NSA faz recomendações sobre empresas que adotam DNS criptografado

Darkcrizt

Minutos 4

nsa-código aberto

Sem DNS, a Internet não poderia funcionar facilmente, já que o DNS desempenha um papel crucial na segurança cibernética, pois os servidores DNS podem ser comprometidos e usados ​​como vetor para outros tipos de ataques.

En um documento Intitulado: "Adoção de DNS criptografado em ambientes de negócios", a Agência de Segurança Nacional (NSA), uma agência governamental do Departamento de Defesa dos Estados Unidos, publicou há vários dias um relatório sobre cibersegurança nas empresas.

O documento explica os benefícios e riscos da adoção do protocolo Sistema de nome de domínio criptografado (DoH) em ambientes corporativos.

Para aqueles que não estão familiarizados com DNS, eles devem saber que é um banco de dados escalável, hierárquico e dinamicamente distribuído em escala global, que fornece um mapeamento entre nomes de host, endereços IP (IPv4 e IPv6), informações de servidor de nomes, etc.

No entanto, ele se tornou um vetor de ataque popular para cibercriminosos, pois o DNS compartilha suas solicitações e respostas em texto não criptografado, que pode ser facilmente visualizado por terceiros não autorizados.

A agência de segurança de sistemas de informação e inteligência do governo dos Estados Unidos afirma que o DNS criptografado está cada vez mais sendo usado para impedir a escuta e adulteração do tráfego DNS.

“Com a crescente popularidade do DNS criptografado, os proprietários e administradores de redes corporativas devem entender completamente como adotá-lo com sucesso em seus próprios sistemas”, diz a organização. "Mesmo que a empresa não os tenha adotado formalmente, os navegadores mais novos e outros softwares ainda podem tentar usar DNS criptografado e contornar as defesas corporativas tradicionais baseadas em DNS", disse ele.

O sistema de nomes de domínio que usa protocolo de transferência seguro por TLS (HTTPS) criptografa consultas DNS para garantir a confidencialidade, integridade e autenticação de origem durante uma transação com um resolvedor de DNS do cliente. O relatório da NSA diz que enquanto o O DoH pode proteger a confidencialidade das solicitações de DNS e a integridade das respostas, as empresas que o usam perderão, não obstante, parte do controle de que precisam ao usar DNS em suas redes, a menos que eles autorizem seu Resolver DoH como utilizável.

O resolvedor corporativo DoH pode ser um servidor DNS gerenciado pela empresa ou um resolvedor externo.

No entanto, se o resolvedor DNS corporativo não for compatível com DoH, o resolvedor corporativo deve continuar a ser usado e todo o DNS criptografado deve ser desabilitado e bloqueado até que os recursos do DNS criptografado possam ser totalmente integrados à infraestrutura DNS corporativa.

Basicamente A NSA recomenda que o tráfego DNS para uma rede corporativa, criptografada ou não, seja enviado apenas para o resolvedor DNS corporativo designado. Isso ajuda a garantir o uso adequado de controles críticos de segurança de negócios, facilita o acesso aos recursos da rede local e protege as informações na rede interna.

Como funcionam as arquiteturas DNS corporativas

  • O usuário deseja visitar um site que não sabe ser malicioso e digita o nome de domínio no navegador da web.
  • A solicitação de nome de domínio é enviada ao resolvedor DNS corporativo com um pacote de texto não criptografado na porta 53.
  • As consultas que violam as políticas de watchdog do DNS podem gerar alertas e / ou ser bloqueadas.
  • Se o endereço IP do domínio não estiver no cache de domínio do resolvedor DNS corporativo e o domínio não estiver filtrado, ele enviará uma consulta DNS por meio do gateway corporativo.
  • O gateway corporativo encaminha a consulta DNS em texto não criptografado para um servidor DNS externo. Ele também bloqueia solicitações de DNS que não vêm do resolvedor de DNS da empresa.
  • A resposta à consulta com o endereço IP do domínio, o endereço de outro servidor DNS com mais informações ou um erro é retornada em texto não criptografado pelo gateway corporativo;
    o gateway corporativo envia a resposta ao resolvedor DNS corporativo. As etapas 3 a 6 são repetidas até que o endereço IP do domínio solicitado seja encontrado ou até que ocorra um erro.
  • O resolvedor de DNS retorna a resposta ao navegador da web do usuário, que então solicita a página da web do endereço IP na resposta.

fonte: https://media.defense.gov/


Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: AB Internet Networks 2008 SL
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.