Tanpa DNS, Internet tidak dapat berfungsi dengan mudah, kerana DNS memainkan peranan penting dalam keselamatan siber kerana pelayan DNS dapat dikompromikan dan digunakan sebagai vektor untuk jenis serangan lain.
En dokumen Berjudul: "Penerapan DNS Terenkripsi dalam Lingkungan Perniagaan," Badan Keselamatan Nasional (NSA), sebuah agensi kerajaan Jabatan Pertahanan Amerika Syarikat, menerbitkan beberapa hari yang lalu laporan mengenai keselamatan siber di syarikat.
Dokumen itu menerangkan faedah dan risiko penggunaan protokol Sistem Nama Domain yang Dienkripsi (DoH) dalam persekitaran korporat.
Bagi mereka yang tidak biasa dengan DNS, mereka harus tahu bahawa ia adalah pangkalan data yang dapat ditingkatkan, hierarki dan diedarkan secara dinamis pada skala global, ia menyediakan pemetaan antara nama host, alamat IP (IPv4 dan IPv6), maklumat pelayan nama, dll.
Namun, ia telah menjadi vektor serangan yang popular untuk penjenayah siber kerana DNS menyampaikan permintaan dan respons mereka dalam teks yang jelas, yang dapat dilihat dengan mudah oleh pihak ketiga yang tidak sah.
Agensi keselamatan sistem perisikan dan maklumat kerajaan AS mengatakan DNS yang disulitkan semakin banyak digunakan untuk mencegah penyadapan dan gangguan lalu lintas DNS.
"Dengan semakin meningkatnya populariti DNS yang dienkripsi, pemilik dan pentadbir rangkaian korporat mesti memahami sepenuhnya bagaimana berjaya menggunakannya di sistem mereka sendiri," kata organisasi itu. "Walaupun syarikat itu belum menggunakannya secara rasmi, penyemak imbas yang lebih baru dan perisian lain masih boleh menggunakan DNS yang disulitkan dan memintas pertahanan berasaskan DNS korporat tradisional," katanya.
Sistem nama domain yang menggunakan protokol pemindahan selamat melalui TLS (HTTPS) menyulitkan pertanyaan DNS untuk memastikan kerahsiaan, integriti, dan pengesahan sumber semasa transaksi dengan penyelesai DNS pelanggan. Laporan NSA mengatakan bahawa sementara itu DoH dapat melindungi kerahsiaan permintaan DNS dan integriti tindak balas, syarikat yang menggunakannya akan rugiWalaupun begitu, beberapa kawalan yang mereka perlukan semasa menggunakan DNS dalam rangkaian mereka, melainkan jika mereka membenarkan Resolver DoH mereka dapat digunakan.
Penyelesai korporat DoH boleh menjadi pelayan DNS yang dikendalikan syarikat atau penyelesai luaran.
Namun, jika penyelesai DNS korporat tidak mematuhi DoH, penyelesai perusahaan harus terus digunakan dan semua DNS yang dienkripsi harus dilumpuhkan dan disekat sehingga kemampuan DNS yang dienkripsi dapat disatukan sepenuhnya ke dalam infrastruktur DNS korporat.
Pada asasnya, NSA mengesyorkan agar trafik DNS untuk rangkaian korporat, yang dienkripsi atau tidak, dihantar hanya ke penyelesai DNS korporat yang ditentukan. Ini membantu memastikan penggunaan kawalan keselamatan perniagaan yang betul, memudahkan akses ke sumber rangkaian tempatan, dan melindungi maklumat mengenai rangkaian dalaman.
Bagaimana Senibina DNS Enterprise Berfungsi
- Pengguna ingin melayari laman web yang dia tidak tahu berniat jahat dan menaip nama domain di penyemak imbas web.
- Permintaan nama domain dihantar ke penyelesai DNS korporat dengan paket teks yang jelas pada port 53.
- Pertanyaan yang melanggar dasar pengawas DNS dapat menghasilkan amaran dan / atau disekat.
- Sekiranya alamat IP domain tidak berada dalam cache domain penyelesai DNS korporat dan domain tidak disaring, ia akan menghantar pertanyaan DNS melalui gerbang korporat.
- Gerbang korporat meneruskan pertanyaan DNS dalam teks yang jelas ke pelayan DNS luaran. Ia juga menyekat permintaan DNS yang tidak datang dari penyelesai DNS syarikat.
- Respons terhadap pertanyaan dengan alamat IP domain, alamat pelayan DNS lain dengan lebih banyak maklumat, atau ralat dikembalikan dalam teks yang jelas melalui gerbang korporat;
gerbang korporat menghantar respons kepada penyelesai DNS korporat. Langkah 3 hingga 6 diulang sehingga alamat IP domain yang diminta dijumpai atau berlaku ralat. - Penyelesai DNS mengembalikan respons ke penyemak imbas web pengguna, yang kemudian meminta halaman web dari alamat IP sebagai respons.
Fuente: https://media.defense.gov/