Uten DNS kunne ikke Internett fungere lett, siden DNS spiller en avgjørende rolle i cybersikkerhet, ettersom DNS-servere kan kompromitteres og brukes som en vektor for andre typer angrep.
En et dokument med tittelen: "Adopsjon av kryptert DNS i forretningsmiljøer," National Security Agency (NSA), et regjeringsorgan for det amerikanske forsvarsdepartementet, publiserte for flere dager siden en rapport om cybersikkerhet i selskaper.
Dokumentet forklarer fordelene og risikoen ved å vedta protokollen Kryptert domenenavnssystem (DoH) i bedriftsmiljøer.
For de som ikke er kjent med DNS, bør de vite at det er en skalerbar, hierarkisk og dynamisk distribuert database på global skala, den gir en kartlegging mellom vertsnavn, IP-adresser (IPv4 og IPv6), navneserverinformasjon osv.
Imidlertid har det blitt en populær angrepsvektor for nettkriminelle da DNS deler sine forespørsler og svar i klartekst, som lett kan sees av uautoriserte tredjeparter.
Den amerikanske regjeringens sikkerhetsbyrå for etterretnings- og informasjonssystemer sier at kryptert DNS i økende grad blir brukt for å forhindre avlytting og manipulering av DNS-trafikk.
"Med den økende populariteten til kryptert DNS, må bedriftsnettverkseiere og administratorer forstå hvordan de lykkes å adoptere det på sine egne systemer," sier organisasjonen. "Selv om selskapet ikke formelt har adoptert dem, kan nyere nettlesere og annen programvare fremdeles prøve å bruke kryptert DNS og omgå tradisjonelle DNS-baserte forsvar," sa han.
Domenenavnsystemet som bruker sikker overføringsprotokoll over TLS (HTTPS) krypterer DNS-spørsmål for å sikre konfidensialitet, integritet og kildeautentisering under en transaksjon med en kundes DNS-resolver. NSA-rapporten sier at mens DoH kan beskytte konfidensialiteten til DNS-forespørsler og integriteten til svarene, selskaper som bruker den, vil tapeLikevel, noe av kontrollen de trenger når de bruker DNS i nettverkene sine, med mindre de autoriserer Resolver DoH som brukbar.
DoH corporate resolver kan være en bedriftsstyrt DNS-server eller en ekstern resolver.
Imidlertid, hvis bedriftens DNS-resolver ikke er DoH-kompatibel, bør enterprise resolver fortsette å bli brukt, og all kryptert DNS bør deaktiveres og blokkeres til funksjonene til den krypterte DNS kan integreres fullt ut i bedriftens DNS-infrastruktur.
utgangspunktet, NSA anbefaler at DNS-trafikk for et bedriftsnettverk, kryptert eller ikke, bare sendes til den angitte bedriftens DNS-resolver. Dette bidrar til å sikre riktig bruk av kritiske sikkerhetskontroller, letter tilgang til lokale nettverksressurser og beskytter informasjon på det interne nettverket.
Hvordan Enterprise DNS-arkitekturer fungerer
- Brukeren vil besøke et nettsted som han ikke vet er skadelig og skriver inn domenenavnet i nettleseren.
- Domenenavneforespørselen sendes til bedriftens DNS-resolver med en klar tekstpakke på port 53.
- Spørringer som bryter med DNS-overvåkingsregler, kan generere varsler og / eller bli blokkert.
- Hvis domenets IP-adresse ikke er i domenebufferen til bedriftens DNS-resolver og domenet ikke er filtrert, vil det sende et DNS-spørsmål gjennom bedriftens gateway.
- Bedriftsportalen videresender DNS-spørringen i klar tekst til en ekstern DNS-server. Det blokkerer også DNS-forespørsler som ikke kommer fra selskapets DNS-resolver.
- Svaret på spørringen med domenets IP-adresse, adressen til en annen DNS-server med mer informasjon, eller en feil returneres i klartekst gjennom bedriftens gateway;
bedriftens gateway sender svaret til bedriftens DNS-resolver. Trinn 3 til 6 gjentas til den forespurte domenens IP-adresse er funnet eller det oppstår en feil. - DNS-resolveren returnerer svaret til brukerens nettleser, som deretter ber om nettsiden fra IP-adressen i svaret.
Fuente: https://media.defense.gov/