Bez DNS by internet nemohol fungovať ľahko, pretože DNS hrá v kybernetickej bezpečnosti rozhodujúcu úlohu, pretože servery DNS môžu byť kompromitované a použité ako vektor pre iné typy útokov.
En dokument S názvom: „Prijatie šifrovaného DNS v podnikových prostrediach“, Národná bezpečnostná agentúra (NSA), vládna agentúra ministerstva obrany USA, pred niekoľkými dňami zverejnila správu o kybernetickej bezpečnosti v spoločnostiach.
Dokument vysvetľuje výhody a riziká vyplývajúce z prijatia protokolu Systém šifrovaných doménových mien (DoH) v podnikových prostrediach.
Pre tých, ktorí DNS nepoznajú, by mali vedieť, že ide o škálovateľnú, hierarchickú a dynamicky distribuovanú databázu v globálnom meradle, ktorá poskytuje mapovanie medzi názvami hostiteľov, adresami IP (IPv4 a IPv6), informáciami o názvových serveroch atď.
Stal sa však populárnym vektorom útokov kybernetických zločincov, pretože DNS zdieľa ich žiadosti a odpovede v čírom texte, ktorý si ľahko môžu zobraziť neoprávnené tretie strany.
Americká bezpečnostná agentúra pre spravodajské a informačné systémy tvrdí, že šifrované DNS sa čoraz viac používa na zabránenie odpočúvaniu a manipulácii s prenosom DNS.
„S rastúcou popularitou šifrovaného DNS musia vlastníci a správcovia podnikových sietí úplne porozumieť tomu, ako ich úspešne prijať na svojich vlastných systémoch,“ tvrdí organizácia. „Aj keď ich spoločnosť formálne neprijala, novšie prehliadače a iný softvér sa môžu aj naďalej snažiť používať šifrované DNS a obísť tradičné podnikové obrany založené na DNS,“ uviedol.
Systém názvov domén používa zabezpečený prenosový protokol cez TLS (HTTPS) šifruje dotazy DNS na zabezpečenie dôvernosti, integrita a autentifikácia zdroja počas transakcie s prekladačom DNS zákazníka. Správa NSA hovorí, že zatiaľ čo DoH môže chrániť dôvernosť požiadaviek DNS a integritu odpovedí, spoločnosti, ktoré ho používajú, stratia, Napriek tomu časť kontroly, ktorú potrebujú pri používaní DNS v rámci svojich sietí, pokiaľ neschvália svoje DoH Resolver ako použiteľné.
Podnikovým resolverom DoH môže byť server DNS spravovaný spoločnosťou alebo externý resolver.
Ak však podnikový prekladač DNS nie je kompatibilný s DoH, mal by sa naďalej používať podnikový prekladač a všetky šifrované DNS by sa mali deaktivovať a blokovať, kým nebude možné šifrované DNS úplne integrovať do podnikovej infraštruktúry DNS.
v podstate, NSA odporúča, aby sa prevádzka DNS pre podnikovú sieť, šifrovaná alebo nekódovaná, posielala iba určenému podnikovému prekladaču DNS. To pomáha zaistiť správne používanie dôležitých podnikových bezpečnostných kontrol, uľahčuje prístup k prostriedkom miestnej siete a chráni informácie vo vnútornej sieti.
Ako fungujú podnikové architektúry DNS
- Používateľ chce navštíviť webovú stránku, o ktorej nevie, že je škodlivá, a do webového prehliadača zadá názov domény.
- Žiadosť o názov domény sa odošle podnikovému prekladaču DNS s čistým textovým paketom na porte 53.
- Dotazy, ktoré porušujú zásady sledovania DNS, môžu generovať výstrahy alebo byť blokované.
- Ak adresa IP domény nie je v medzipamäti domény podnikového prekladača DNS a doména nie je filtrovaná, odošle dotaz DNS prostredníctvom podnikovej brány.
- Podniková brána preposiela dotaz DNS v čistom texte na externý server DNS. Blokuje tiež požiadavky DNS, ktoré nepochádzajú z prekladača DNS spoločnosti.
- Odpoveď na dopyt s IP adresou domény, adresou iného servera DNS s ďalšími informáciami alebo chybou sa vráti ako obyčajný text cez podnikovú bránu;
podniková brána odošle odpoveď na podnikový prekladač DNS. Kroky 3 až 6 sa opakujú, kým nenájdete požadovanú adresu IP domény alebo kým sa nestane chyba. - DNS resolver vráti odpoveď do webového prehliadača používateľa, ktorý potom v odpovedi vyžiada webovú stránku z adresy IP.
Fuente: https://media.defense.gov/