DNSがなければ、インターネットは簡単に機能できませんでした、DNSサーバーが危険にさらされ、他のタイプの攻撃のベクトルとして使用される可能性があるため、DNSはサイバーセキュリティにおいて重要な役割を果たします。
En 文書 資格:「ビジネス環境での暗号化されたDNSの採用」、国家安全保障局(NSA)、米国国防総省の政府機関、 数日前に企業のサイバーセキュリティに関するレポートを公開しました。
ドキュメント プロトコルを採用することの利点とリスクを説明します 暗号化されたドメインネームシステム (DoH)企業環境で。
DNSに慣れていない人は、DNSがスケーラブルで階層的で、グローバル規模で動的に分散されたデータベースであり、ホスト名、IPアドレス(IPv4およびIPv6)、ネームサーバー情報などの間のマッピングを提供することを知っておく必要があります。
ただし、DNSは要求と応答をクリアテキストで共有するため、サイバー犯罪者に人気のある攻撃ベクトルになりました。これは、許可されていない第三者が簡単に見ることができます。
米国政府のインテリジェンスおよび情報システムのセキュリティ機関は、DNSトラフィックの盗聴や改ざんを防ぐために暗号化されたDNSがますます使用されていると述べています。
「暗号化されたDNSの人気が高まるにつれ、企業ネットワークの所有者と管理者は、DNSを自分のシステムにうまく採用する方法を完全に理解する必要があります」と組織は言います。 「会社が正式に採用していなくても、新しいブラウザやその他のソフトウェアは暗号化されたDNSを使用し、従来の企業DNSベースの防御を回避しようとする可能性があります」と彼は言いました。
ドメインネームシステム TLSを介した安全な転送プロトコルを使用します (HTTPS) DNSクエリを暗号化して機密性を確保します、整合性、および顧客のDNSリゾルバーとのトランザクション中のソース認証。 NSAの報告によると、 DoHはDNS要求の機密性を保護できます と応答の整合性、 それを使用する企業は失うでしょう、それにもかかわらず、 ネットワーク内でDNSを使用するときに必要な制御の一部、ResolverDoHを使用可能として承認しない限り。
DoHコーポレートリゾルバーは、会社が管理するDNSサーバーまたは外部リゾルバーにすることができます。
ただし、企業DNSリゾルバーがDoHに準拠していない場合は、企業リゾルバーを引き続き使用し、暗号化DNSの機能を企業DNSインフラストラクチャに完全に統合できるようになるまで、すべての暗号化DNSを無効にしてブロックする必要があります。
基本的には NSAは、暗号化されているかどうかに関係なく、企業ネットワークのDNSトラフィックを指定された企業DNSリゾルバーにのみ送信することを推奨しています。 これにより、重要なビジネスセキュリティ制御を適切に使用し、ローカルネットワークリソースへのアクセスを容易にし、内部ネットワーク上の情報を保護できます。
エンタープライズDNSアーキテクチャのしくみ
- ユーザーは、悪意のあることを知らないWebサイトにアクセスしたいと考えており、Webブラウザーにドメイン名を入力します。
- ドメイン名の要求は、ポート53でクリアテキストパケットを使用して企業のDNSリゾルバーに送信されます。
- DNSウォッチドッグポリシーに違反するクエリは、アラートを生成したり、ブロックしたりする可能性があります。
- ドメインのIPアドレスが企業DNSリゾルバーのドメインキャッシュになく、ドメインがフィルタリングされていない場合、企業ゲートウェイを介してDNSクエリが送信されます。
- 企業ゲートウェイは、DNSクエリをクリアテキストで外部DNSサーバーに転送します。 また、会社のDNSリゾルバーから送信されないDNS要求もブロックします。
- ドメインのIPアドレス、詳細情報を含む別のDNSサーバーのアドレス、またはエラーを含むクエリへの応答は、企業ゲートウェイを介してクリアテキストで返されます。
企業ゲートウェイは、企業DNSリゾルバーに応答を送信します。 手順3から6は、要求されたドメインIPアドレスが見つかるか、エラーが発生するまで繰り返されます。 - DNSリゾルバーは応答をユーザーのWebブラウザーに返し、ユーザーのWebブラウザーは応答のIPアドレスからWebページを要求します。