DNS olmadan İnternet kolayca çalışamazdıDNS sunucuları tehlikeye atılabildiğinden ve diğer saldırı türleri için vektör olarak kullanılabildiğinden, DNS siber güvenlik açısından çok önemli bir rol oynadığından.
En bir belge Ulusal Güvenlik Ajansı ("İş Ortamlarında Şifrelenmiş DNS'nin Kabulü" başlıklıNSA), Amerika Birleşik Devletleri Savunma Bakanlığı'na bağlı bir devlet kurumu, birkaç gün önce şirketlerdeki siber güvenlik hakkında bir rapor yayınladı.
Döküman Protokolü benimsemenin yararlarını ve risklerini açıklar Şifreli Alan Adı Sistemi Kurumsal ortamlarda (DoH).
DNS'ye aşina olmayanlar için, küresel ölçekte ölçeklenebilir, hiyerarşik ve dinamik olarak dağıtılmış bir veritabanı olduğunu bilmeli, ana bilgisayar adları, IP adresleri (IPv4 ve IPv6), ad sunucusu bilgileri vb. Arasında bir eşleştirme sağlar.
Bununla birlikte, DNS, isteklerini ve yanıtlarını yetkisiz üçüncü şahıslar tarafından kolayca görülebilen açık bir metinle paylaştığı için siber suçlular için popüler bir saldırı vektörü haline geldi.
ABD hükümetinin istihbarat ve bilgi sistemleri güvenlik ajansı, şifrelenmiş DNS'in gizlice dinlemeyi ve DNS trafiğine müdahale etmeyi önlemek için giderek daha fazla kullanıldığını söylüyor.
Kuruluş, "Şifrelenmiş DNS'nin artan popülaritesiyle birlikte, kurumsal ağ sahipleri ve yöneticileri, bunu kendi sistemlerine nasıl başarılı bir şekilde uyarlayacaklarını tam olarak anlamalıdır" diyor organizasyon. "Şirket bunları resmi olarak benimsemiş olmasa bile, daha yeni tarayıcılar ve diğer yazılımlar yine de şifreli DNS kullanmaya ve geleneksel kurumsal DNS tabanlı savunmaları atlamaya çalışabilir" dedi.
Alan adı sistemi TLS üzerinden güvenli aktarım protokolünü kullanır (HTTPS) gizliliği sağlamak için DNS sorgularını şifrelerMüşterinin DNS çözümleyicisi ile işlem sırasında bütünlük ve kaynak kimlik doğrulaması. NSA raporu, DoH, DNS taleplerinin gizliliğini koruyabilir ve yanıtların bütünlüğü, onu kullanan şirketler kaybedecek, Yine de, Ağlarında DNS kullanırken ihtiyaç duydukları kontrolün bir kısmıÇözücü DoH'larını kullanılabilir olarak yetkilendirmedikçe.
DoH kurumsal çözümleyici, şirket tarafından yönetilen bir DNS sunucusu veya harici bir çözümleyici olabilir.
Ancak, kurumsal DNS çözümleyici DoH uyumlu değilse, kurumsal çözümleyici kullanılmaya devam etmeli ve şifrelenmiş DNS'nin yetenekleri kurumsal DNS altyapısına tam olarak entegre edilene kadar tüm şifrelenmiş DNS devre dışı bırakılmalı ve engellenmelidir.
temelde, NSA, bir kurumsal ağ için şifrelenmiş olsun ya da olmasın DNS trafiğinin yalnızca belirlenen kurumsal DNS çözümleyiciye gönderilmesini önerir. Bu, kritik iş güvenliği kontrollerinin doğru şekilde kullanılmasına yardımcı olur, yerel ağ kaynaklarına erişimi kolaylaştırır ve iç ağdaki bilgileri korur.
Kurumsal DNS Mimarileri Nasıl Çalışır?
- Kullanıcı, kötü niyetli olduğunu bilmediği bir web sitesini ziyaret etmek ister ve web tarayıcısına alan adını yazar.
- Alan adı talebi, 53 numaralı bağlantı noktasında açık bir metin paketi ile kurumsal DNS çözümleyicisine gönderilir.
- DNS izleme politikalarını ihlal eden sorgular uyarılar oluşturabilir ve / veya engellenebilir.
- Etki alanının IP adresi kurumsal DNS çözümleyicinin etki alanı önbelleğinde değilse ve etki alanı filtrelenmemişse, kurumsal ağ geçidi aracılığıyla bir DNS sorgusu gönderir.
- Kurumsal ağ geçidi, DNS sorgusunu açık metin olarak harici bir DNS sunucusuna iletir. Ayrıca şirketin DNS çözümleyicisinden gelmeyen DNS isteklerini de engeller.
- Etki alanının IP adresi, daha fazla bilgi içeren başka bir DNS sunucusunun adresi veya bir hata ile sorguya yanıt, kurumsal ağ geçidi üzerinden açık metin olarak döndürülür;
kurumsal ağ geçidi yanıtı kurumsal DNS çözümleyiciye gönderir. 3 ile 6 arasındaki adımlar, istenen etki alanı IP adresi bulunana veya bir hata oluşana kadar tekrarlanır. - DNS çözümleyici, kullanıcının web tarayıcısına yanıtı döndürür ve ardından yanıtta IP adresinden web sayfasını ister.
kaynak: https://media.defense.gov/