La NSA formule des recommandations sur les entreprises qui adoptent un DNS crypté

Darkcrizt

Pas de commentaires

nsa-open-source

Sans DNS, Internet ne pourrait pas fonctionner facilement, puisque le DNS joue un rôle crucial dans la cybersécurité car les serveurs DNS peuvent être compromis et utilisés comme vecteur pour d'autres types d'attaques.

En un document Intitulé: "Adoption of Encrypted DNS in Business Environments", la National Security Agency (NSA), une agence gouvernementale du département américain de la Défense, a publié il y a plusieurs jours un rapport sur la cybersécurité dans les entreprises.

Le document explique les avantages et les risques de l'adoption du protocole Système de nom de domaine crypté (DoH) dans les environnements d'entreprise.

Pour ceux qui ne connaissent pas le DNS, ils doivent savoir qu'il s'agit d'une base de données évolutive, hiérarchique et distribuée dynamiquement à l'échelle mondiale, elle fournit un mappage entre les noms d'hôtes, les adresses IP (IPv4 et IPv6), les informations de serveur de noms, etc.

Cependant, il est devenu un vecteur d'attaque populaire pour les cybercriminels, car DNS partage leurs demandes et leurs réponses en texte clair, qui peut être facilement consulté par des tiers non autorisés.

L'agence de sécurité des systèmes de renseignement et d'information du gouvernement américain affirme que le DNS crypté est de plus en plus utilisé pour empêcher les écoutes clandestines et la falsification du trafic DNS.

«Avec la popularité croissante du DNS chiffré, les propriétaires et les administrateurs de réseaux d'entreprise doivent parfaitement comprendre comment l'adopter avec succès sur leurs propres systèmes», déclare l'organisation. «Même si l'entreprise ne les a pas officiellement adoptés, les nouveaux navigateurs et autres logiciels peuvent toujours essayer d'utiliser un DNS crypté et contourner les défenses traditionnelles basées sur le DNS», a-t-il déclaré.

Le système de nom de domaine qui utilise un protocole de transfert sécurisé sur TLS (HTTPS) crypte les requêtes DNS pour garantir la confidentialité, l'intégrité et l'authentification de la source lors d'une transaction avec le résolveur DNS d'un client. Le rapport de la NSA dit que si le DoH peut protéger la confidentialité des requêtes DNS et l'intégrité des réponses, les entreprises qui l'utilisent perdront, cependant, une partie du contrôle dont ils ont besoin lors de l'utilisation du DNS au sein de leurs réseaux, à moins qu'ils n'autorisent leur Resolver DoH comme utilisable.

Le résolveur d'entreprise DoH peut être un serveur DNS géré par l'entreprise ou un résolveur externe.

Cependant, si le résolveur DNS d'entreprise n'est pas conforme à la norme DoH, le résolveur d'entreprise doit continuer à être utilisé et tous les DNS chiffrés doivent être désactivés et bloqués jusqu'à ce que les capacités du DNS chiffré puissent être pleinement intégrées dans l'infrastructure DNS de l'entreprise.

Fondamentalement, La NSA recommande que le trafic DNS pour un réseau d'entreprise, chiffré ou non, soit envoyé uniquement au résolveur DNS d'entreprise désigné. Cela permet de garantir une utilisation appropriée des contrôles de sécurité critiques de l'entreprise, de faciliter l'accès aux ressources du réseau local et de protéger les informations sur le réseau interne.

Fonctionnement des architectures DNS d'entreprise

  • L'utilisateur souhaite visiter un site Web dont il ne sait pas qu'il est malveillant et tape le nom de domaine dans le navigateur Web.
  • La demande de nom de domaine est envoyée au résolveur DNS d'entreprise avec un paquet de texte clair sur le port 53.
  • Les requêtes qui enfreignent les politiques de surveillance DNS peuvent générer des alertes et / ou être bloquées.
  • Si l'adresse IP du domaine ne se trouve pas dans le cache de domaine du résolveur DNS d'entreprise et que le domaine n'est pas filtré, il enverra une requête DNS via la passerelle d'entreprise.
  • La passerelle d'entreprise transmet la requête DNS en texte clair à un serveur DNS externe. Il bloque également les requêtes DNS qui ne proviennent pas du résolveur DNS de l'entreprise.
  • La réponse à la requête avec l'adresse IP du domaine, l'adresse d'un autre serveur DNS avec plus d'informations ou une erreur est renvoyée en texte clair via la passerelle d'entreprise;
    la passerelle d'entreprise envoie la réponse au résolveur DNS d'entreprise. Les étapes 3 à 6 sont répétées jusqu'à ce que l'adresse IP du domaine demandé soit trouvée ou qu'une erreur se produise.
  • Le résolveur DNS renvoie la réponse au navigateur Web de l'utilisateur, qui demande ensuite la page Web à l'adresse IP de la réponse.

source: https://media.defense.gov/


Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.