หากไม่มี DNS อินเทอร์เน็ตก็ไม่สามารถทำงานได้อย่างง่ายดายเนื่องจาก DNS มีบทบาทสำคัญในการรักษาความปลอดภัยทางไซเบอร์เนื่องจากเซิร์ฟเวอร์ DNS อาจถูกบุกรุกและใช้เป็นเวกเตอร์สำหรับการโจมตีประเภทอื่น ๆ
En เอกสาร สิทธิ: "การนำ DNS ที่เข้ารหัสมาใช้ในสภาพแวดล้อมทางธุรกิจ" หน่วยงานความมั่นคงแห่งชาติ (NSA) ซึ่งเป็นหน่วยงานรัฐบาลของกระทรวงกลาโหมสหรัฐอเมริกา เผยแพร่เมื่อหลายวันก่อนรายงานเกี่ยวกับความปลอดภัยทางไซเบอร์ใน บริษัท ต่างๆ
เอกสาร อธิบายถึงประโยชน์และความเสี่ยงของการนำโปรโตคอลไปใช้ ระบบชื่อโดเมนที่เข้ารหัส (DoH) ในสภาพแวดล้อมขององค์กร
สำหรับผู้ที่ไม่คุ้นเคยกับ DNS พวกเขาควรทราบว่าเป็นฐานข้อมูลที่ปรับขนาดได้ตามลำดับชั้นและกระจายแบบไดนามิกในระดับโลกโดยมีการจับคู่ระหว่างชื่อโฮสต์ที่อยู่ IP (IPv4 และ IPv6) ข้อมูลเซิร์ฟเวอร์ชื่อ ฯลฯ
อย่างไรก็ตามมันได้กลายเป็นเวกเตอร์การโจมตียอดนิยมสำหรับอาชญากรไซเบอร์เนื่องจาก DNS แบ่งปันคำขอและการตอบสนองของพวกเขาในรูปแบบข้อความที่ชัดเจนซึ่งบุคคลที่สามที่ไม่ได้รับอนุญาตสามารถดูได้อย่างง่ายดาย
หน่วยงานรักษาความปลอดภัยหน่วยข่าวกรองและระบบข้อมูลของรัฐบาลสหรัฐฯกล่าวว่า DNS ที่เข้ารหัสถูกนำมาใช้มากขึ้นเพื่อป้องกันการดักฟังและการแทรกแซงการรับส่งข้อมูล DNS
"ด้วยความนิยมที่เพิ่มขึ้นของ DNS เข้ารหัสเจ้าของเครือข่ายขององค์กรและผู้ดูแลระบบจะต้องเข้าใจอย่างถ่องแท้ถึงวิธีการนำมาใช้ในระบบของตนเองให้ประสบความสำเร็จ" องค์กรกล่าว "แม้ว่า บริษัท จะไม่ได้นำมาใช้อย่างเป็นทางการ แต่เบราว์เซอร์รุ่นใหม่และซอฟต์แวร์อื่น ๆ ก็ยังคงพยายามใช้ DNS ที่เข้ารหัสและหลีกเลี่ยงการป้องกันที่ใช้ DNS ขององค์กรแบบเดิม" เขากล่าว
ระบบชื่อโดเมนนั้น ใช้โปรโตคอลการถ่ายโอนที่ปลอดภัยผ่าน TLS (เอชทีพีเอส) เข้ารหัสการสืบค้น DNS เพื่อให้มั่นใจว่าเป็นความลับความสมบูรณ์และการตรวจสอบแหล่งที่มาระหว่างการทำธุรกรรมกับตัวแก้ไข DNS ของลูกค้า รายงานของ NSA กล่าวว่าในขณะที่ DoH สามารถป้องกันความลับของคำขอ DNS และความสมบูรณ์ของคำตอบ บริษัท ที่ใช้มันจะสูญเสีย, แต่ถึงอย่างไร, การควบคุมบางอย่างที่จำเป็นเมื่อใช้ DNS ภายในเครือข่ายเว้นแต่จะอนุญาตให้ Resolver DoH ของตนใช้งานได้
ตัวแก้ไของค์กร DoH อาจเป็นเซิร์ฟเวอร์ DNS ที่จัดการโดย บริษัท หรือตัวแก้ไขภายนอก
อย่างไรก็ตามหากตัวแก้ไข DNS ขององค์กรไม่เป็นไปตามมาตรฐาน DoH ควรใช้ตัวแก้ไของค์กรต่อไปและควรปิดใช้งานและบล็อก DNS ที่เข้ารหัสทั้งหมดจนกว่าความสามารถของ DNS ที่เข้ารหัสจะสามารถรวมเข้ากับโครงสร้างพื้นฐาน DNS ขององค์กรได้อย่างสมบูรณ์
โดยทั่วไป NSA แนะนำว่าการรับส่งข้อมูล DNS สำหรับเครือข่ายขององค์กรที่เข้ารหัสหรือไม่ถูกส่งไปยังตัวแก้ไข DNS ขององค์กรที่กำหนดเท่านั้น สิ่งนี้ช่วยให้แน่ใจว่ามีการใช้การควบคุมความปลอดภัยทางธุรกิจที่สำคัญอย่างเหมาะสมอำนวยความสะดวกในการเข้าถึงทรัพยากรเครือข่ายท้องถิ่นและปกป้องข้อมูลบนเครือข่ายภายใน
สถาปัตยกรรม DNS ขององค์กรทำงานอย่างไร
- ผู้ใช้ต้องการเยี่ยมชมเว็บไซต์ที่เขาไม่ทราบว่าเป็นอันตรายและพิมพ์ชื่อโดเมนในเว็บเบราว์เซอร์
- คำขอชื่อโดเมนจะถูกส่งไปยังตัวแก้ไข DNS ขององค์กรพร้อมด้วยแพ็กเก็ตข้อความที่ชัดเจนบนพอร์ต 53
- คำค้นหาที่ละเมิดนโยบาย DNS watchdog สามารถสร้างการแจ้งเตือนและ / หรือถูกบล็อกได้
- หากที่อยู่ IP ของโดเมนไม่อยู่ในแคชโดเมนของตัวแก้ไข DNS ขององค์กรและโดเมนไม่ได้ถูกกรองโดเมนจะส่งแบบสอบถาม DNS ผ่านเกตเวย์ขององค์กร
- เกตเวย์ขององค์กรจะส่งต่อแบบสอบถาม DNS ในข้อความที่ชัดเจนไปยังเซิร์ฟเวอร์ DNS ภายนอก นอกจากนี้ยังบล็อกคำขอ DNS ที่ไม่ได้มาจากตัวแก้ไข DNS ของ บริษัท
- การตอบกลับแบบสอบถามด้วยที่อยู่ IP ของโดเมนที่อยู่ของเซิร์ฟเวอร์ DNS อื่นที่มีข้อมูลเพิ่มเติมหรือข้อผิดพลาดจะแสดงเป็นข้อความที่ชัดเจนผ่านทางเกตเวย์ขององค์กร
เกตเวย์ขององค์กรจะส่งการตอบสนองไปยังตัวแก้ไข DNS ขององค์กร ทำซ้ำขั้นตอนที่ 3 ถึง 6 จนกว่าจะพบที่อยู่ IP ของโดเมนที่ร้องขอหรือเกิดข้อผิดพลาด - ตัวแก้ไข DNS จะส่งคืนการตอบสนองไปยังเว็บเบราว์เซอร์ของผู้ใช้ซึ่งจะร้องขอหน้าเว็บจากที่อยู่ IP ในการตอบกลับ
Fuente: https://media.defense.gov/