Utan DNS kunde Internet inte fungera lätteftersom DNS spelar en avgörande roll i cybersäkerhet eftersom DNS-servrar kan äventyras och användas som en vektor för andra typer av attacker.
En ett dokument med titeln: "Antagande av krypterad DNS i affärsmiljöer," National Security Agency (NSA), ett regeringsorgan för Förenta staternas försvarsdepartement, publicerade för flera dagar sedan en rapport om cybersäkerhet i företag.
Dokumentet förklarar fördelarna och riskerna med att anta protokollet Krypterat domännamnssystem (DoH) i företagsmiljöer.
För dem som inte känner till DNS bör de veta att det är en skalbar, hierarkisk och dynamiskt distribuerad databas på global skala, den ger en mappning mellan värdnamn, IP-adresser (IPv4 och IPv6), namnserverinformation etc.
Det har dock blivit en populär attackvektor för cyberbrottslingar eftersom DNS delar sina förfrågningar och svar i klartext, vilket enkelt kan ses av obehöriga tredje parter.
Den amerikanska regeringens säkerhetsbyrå för underrättelse- och informationssystem säger att krypterad DNS i allt högre grad används för att förhindra avlyssning och manipulering av DNS-trafik.
"Med den växande populariteten för krypterad DNS måste företagsnätägare och administratörer förstå hur de framgångsrikt kan använda det i sina egna system", säger organisationen. ”Även om företaget inte formellt har antagit dem kan nyare webbläsare och annan programvara fortfarande försöka använda krypterad DNS och kringgå traditionella DNS-baserade försvar,” sade han.
Domännamnssystemet som använder säkert överföringsprotokoll över TLS (HTTPS) krypterar DNS-frågor för att säkerställa konfidentialitet, integritet och källautentisering under en transaktion med en kunds DNS-resolver. NSA-rapporten säger att medan DoH kan skydda sekretessen för DNS-förfrågningar och svarens integritet, företag som använder det kommer att förlora, Ändå, en del av den kontroll de behöver när de använder DNS i sina nätverk, såvida de inte godkänner sin Resolver DoH som användbar.
DoH-företagsupplösaren kan vara en företagsadministrerad DNS-server eller en extern resolver.
Men om företagets DNS-resolver inte är DoH-kompatibel bör företagets resolver fortsätta att användas och all krypterad DNS bör inaktiveras och blockeras tills kapaciteten hos den krypterade DNS kan integreras helt i företagets DNS-infrastruktur.
i grund och botten, NSA rekommenderar att DNS-trafik för ett företagsnätverk, krypterat eller inte, bara skickas till den utsedda företagets DNS-resolver. Detta hjälper till att säkerställa korrekt användning av kritiska säkerhetskontroller, underlättar åtkomst till lokala nätverksresurser och skyddar information i det interna nätverket.
Hur Enterprise DNS-arkitekturer fungerar
- Användaren vill besöka en webbplats som han inte vet är skadlig och skriver in domännamnet i webbläsaren.
- Domännamnsförfrågan skickas till företagets DNS-resolver med ett klartextpaket på port 53.
- Frågor som bryter mot DNS-övervakningspolicyer kan generera varningar och / eller blockeras.
- Om domänens IP-adress inte finns i domäncachen för företagets DNS-resolver och domänen inte filtreras skickar den en DNS-fråga genom företagets gateway.
- Företagets gateway vidarebefordrar DNS-frågan i klartext till en extern DNS-server. Det blockerar också DNS-förfrågningar som inte kommer från företagets DNS-resolver.
- Svaret på frågan med domänens IP-adress, adressen till en annan DNS-server med mer information eller ett fel returneras i klartext genom företagets gateway;
företagets gateway skickar svaret till företagets DNS-resolver. Steg 3 till 6 upprepas tills den begärda domänens IP-adress hittas eller om ett fel uppstår. - DNS-resolvern returnerar svaret till användarens webbläsare, som sedan begär webbsidan från IP-adressen i svaret.
Fuente: https://media.defense.gov/