Bez DNS Internet nie mógłby łatwo funkcjonować, ponieważ DNS odgrywa kluczową rolę w cyberbezpieczeństwie, ponieważ serwery DNS mogą zostać przejęte i wykorzystane jako wektor dla innych rodzajów ataków.
En dokument Zatytułowany: „Adoption of Encrypted DNS in Business Environments”, National Security Agency (NSA), agencja rządowa Departamentu Obrony Stanów Zjednoczonych, opublikował kilka dni temu raport dotyczący cyberbezpieczeństwa w firmach.
Dokument wyjaśnia korzyści i ryzyko związane z przyjęciem protokołu Zaszyfrowany system nazw domenowych (DoH) w środowiskach korporacyjnych.
Dla tych, którzy nie są zaznajomieni z DNS, powinni wiedzieć, że jest to skalowalna, hierarchiczna i dynamicznie rozproszona baza danych w skali globalnej, zapewnia mapowanie między nazwami hostów, adresami IP (IPv4 i IPv6), informacjami o serwerze nazw itp.
Jednak stał się popularnym wektorem ataków cyberprzestępców, ponieważ DNS udostępnia ich żądania i odpowiedzi w postaci zwykłego tekstu, który może być łatwo przeglądany przez nieupoważnione osoby trzecie.
Agencja wywiadu i bezpieczeństwa systemów informatycznych rządu Stanów Zjednoczonych twierdzi, że szyfrowany DNS jest coraz częściej używany do zapobiegania podsłuchiwaniu i manipulowaniu ruchem DNS.
„Wraz z rosnącą popularnością zaszyfrowanego DNS właściciele i administratorzy sieci firmowych muszą w pełni zrozumieć, jak z powodzeniem wdrożyć go we własnych systemach” - mówi organizacja. „Nawet jeśli firma formalnie ich nie przyjęła, nowsze przeglądarki i inne oprogramowanie mogą nadal próbować używać szyfrowanego DNS i ominąć tradycyjne korporacyjne zabezpieczenia oparte na DNS” - powiedział.
System nazw domen, który używa bezpiecznego protokołu przesyłania przez TLS (HTTPS) szyfruje zapytania DNS, aby zapewnić poufność, integralność i uwierzytelnianie źródła podczas transakcji z programem rozpoznawania nazw DNS klienta. Raport NSA mówi, że podczas gdy DoH może chronić poufność żądań DNS i rzetelność odpowiedzi, firmy, które go używają, stracą, Niemniej jednak, część kontroli potrzebnej podczas korzystania z DNS w swoich sieciach, chyba że autoryzują DoH swojego Resolvera jako użyteczne.
Korporacyjny program rozpoznawania nazw DoH może być zarządzanym przez firmę serwerem DNS lub zewnętrznym programem rozpoznawania nazw.
Jeśli jednak korporacyjny program rozpoznawania nazw DNS nie jest zgodny z DoH, należy nadal używać tego narzędzia, a wszystkie zaszyfrowane serwery DNS powinny być wyłączone i zablokowane, dopóki możliwości zaszyfrowanego serwera DNS nie zostaną w pełni zintegrowane z firmową infrastrukturą DNS.
Zasadniczo NSA zaleca, aby ruch DNS w sieci firmowej, zaszyfrowany lub nie, był przesyłany tylko do wyznaczonego korporacyjnego resolwera DNS. Pomaga to zapewnić właściwe wykorzystanie krytycznych zabezpieczeń biznesowych, ułatwia dostęp do zasobów sieci lokalnej i chroni informacje w sieci wewnętrznej.
Jak działają korporacyjne architektury DNS
- Użytkownik chce odwiedzić witrynę, o której nie wie, że jest złośliwa i wpisuje nazwę domeny w przeglądarce internetowej.
- Żądanie nazwy domeny jest wysyłane do firmowego resolwera DNS z pakietem zwykłego tekstu na porcie 53.
- Zapytania, które naruszają zasady nadzoru DNS, mogą generować alerty i / lub być blokowane.
- Jeśli adres IP domeny nie znajduje się w pamięci podręcznej domeny korporacyjnego programu rozpoznawania nazw DNS, a domena nie jest filtrowana, wyśle zapytanie DNS przez bramę korporacyjną.
- Brama firmowa przekazuje zapytanie DNS w postaci zwykłego tekstu do zewnętrznego serwera DNS. Blokuje również żądania DNS, które nie pochodzą z programu rozpoznawania nazw DNS firmy.
- Odpowiedź na zapytanie z adresem IP domeny, adresem innego serwera DNS z dodatkowymi informacjami lub błędem jest zwracana w postaci zwykłego tekstu przez bramę korporacyjną;
Brama firmowa wysyła odpowiedź do firmowego programu rozpoznawania nazw DNS. Kroki od 3 do 6 są powtarzane do momentu znalezienia żądanego adresu IP domeny lub wystąpienia błędu. - Resolver DNS zwraca odpowiedź do przeglądarki internetowej użytkownika, która następnie żąda strony internetowej z adresu IP w odpowiedzi.
źródło: https://media.defense.gov/