Sem DNS, a Internet não poderia funcionar facilmente, já que o DNS desempenha um papel crucial na segurança cibernética, pois os servidores DNS podem ser comprometidos e usados como vetor para outros tipos de ataques.
En um documento Intitulado: "Adoção de DNS criptografado em ambientes de negócios", a Agência de Segurança Nacional (NSA), uma agência governamental do Departamento de Defesa dos Estados Unidos, publicou há vários dias um relatório sobre cibersegurança nas empresas.
O documento explica os benefícios e riscos da adoção do protocolo Sistema de nome de domínio criptografado (DoH) em ambientes corporativos.
Para aqueles que não estão familiarizados com DNS, eles devem saber que é um banco de dados escalável, hierárquico e dinamicamente distribuído em escala global, que fornece um mapeamento entre nomes de host, endereços IP (IPv4 e IPv6), informações de servidor de nomes, etc.
No entanto, ele se tornou um vetor de ataque popular para cibercriminosos, pois o DNS compartilha suas solicitações e respostas em texto não criptografado, que pode ser facilmente visualizado por terceiros não autorizados.
A agência de segurança de sistemas de informação e inteligência do governo dos Estados Unidos afirma que o DNS criptografado está cada vez mais sendo usado para impedir a escuta e adulteração do tráfego DNS.
“Com a crescente popularidade do DNS criptografado, os proprietários e administradores de redes corporativas devem entender completamente como adotá-lo com sucesso em seus próprios sistemas”, diz a organização. "Mesmo que a empresa não os tenha adotado formalmente, os navegadores mais novos e outros softwares ainda podem tentar usar DNS criptografado e contornar as defesas corporativas tradicionais baseadas em DNS", disse ele.
O sistema de nomes de domínio que usa protocolo de transferência seguro por TLS (HTTPS) criptografa consultas DNS para garantir a confidencialidade, integridade e autenticação de origem durante uma transação com um resolvedor de DNS do cliente. O relatório da NSA diz que enquanto o O DoH pode proteger a confidencialidade das solicitações de DNS e a integridade das respostas, as empresas que o usam perderão, não obstante, parte do controle de que precisam ao usar DNS em suas redes, a menos que eles autorizem seu Resolver DoH como utilizável.
O resolvedor corporativo DoH pode ser um servidor DNS gerenciado pela empresa ou um resolvedor externo.
No entanto, se o resolvedor DNS corporativo não for compatível com DoH, o resolvedor corporativo deve continuar a ser usado e todo o DNS criptografado deve ser desabilitado e bloqueado até que os recursos do DNS criptografado possam ser totalmente integrados à infraestrutura DNS corporativa.
Basicamente A NSA recomenda que o tráfego DNS para uma rede corporativa, criptografada ou não, seja enviado apenas para o resolvedor DNS corporativo designado. Isso ajuda a garantir o uso adequado de controles críticos de segurança de negócios, facilita o acesso aos recursos da rede local e protege as informações na rede interna.
Como funcionam as arquiteturas DNS corporativas
- O usuário deseja visitar um site que não sabe ser malicioso e digita o nome de domínio no navegador da web.
- A solicitação de nome de domínio é enviada ao resolvedor DNS corporativo com um pacote de texto não criptografado na porta 53.
- As consultas que violam as políticas de watchdog do DNS podem gerar alertas e / ou ser bloqueadas.
- Se o endereço IP do domínio não estiver no cache de domínio do resolvedor DNS corporativo e o domínio não estiver filtrado, ele enviará uma consulta DNS por meio do gateway corporativo.
- O gateway corporativo encaminha a consulta DNS em texto não criptografado para um servidor DNS externo. Ele também bloqueia solicitações de DNS que não vêm do resolvedor de DNS da empresa.
- A resposta à consulta com o endereço IP do domínio, o endereço de outro servidor DNS com mais informações ou um erro é retornada em texto não criptografado pelo gateway corporativo;
o gateway corporativo envia a resposta ao resolvedor DNS corporativo. As etapas 3 a 6 são repetidas até que o endereço IP do domínio solicitado seja encontrado ou até que ocorra um erro. - O resolvedor de DNS retorna a resposta ao navegador da web do usuário, que então solicita a página da web do endereço IP na resposta.
fonte: https://media.defense.gov/