Tanpa DNS, Internet tidak dapat berfungsi dengan mudah, karena DNS memainkan peran penting dalam keamanan siber karena server DNS dapat disusupi dan digunakan sebagai vektor untuk jenis serangan lainnya.
En sebuah dokumen Berjudul: "Adopsi DNS Terenkripsi di Lingkungan Bisnis", Badan Keamanan Nasional (NSA), badan pemerintah dari Departemen Pertahanan Amerika Serikat, menerbitkan beberapa hari yang lalu sebuah laporan tentang keamanan siber di perusahaan.
Dokumen menjelaskan manfaat dan risiko mengadopsi protokol Sistem Nama Domain Terenkripsi (DoH) di lingkungan perusahaan.
Bagi mereka yang tidak terbiasa dengan DNS, mereka harus tahu bahwa ini adalah database yang dapat diskalakan, hierarkis dan terdistribusi secara dinamis dalam skala global, ini menyediakan pemetaan antara nama host, alamat IP (IPv4 dan IPv6), informasi server nama, dll.
Namun, ini telah menjadi vektor serangan yang populer bagi penjahat dunia maya karena DNS membagikan permintaan dan tanggapan mereka dalam teks yang jelas, yang dapat dengan mudah dilihat oleh pihak ketiga yang tidak berwenang.
Badan keamanan sistem informasi dan intelijen pemerintah AS mengatakan DNS terenkripsi semakin banyak digunakan untuk mencegah penyadapan dan gangguan lalu lintas DNS.
"Dengan semakin populernya DNS terenkripsi, pemilik dan administrator jaringan perusahaan harus sepenuhnya memahami cara berhasil mengadopsinya di sistem mereka sendiri," kata organisasi tersebut. "Bahkan jika perusahaan belum mengadopsinya secara resmi, browser yang lebih baru dan perangkat lunak lain mungkin masih mencoba menggunakan DNS terenkripsi dan melewati pertahanan berbasis DNS perusahaan tradisional," katanya.
Sistem nama domain itu menggunakan protokol transfer aman melalui TLS (HTTPS) mengenkripsi kueri DNS untuk memastikan kerahasiaan, integritas, dan otentikasi sumber selama transaksi dengan resolver DNS pelanggan. Laporan NSA mengatakan itu sementara file DoH dapat melindungi kerahasiaan permintaan DNS dan integritas tanggapan, perusahaan yang menggunakannya akan rugi, Namun demikian, beberapa kontrol yang mereka perlukan saat menggunakan DNS dalam jaringan mereka, kecuali mereka mengizinkan Penyelesai DoH mereka sebagai dapat digunakan.
Penyelesai perusahaan DoH dapat berupa server DNS yang dikelola perusahaan atau penyelesai eksternal.
Namun, jika resolver DNS perusahaan tidak sesuai dengan DoH, resolver perusahaan harus terus digunakan dan semua DNS terenkripsi harus dinonaktifkan dan diblokir hingga kemampuan DNS terenkripsi dapat diintegrasikan sepenuhnya ke dalam infrastruktur DNS perusahaan.
Pada dasarnya, NSA merekomendasikan bahwa lalu lintas DNS untuk jaringan perusahaan, dienkripsi atau tidak, dikirim hanya ke penyelesai DNS perusahaan yang ditunjuk. Ini membantu memastikan penggunaan yang tepat dari kontrol keamanan bisnis penting, memfasilitasi akses ke sumber daya jaringan lokal, dan melindungi informasi di jaringan internal.
Bagaimana Arsitektur DNS Perusahaan Bekerja
- Pengguna ingin mengunjungi situs web yang tidak diketahuinya berbahaya dan mengetikkan nama domain di browser web.
- Permintaan nama domain dikirim ke penyelesai DNS perusahaan dengan paket teks yang jelas pada port 53.
- Kueri yang melanggar kebijakan pengawas DNS dapat menghasilkan peringatan dan / atau diblokir.
- Jika alamat IP domain tidak ada dalam cache domain dari penyelesai DNS perusahaan dan domain tidak difilter, itu akan mengirim kueri DNS melalui gateway perusahaan.
- Gateway perusahaan meneruskan permintaan DNS dalam teks yang jelas ke server DNS eksternal. Itu juga memblokir permintaan DNS yang tidak datang dari resolver DNS perusahaan.
- Tanggapan atas permintaan dengan alamat IP domain, alamat server DNS lain dengan informasi lebih lanjut, atau kesalahan dikembalikan dalam bentuk teks yang jelas melalui gateway perusahaan;
gateway perusahaan mengirimkan respons ke resolver DNS perusahaan. Langkah 3 hingga 6 diulangi hingga alamat IP domain yang diminta ditemukan atau terjadi kesalahan. - Penyelesai DNS mengembalikan respons ke browser web pengguna, yang kemudian meminta halaman web dari alamat IP sebagai respons.
sumber: https://media.defense.gov/