АНБ дает рекомендации компаниям, переходящим на зашифрованный DNS

NSA с открытым исходным кодом

Без DNS Интернет не мог бы легко функционировать, поскольку DNS играет решающую роль в кибербезопасности, поскольку DNS-серверы могут быть скомпрометированы и использованы в качестве вектора для других типов атак.

En документ Под названием: «Внедрение зашифрованного DNS в деловой среде» Агентство национальной безопасности (NSA), правительственное агентство Министерства обороны США, несколько дней назад опубликовал отчет о кибербезопасности в компаниях.

Документ объясняет преимущества и риски принятия протокола Система зашифрованных доменных имен (DoH) в корпоративной среде.

Тем, кто не знаком с DNS, следует знать, что это масштабируемая, иерархическая и динамически распределенная база данных в глобальном масштабе, она обеспечивает сопоставление между именами хостов, IP-адресами (IPv4 и IPv6), информацией о серверах имен и т. Д.

Тем не менее, он стал популярным вектором атак для киберпреступников, поскольку DNS делится своими запросами и ответами в виде открытого текста, который могут легко просматривать неавторизованные третьи стороны.

Агентство разведки и безопасности информационных систем правительства США заявляет, что зашифрованный DNS все чаще используется для предотвращения перехвата и подделки трафика DNS.

«С ростом популярности зашифрованного DNS владельцы и администраторы корпоративных сетей должны полностью понимать, как успешно внедрить его в своих собственных системах», - заявляет организация. «Даже если компания официально не приняла их, новые браузеры и другое программное обеспечение могут по-прежнему пытаться использовать зашифрованный DNS и обходить традиционную корпоративную защиту на основе DNS», - сказал он.

Система доменных имен, которая использует протокол безопасной передачи через TLS (HTTPS) шифрует DNS-запросы для обеспечения конфиденциальности, целостность и аутентификация источника во время транзакции с DNS-преобразователем клиента. В отчете АНБ говорится, что в то время как DoH может защитить конфиденциальность DNS-запросов и целостность ответов, компании, которые его используют, проиграют, Тем не менее, некоторый контроль, который им необходим при использовании DNS в своих сетях, если они не разрешают использовать свой Resolver DoH.

Корпоративный преобразователь DoH может быть DNS-сервером, управляемым компанией, или внешним преобразователем.

Однако, если корпоративный преобразователь DNS не соответствует требованиям DoH, преобразователь корпоративного DNS должен продолжать использоваться, а все зашифрованные DNS должны быть отключены и заблокированы до тех пор, пока возможности зашифрованного DNS не будут полностью интегрированы в корпоративную инфраструктуру DNS.

в основном, АНБ рекомендует отправлять DNS-трафик для корпоративной сети, зашифрованный или нет, только на назначенный корпоративный преобразователь DNS. Это помогает обеспечить правильное использование важнейших средств управления безопасностью бизнеса, облегчает доступ к ресурсам локальной сети и защищает информацию во внутренней сети.

Как работают корпоративные DNS-архитектуры

  • Пользователь хочет посетить веб-сайт, который, как он не знает, является вредоносным, и вводит доменное имя в веб-браузере.
  • Запрос на доменное имя отправляется на корпоративный преобразователь DNS с открытым текстовым пакетом на порт 53.
  • Запросы, нарушающие политику сторожевого таймера DNS, могут генерировать предупреждения и / или блокироваться.
  • Если IP-адрес домена отсутствует в кэше домена корпоративного преобразователя DNS и домен не фильтруется, он отправит DNS-запрос через корпоративный шлюз.
  • Корпоративный шлюз пересылает DNS-запрос в виде открытого текста на внешний DNS-сервер. Он также блокирует запросы DNS, которые не поступают от преобразователя DNS компании.
  • Ответ на запрос с IP-адресом домена, адресом другого DNS-сервера с дополнительной информацией или ошибкой возвращается в виде открытого текста через корпоративный шлюз;
    корпоративный шлюз отправляет ответ корпоративному преобразователю DNS. Шаги с 3 по 6 повторяются до тех пор, пока не будет найден запрошенный IP-адрес домена или не возникнет ошибка.
  • Преобразователь DNS возвращает ответ веб-браузеру пользователя, который затем запрашивает веб-страницу с IP-адреса в ответе.

источник: https://media.defense.gov/


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован.

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.