Bez DNS-a Internet ne bi mogao lako funkcionirati, budući da DNS igra presudnu ulogu u cyber-sigurnosti jer se DNS poslužitelji mogu ugroziti i koristiti kao vektor za druge vrste napada.
En dokument Pod nazivom: "Usvajanje šifriranog DNS-a u poslovnom okruženju", Nacionalna sigurnosna agencija (NSA), vladina agencija Ministarstva obrane Sjedinjenih Država, objavio prije nekoliko dana izvještaj o kibernetičkoj sigurnosti u tvrtkama.
Dokument objašnjava prednosti i rizike usvajanja protokola Šifrirani sustav imena domena (DoH) u korporacijskim okruženjima.
Za one koji nisu upoznati s DNS-om, trebali bi znati da je to skalabilna, hijerarhijska i dinamički distribuirana baza podataka na globalnoj razini, pruža mapiranje između imena hosta, IP adresa (IPv4 i IPv6), podataka poslužitelja imena itd.
Međutim, postao je popularni vektor napada za internetske kriminalce jer DNS dijeli njihove zahtjeve i odgovore u jasnom tekstu, koji neovlaštene treće strane mogu lako pregledati.
Američka agencija za obavještajne i informacijske sustave kaže da se šifrirani DNS sve više koristi kako bi se spriječilo prisluškivanje i neovlašteno miješanje DNS prometa.
"S rastućom popularnošću šifriranog DNS-a, vlasnici i administratori korporativnih mreža moraju u potpunosti razumjeti kako ga uspješno usvojiti na vlastitim sustavima", kaže organizacija. "Čak i ako ih tvrtka nije formalno usvojila, noviji preglednici i drugi softver i dalje mogu pokušati koristiti šifrirani DNS i zaobići tradicionalne korporativne obrane temeljene na DNS-u", rekao je.
Sustav imena domena koji koristi protokol sigurnog prijenosa preko TLS-a (HTTPS) šifrira DNS upite radi osiguranja povjerljivosti, integritet i provjera autentičnosti izvora tijekom transakcije s klijentovim DNS razrješivačem. Izvješće NSA kaže da dok DoH može zaštititi povjerljivost DNS zahtjeva i integritet odgovora, tvrtke koje ga koriste će izgubiti, Štoviše, dio kontrole koja im je potrebna kada koriste DNS unutar svojih mreža, osim ako ne odobre svoj Resolver DoH kao upotrebljiv.
DoH korporativni razrješivač može biti DNS poslužitelj kojim upravlja tvrtka ili vanjski razrješivač.
Međutim, ako korporativni DNS razrješivač nije u skladu s DoH, razrješivač u poduzeću treba se i dalje koristiti, a sav šifrirani DNS treba onemogućiti i blokirati sve dok se mogućnosti šifriranog DNS-a ne mogu u potpunosti integrirati u korporacijsku DNS infrastrukturu.
u osnovi, NSA preporučuje da se DNS promet za korporativnu mrežu, šifriran ili ne, šalje samo određenom korporativnom DNS rješavaču. To pomaže osigurati pravilnu upotrebu kritičnih kontrola poslovne sigurnosti, olakšava pristup resursima lokalne mreže i štiti podatke na unutarnjoj mreži.
Kako funkcioniraju DNS arhitekture poduzeća
- Korisnik želi posjetiti web mjesto za koje ne zna da je zlonamjerno i upisuje naziv domene u web preglednik.
- Zahtjev za imenom domene šalje se korporativnom DNS rješavaču s jasnim tekstualnim paketom na portu 53.
- Upiti koji krše pravila nadzora nad DNS-om mogu generirati upozorenja i / ili biti blokirani.
- Ako se IP adresa domene ne nalazi u predmemoriji domene korporativnog DNS razrješivača i domena nije filtrirana, poslat će DNS upit kroz korporacijski pristupnik.
- Korporativni pristupnik prosljeđuje DNS upit u jasnom tekstu na vanjski DNS poslužitelj. Također blokira DNS zahtjeve koji ne dolaze iz DNS rješavača tvrtke.
- Odgovor na upit s IP adresom domene, adresom drugog DNS poslužitelja s više informacija ili greškom vraća se u čistom tekstu kroz korporativni pristupnik;
korporativni pristupnik šalje odgovor korporativnom DNS rješavaču. Koraci od 3 do 6 ponavljaju se dok se ne pronađe tražena IP adresa domene ili se dogodi pogreška. - DNS razrješivač vraća odgovor na korisnikov web web preglednik, koji zatim traži web stranicu s IP adrese u odgovoru.
izvor: https://media.defense.gov/