Без ДНС-а Интернет не би могао лако да функционише, с обзиром да ДНС игра пресудну улогу у сајбер сигурности, јер ДНС сервери могу бити угрожени и кориштени као вектор за друге врсте напада.
En документ Под називом: „Усвајање шифрованог ДНС-а у пословном окружењу“, Агенција за националну безбедност (NSA), владина агенција Министарства одбране Сједињених Држава, објавио пре неколико дана извештај о сајбер-безбедности у компанијама.
Документ објашњава користи и ризике усвајања протокола Шифровани систем имена домена (ДоХ) у корпорацијским окружењима.
За оне који нису упознати са ДНС-ом, требали би знати да је то скалабилна, хијерархијска и динамички дистрибуирана база података на глобалном нивоу, пружа мапирање између имена хоста, ИП адреса (ИПв4 и ИПв6), информација о серверу имена итд.
Међутим, постао је популаран вектор напада за сајбер криминалце, јер ДНС дели њихове захтеве и одговоре у јасном тексту, који неовлашћене треће стране могу лако прегледати.
Америчка агенција за безбедност обавештајних и информационих система каже да се шифровани ДНС све више користи за спречавање прислушкивања и неовлашћеног коришћења ДНС саобраћаја.
„Са растућом популарношћу шифрованог ДНС-а, власници корпоративних мрежа и администратори морају у потпуности разумети како га успешно усвојити на сопственим системима“, каже организација. „Чак и ако их компанија није формално усвојила, новији прегледачи и други софтвер и даље могу покушати да користе шифровани ДНС и заобиђу традиционалне корпоративне одбране засноване на ДНС-у“, рекао је он.
Систем имена домена који користи протокол сигурног преноса преко ТЛС-а (ХТТПС) шифрира ДНС упите ради осигурања поверљивости, интегритет и аутентичност извора током трансакције помоћу ДНС резолуције купца. Извештај НСА каже да док ДоХ може заштитити поверљивост ДНС захтева и интегритет одговора, компаније које га користе ће изгубити, Ипак, део контроле која им је потребна када користе ДНС у оквиру својих мрежа, осим ако не одобре свој Ресолвер ДоХ као употребљив.
ДоХ корпоративни разрешивач може бити ДНС сервер којим управља компанија или спољни разрешивач.
Међутим, ако корпоративни ДНС разрешивач није усаглашен са ДоХ, разрешивач предузећа треба да се настави користити, а сви шифровани ДНС треба онемогућити и блокирати све док се могућности шифрованог ДНС-а не могу у потпуности интегрисати у корпоративну ДНС инфраструктуру.
У основи, НСА препоручује да се ДНС саобраћај за корпоративну мрежу, шифрован или не, шаље само одређеном корпоративном ДНС решавачу. Ово помаже у обезбеђивању правилне употребе критичних контрола пословне безбедности, олакшава приступ ресурсима локалне мреже и штити информације на унутрашњој мрежи.
Како функционишу ДНС архитектуре предузећа
- Корисник жели да посети веб локацију за коју не зна да је злонамерна и укуца име домена у веб прегледач.
- Захтев за именом домене шаље се корпоративном ДНС решавачу са јасним пакетом текста на порту 53.
- Упити који крше политике чувања ДНС-а могу генерисати упозорења и / или бити блокирани.
- Ако се ИП адреса домена не налази у кешу домене корпоративног ДНС резолуције и домен није филтриран, послат ће ДНС упит кроз корпоративни мрежни пролаз.
- Корпоративни мрежни пролаз прослеђује ДНС упит у чистом тексту на спољни ДНС сервер. Такође блокира ДНС захтеве који не потичу из ДНС решавача компаније.
- Одговор на упит са ИП адресом домена, адресом другог ДНС сервера са више информација или грешком враћа се у чистом тексту кроз мрежни пролаз;
корпоративни мрежни пролаз шаље одговор корпоративном ДНС решавачу. Кораци од 3 до 6 се понављају док се не пронађе тражена ИП адреса домена или се деси грешка. - ДНС разрешивач враћа одговор корисниковом веб прегледачу, који затим тражи веб страницу са ИП адресе у одговору.
izvor: https://media.defense.gov/