DNS nélkül az Internet nem működhetne egyszerűen, mivel a DNS kulcsfontosságú szerepet játszik a kiberbiztonságban, mivel a DNS-kiszolgálók sérülhetnek és vektorként használhatók más típusú támadásokhoz.
En egy dokumentum A titkosított DNS átvétele üzleti környezetekben címmel: a Nemzetbiztonsági Ügynökség (NSA), az Egyesült Államok Védelmi Minisztériumának kormányzati ügynöksége, néhány napja jelentést tett közzé a vállalatok kiberbiztonságáról.
A dokumentum elmagyarázza a protokoll elfogadásának előnyeit és kockázatait Titkosított domain név rendszer (DoH) vállalati környezetben.
Azok számára, akik nem ismerik a DNS-t, tudnia kell, hogy globálisan skálázható, hierarchikus és dinamikusan elosztott adatbázisról van szó, amely leképezést biztosít a gazdagépnevek, az IP-címek (IPv4 és IPv6), a névszerver információi stb. Között.
A kiberbűnözők számára azonban népszerű támadási vektorgá vált, mivel a DNS világos szövegben osztja meg kéréseiket és válaszaikat, amelyeket illetéktelen harmadik felek könnyen megtekinthetnek.
Az amerikai kormány hírszerzési és információs rendszereinek biztonsági ügynöksége szerint a titkosított DNS-t egyre inkább használják a lehallgatás és a DNS-forgalom meghamisításának megakadályozására.
"A titkosított DNS növekvő népszerűségével a vállalati hálózatok tulajdonosainak és rendszergazdáinak teljes mértékben meg kell érteniük, hogyan lehet ezt sikeresen átvenni saját rendszereiken" - mondja a szervezet. "Még akkor is, ha a vállalat hivatalosan nem vette át őket, az újabb böngészők és más szoftverek mégis megpróbálhatják a titkosított DNS használatát, és megkerülhetik a hagyományos vállalati DNS-alapú védekezéseket" - mondta.
A domain név rendszer, amely biztonságos átviteli protokollt használ a TLS-en keresztül (HTTPS) titkosítja a DNS-lekérdezéseket a titoktartás érdekében, integritás és forrás hitelesítés az ügyfél DNS-megoldójával végzett tranzakció során. Az NSA jelentése szerint az A DoH megvédheti a DNS-kérelmek titkosságát és a válaszok integritása, az azt használó vállalatok elveszítik, Mindazonáltal, a DNS-ek hálózatukon belüli használatához szükséges vezérlés egy része, hacsak nem engedélyezik Resolver DoH-jukat használhatónak.
A DoH vállalati felbontó lehet egy vállalat által felügyelt DNS-kiszolgáló vagy egy külső megoldó.
Ha azonban a vállalati DNS-megoldó nem kompatibilis a DoH-val, akkor a vállalati megoldót továbbra is használni kell, és az összes titkosított DNS-t le kell tiltani és blokkolni, amíg a titkosított DNS képességei teljes mértékben beépülnek a vállalati DNS-infrastruktúrába.
alapvetően, Az NSA azt ajánlja, hogy a vállalati hálózat DNS-forgalmát titkosítva vagy nem, csak a kijelölt vállalati DNS-megoldónak küldje el. Ez segít biztosítani a kritikus üzleti biztonsági ellenőrzések megfelelő használatát, megkönnyíti a helyi hálózati erőforrásokhoz való hozzáférést és védi a belső hálózaton található információkat.
Hogyan működnek az Enterprise DNS architektúrák
- A felhasználó meg akar látogatni egy olyan weboldalt, amelyről nem tudja, hogy rosszindulatú, és beírja a domain nevet a webböngészőbe.
- A tartománynév kérést egy tiszta szövegcsomaggal küldi el a vállalati DNS-megoldónak az 53-as porton.
- A DNS-felügyeleti házirendet sértő lekérdezések riasztásokat generálhatnak és / vagy letilthatók.
- Ha a tartomány IP-címe nincs a vállalati DNS-megoldó tartománygyorsítótárában, és a tartomány nincs szűrve, DNS-lekérdezést küld a vállalati átjárón.
- A vállalati átjáró tiszta DNS-ben továbbítja a DNS-lekérdezést egy külső DNS-kiszolgálóra. Blokkolja azokat a DNS-kéréseket is, amelyek nem a vállalat DNS-megoldójától származnak.
- A lekérdezésre adott válasz a tartomány IP-címével, egy másik, több információt tartalmazó DNS-kiszolgáló címével vagy egy hibával tiszta szövegben jelenik meg a vállalati átjárón keresztül;
a vállalati átjáró elküldi a választ a vállalati DNS-megoldónak. A 3–6. Lépéseket addig ismételjük, amíg a kért tartomány IP-címét meg nem találja, vagy hiba nem történik. - A DNS-megoldó visszaadja a választ a felhasználó webböngészőjének, amely a válaszban kéri a weboldalt az IP-címetől.
forrás: https://media.defense.gov/