Без DNS Интернет не мог бы легко функционировать, поскольку DNS играет решающую роль в кибербезопасности, поскольку DNS-серверы могут быть скомпрометированы и использованы в качестве вектора для других типов атак.
En документ Под названием: «Внедрение зашифрованного DNS в деловой среде» Агентство национальной безопасности (NSA), правительственное агентство Министерства обороны США, несколько дней назад опубликовал отчет о кибербезопасности в компаниях.
Документ объясняет преимущества и риски принятия протокола Система зашифрованных доменных имен (DoH) в корпоративной среде.
Тем, кто не знаком с DNS, следует знать, что это масштабируемая, иерархическая и динамически распределенная база данных в глобальном масштабе, она обеспечивает сопоставление между именами хостов, IP-адресами (IPv4 и IPv6), информацией о серверах имен и т. Д.
Тем не менее, он стал популярным вектором атак для киберпреступников, поскольку DNS делится своими запросами и ответами в виде открытого текста, который могут легко просматривать неавторизованные третьи стороны.
Агентство разведки и безопасности информационных систем правительства США заявляет, что зашифрованный DNS все чаще используется для предотвращения перехвата и подделки трафика DNS.
«С ростом популярности зашифрованного DNS владельцы и администраторы корпоративных сетей должны полностью понимать, как успешно внедрить его в своих собственных системах», - заявляет организация. «Даже если компания официально не приняла их, новые браузеры и другое программное обеспечение могут по-прежнему пытаться использовать зашифрованный DNS и обходить традиционную корпоративную защиту на основе DNS», - сказал он.
Система доменных имен, которая использует протокол безопасной передачи через TLS (HTTPS) шифрует DNS-запросы для обеспечения конфиденциальности, целостность и аутентификация источника во время транзакции с DNS-преобразователем клиента. В отчете АНБ говорится, что в то время как DoH может защитить конфиденциальность DNS-запросов и целостность ответов, компании, которые его используют, проиграют, Тем не менее, некоторый контроль, который им необходим при использовании DNS в своих сетях, если они не разрешают использовать свой Resolver DoH.
Корпоративный преобразователь DoH может быть DNS-сервером, управляемым компанией, или внешним преобразователем.
Однако, если корпоративный преобразователь DNS не соответствует требованиям DoH, преобразователь корпоративного DNS должен продолжать использоваться, а все зашифрованные DNS должны быть отключены и заблокированы до тех пор, пока возможности зашифрованного DNS не будут полностью интегрированы в корпоративную инфраструктуру DNS.
в основном, АНБ рекомендует отправлять DNS-трафик для корпоративной сети, зашифрованный или нет, только на назначенный корпоративный преобразователь DNS. Это помогает обеспечить правильное использование важнейших средств управления безопасностью бизнеса, облегчает доступ к ресурсам локальной сети и защищает информацию во внутренней сети.
Как работают корпоративные DNS-архитектуры
- Пользователь хочет посетить веб-сайт, который, как он не знает, является вредоносным, и вводит доменное имя в веб-браузере.
- Запрос на доменное имя отправляется на корпоративный преобразователь DNS с открытым текстовым пакетом на порт 53.
- Запросы, нарушающие политику сторожевого таймера DNS, могут генерировать предупреждения и / или блокироваться.
- Если IP-адрес домена отсутствует в кэше домена корпоративного преобразователя DNS и домен не фильтруется, он отправит DNS-запрос через корпоративный шлюз.
- Корпоративный шлюз пересылает DNS-запрос в виде открытого текста на внешний DNS-сервер. Он также блокирует запросы DNS, которые не поступают от преобразователя DNS компании.
- Ответ на запрос с IP-адресом домена, адресом другого DNS-сервера с дополнительной информацией или ошибкой возвращается в виде открытого текста через корпоративный шлюз;
корпоративный шлюз отправляет ответ корпоративному преобразователю DNS. Шаги с 3 по 6 повторяются до тех пор, пока не будет найден запрошенный IP-адрес домена или не возникнет ошибка. - Преобразователь DNS возвращает ответ веб-браузеру пользователя, который затем запрашивает веб-страницу с IP-адреса в ответе.
источник: https://media.defense.gov/