ללא DNS, האינטרנט לא יכול היה לתפקד בקלות, מכיוון ש- DNS ממלא תפקיד מכריע באבטחת הסייבר שכן ניתן לפגוע בשרתי DNS ולהשתמש בהם כווקטור לסוגים אחרים של התקפות.
En מסמך שכותרתו: "אימוץ DNS מוצפן בסביבות עסקיות", הסוכנות לביטחון לאומי (NSA), סוכנות ממשלתית של משרד ההגנה של ארצות הברית, פורסם לפני מספר ימים דוח על אבטחת סייבר בחברות.
המסמך מסביר את היתרונות והסיכונים שבאימוץ הפרוטוקול מערכת שמות מתחם מוצפנת (DoH) בסביבות ארגוניות.
למי שלא מכיר DNS, עליו לדעת שמדובר במסד נתונים מדרגי, היררכי ומופץ באופן דינמי בקנה מידה עולמי, הוא מספק מיפוי בין שמות מארחים, כתובות IP (IPv4 ו- IPv6), מידע על שרת שמות וכו '.
עם זאת, זה הפך להיות וקטור התקפה פופולרי עבור פושעי סייבר שכן DNS משתף את בקשותיהם ותגובותיהם בטקסט ברור, שאותם ניתן לצפות בקלות על ידי צדדים שלישיים בלתי מורשים.
סוכנות אבטחת מערכות הביון ומערכות המידע של ממשלת ארה"ב אומרת כי יותר ויותר נעשה שימוש ב- DNS מוצפן בכדי למנוע האזנות והטמעה בתעבורת DNS.
"עם הפופולריות הגוברת של DNS מוצפן, בעלי רשתות ארגוניות ומנהלי מערכת חייבים להבין היטב כיצד לאמץ אותו בהצלחה במערכות שלהם", אומרים בארגון. "גם אם החברה לא אימצה אותם רשמית, דפדפנים חדשים ותוכנות אחרות עדיין עשויים לנסות להשתמש ב- DNS מוצפן ולעקוף את ההגנות המסורתיות המבוססות על DNS," אמר.
מערכת שמות הדומיינים ש משתמש בפרוטוקול העברה מאובטח מעל TLS (HTTPS) מצפין שאילתות DNS כדי להבטיח סודיות, שלמות ואימות מקור במהלך עסקה עם פותר ה- DNS של הלקוח. הדו"ח של ה- NSA אומר כי בעוד ש- DoH יכול להגן על סודיות בקשות DNS ושלמות התגובות, חברות המשתמשות בו יאבדו, על כל פנים, חלק מהבקרה שהם זקוקים להם בעת שימוש ב- DNS ברשתות שלהםאלא אם כן הם מאשרים את ה- Resolver DoH שלהם כשימוש.
הפותר הארגוני של DoH יכול להיות שרת DNS המנוהל על ידי החברה או פותר חיצוני.
עם זאת, אם פותר ה- DNS הארגוני אינו תואם DoH, יש להמשיך להשתמש בפותר הארגוני ולהשבית ולחסום את כל ה- DNS המוצפנים עד שניתן יהיה לשלב באופן מלא את יכולות ה- DNS המוצפן בתשתית ה- DNS הארגונית.
בעיקרון, ה- NSA ממליץ שתעבורת DNS עבור רשת ארגונית, מוצפנת או לא, תישלח רק לפותר ה- DNS הארגוני המיועד. זה מסייע להבטיח שימוש נכון בבקרות אבטחה עסקיות קריטיות, מאפשר גישה למשאבי רשת מקומיים ומגן על המידע ברשת הפנימית.
כיצד פועלות ארכיטקטורות DNS ארגוניות
- המשתמש רוצה לבקר באתר שהוא לא יודע שהוא זדוני ומקליד את שם התחום בדפדפן האינטרנט.
- בקשת שם הדומיין נשלחת לפותר ה- DNS הארגוני עם חבילת טקסט ברור ביציאה 53.
- שאילתות המפרות מדיניות שמירה על DNS יכולות ליצור התראות ו / או להיחסם.
- אם כתובת ה- IP של הדומיין אינה נמצאת במטמון הדומיין של פותר ה- DNS הארגוני והדומיין לא מסונן, היא תשלח שאילתת DNS דרך השער הארגוני.
- השער הארגוני מעביר את שאילתת ה- DNS בטקסט ברור לשרת DNS חיצוני. זה גם חוסם בקשות DNS שאינן מגיעות מפותר ה- DNS של החברה.
- התגובה לשאילתה עם כתובת ה- IP של הדומיין, הכתובת של שרת DNS אחר עם מידע נוסף, או שגיאה מוחזרת בטקסט ברור דרך השער הארגוני;
השער הארגוני שולח את התגובה לפותר ה- DNS הארגוני. שלבים 3 עד 6 חוזרים על עצמם עד שנמצאת כתובת ה- IP של הדומיין המבוקש או מתרחשת שגיאה. - פותר ה- DNS מחזיר את התגובה לדפדפן האינטרנט של המשתמש, אשר מבקש את דף האינטרנט מכתובת ה- IP בתגובה.
מקור: https://media.defense.gov/