Senza DNS, Internet non potrebbe funzionare facilmente, poiché il DNS svolge un ruolo cruciale nella sicurezza informatica poiché i server DNS possono essere compromessi e utilizzati come vettore per altri tipi di attacchi.
En DocumodO delle Nazioni Unite dal titolo: "Adoption of Encrypted DNS in Business Environments", la National Security Agency (NSA), un'agenzia governativa del Dipartimento della difesa degli Stati Uniti, ha pubblicato alcuni giorni fa un rapporto sulla sicurezza informatica nelle aziende.
Il documento spiega i vantaggi e i rischi dell'adozione del protocollo Domain Name System crittografato (DoH) negli ambienti aziendali.
Per coloro che non hanno familiarità con il DNS, dovrebbero sapere che si tratta di un database scalabile, gerarchico e distribuito dinamicamente su scala globale, fornisce una mappatura tra nomi host, indirizzi IP (IPv4 e IPv6), informazioni sul server dei nomi, ecc.
Tuttavia, è diventato un popolare vettore di attacco per i criminali informatici poiché il DNS condivide le loro richieste e risposte in testo non crittografato, che può essere facilmente visualizzato da terze parti non autorizzate.
L'agenzia per la sicurezza dei sistemi informativi e di intelligence del governo degli Stati Uniti afferma che il DNS crittografato viene sempre più utilizzato per prevenire intercettazioni e manomissioni del traffico DNS.
"Con la crescente popolarità del DNS crittografato, i proprietari e gli amministratori della rete aziendale devono comprendere appieno come adottarlo con successo sui propri sistemi", afferma l'organizzazione. "Anche se la società non li ha adottati formalmente, i browser più recenti e altri software potrebbero comunque provare a utilizzare il DNS crittografato e aggirare le difese tradizionali basate sul DNS aziendale", ha affermato.
Il sistema dei nomi di dominio che utilizza il protocollo di trasferimento sicuro su TLS (HTTP) crittografa le query DNS per garantire la riservatezza, integrità e autenticazione della fonte durante una transazione con il resolver DNS di un cliente. Il rapporto della NSA afferma che mentre il DoH può proteggere la riservatezza delle richieste DNS e l'integrità delle risposte, le aziende che lo utilizzano perderanno, Tuttavia, alcuni dei controlli di cui hanno bisogno quando utilizzano DNS all'interno delle loro reti, a meno che non autorizzino il loro Resolver DoH come utilizzabile.
Il resolver aziendale DoH può essere un server DNS gestito dall'azienda o un resolver esterno.
Tuttavia, se il resolver DNS aziendale non è conforme a DoH, il resolver aziendale dovrebbe continuare a essere utilizzato e tutto il DNS crittografato dovrebbe essere disabilitato e bloccato fino a quando le capacità del DNS crittografato non saranno completamente integrate nell'infrastruttura DNS aziendale.
in fondo, La NSA raccomanda che il traffico DNS per una rete aziendale, crittografata o meno, venga inviato solo al risolutore DNS aziendale designato. Ciò aiuta a garantire un uso corretto dei controlli di sicurezza aziendali critici, facilita l'accesso alle risorse di rete locale e protegge le informazioni sulla rete interna.
Come funzionano le architetture DNS aziendali
- L'utente desidera visitare un sito Web che non sa essere dannoso e digita il nome di dominio nel browser Web.
- La richiesta del nome di dominio viene inviata al resolver DNS aziendale con un pacchetto di testo in chiaro sulla porta 53.
- Le query che violano i criteri del watchdog DNS possono generare avvisi e / o essere bloccate.
- Se l'indirizzo IP del dominio non è nella cache del dominio del resolver DNS aziendale e il dominio non è filtrato, invierà una query DNS tramite il gateway aziendale.
- Il gateway aziendale inoltra la query DNS in testo non crittografato a un server DNS esterno. Blocca anche le richieste DNS che non provengono dal risolutore DNS dell'azienda.
- La risposta alla query con l'indirizzo IP del dominio, l'indirizzo di un altro server DNS con maggiori informazioni o un errore viene restituito in chiaro tramite il gateway aziendale;
il gateway aziendale invia la risposta al risolutore DNS aziendale. I passaggi da 3 a 6 vengono ripetuti fino a quando non viene trovato l'indirizzo IP del dominio richiesto o si verifica un errore. - Il resolver DNS restituisce la risposta al browser Web dell'utente, che quindi richiede la pagina Web dall'indirizzo IP nella risposta.
fonte: https://media.defense.gov/