturvallisuudesta.
Asiakirja selittää protokollan hyväksymisen edut ja riskit Salattu verkkotunnusjärjestelmä (DoH) yritysympäristöissä.
Niille, joille DNS ei ole tuttu, heidän tulisi tietää, että se on skaalautuva, hierarkkinen ja dynaamisesti hajautettu tietokanta maailmanlaajuisesti, se tarjoaa kartoituksen isäntänimien, IP-osoitteiden (IPv4 ja IPv6), nimipalvelintietojen jne. Välillä.
Siitä on kuitenkin tullut suosittu hyökkäysvektori verkkorikollisille, kun DNS jakaa pyyntönsä ja vastauksensa selkeässä tekstissä, jonka luvaton kolmas osapuoli voi helposti nähdä.
Yhdysvaltain hallituksen tiedustelu- ja tietojärjestelmien tietoturvaviraston mukaan salattua DNS: ää käytetään yhä enemmän salakuuntelun ja DNS-liikenteen peukaloinnin estämiseksi.
"Salatun DNS: n kasvavan suosion myötä yritysverkkojen omistajien ja järjestelmänvalvojien on ymmärrettävä täysin, miten se voidaan ottaa käyttöön omissa järjestelmissään", kertoo organisaatio. "Vaikka yritys ei ole virallisesti ottanut niitä käyttöön, uudemmat selaimet ja muut ohjelmistot saattavat silti yrittää käyttää salattua DNS: ää ja ohittaa perinteiset yritysten DNS-pohjaiset suojaukset", hän sanoi.
Verkkotunnusjärjestelmä, joka käyttää suojattua siirtoprotokollaa TLS: n kautta (HTTPS) salaa DNS-kyselyt luottamuksellisuuden varmistamiseksi, eheys ja lähdetodennus asiakkaan DNS-ratkaisimen kanssa tapahtuneen tapahtuman aikana. NSA: n raportissa sanotaan, että vaikka DoH voi suojata DNS-pyyntöjen luottamuksellisuuden ja vastausten eheys, sitä käyttävät yritykset häviävät, Tästä huolimatta, osa hallinnasta, jota he tarvitsevat käyttäessään DNS: ää verkkoissaan, elleivät ne valtuuta Resolver DoH: ta käyttökelpoiseksi.
DoH-yritysratkaisija voi olla yrityksen hallinnoima DNS-palvelin tai ulkoinen resolveri.
Jos yrityksen DNS-resolveri ei kuitenkaan ole DoH-yhteensopiva, yrityksen resolverin käyttöä on jatkettava ja kaikki salatut DNS: t on poistettava käytöstä ja estettävä, kunnes salatun DNS: n ominaisuudet voidaan integroida täysin yrityksen DNS-infrastruktuuriin.
pohjimmiltaan, NSA suosittelee, että yritysverkon DNS-liikenne, salattu tai ei, lähetetään vain nimetylle yrityksen DNS-ratkaisijalle. Tämä auttaa varmistamaan liiketoiminnan kriittisten valvontatoimintojen asianmukaisen käytön, helpottaa pääsyä paikallisiin verkkoresursseihin ja suojaa sisäisen verkon tietoja.
Kuinka Enterprise DNS -arkkitehtuurit toimivat
- Käyttäjä haluaa käydä verkkosivustolla, jonka hän ei tiedä olevan haitallinen, ja kirjoittaa verkkotunnuksen verkkoselaimeen.
- Verkkotunnuksen pyyntö lähetetään yrityksen DNS-ratkaisijalle selkeän tekstipaketin avulla portissa 53.
- DNS-valvontakäytäntöjä rikkovat kyselyt voivat luoda ilmoituksia ja / tai olla estettyjä.
- Jos toimialueen IP-osoite ei ole yrityksen DNS-ratkaisimen toimialueen välimuistissa ja toimialue ei ole suodatettu, se lähettää DNS-kyselyn yrityksen yhdyskäytävän kautta.
- Yrityksen yhdyskäytävä välittää DNS-kyselyn selkeänä tekstinä ulkoiselle DNS-palvelimelle. Se estää myös DNS-pyynnöt, jotka eivät tule yrityksen DNS-ratkaisuista.
- Vastaus kyselyyn, jossa on toimialueen IP-osoite, toisen DNS-palvelimen osoite, jossa on lisätietoja, tai virhe palautetaan selkeänä tekstinä yrityksen yhdyskäytävän kautta;
yritysyhdyskäytävä lähettää vastauksen yrityksen DNS-ratkaisimeen. Vaiheet 3 - 6 toistetaan, kunnes pyydetty toimialueen IP-osoite löytyy tai tapahtuu virhe. - DNS-ratkaisu palauttaa vastauksen käyttäjän verkkoselaimeen, joka sitten pyytää verkkosivua vastauksen IP-osoitteelta.
lähde: https://media.defense.gov/