Без DNS Інтернет не міг працювати легко, оскільки DNS відіграє вирішальну роль у кібербезпеці, оскільки DNS-сервери можуть бути скомпрометовані та використані як вектор для інших типів атак.
En документ Під назвою: "Прийняття зашифрованого DNS в бізнес-середовищі", Агентство національної безпеки (NSA), урядовий орган Міністерства оборони США, опублікував кілька днів тому звіт про кібербезпеку в компаніях.
Документ пояснює переваги та ризики прийняття протоколу Зашифрована система доменних імен (DoH) в корпоративному середовищі.
Для тих, хто не знайомий з DNS, вони повинні знати, що це масштабована, ієрархічна та динамічно розподілена база даних у глобальному масштабі, вона забезпечує зіставлення між іменами хостів, IP-адресами (IPv4 та IPv6), інформацією про сервер імен тощо.
Однак це стало популярним вектором атак для кіберзлочинців, оскільки DNS ділиться їх запитами та відповідями у чіткому тексті, який можуть легко переглядати неавторизовані треті сторони.
Агентство уряду США з питань розвідки та інформаційних систем заявляє, що зашифрований DNS все частіше використовується для запобігання прослуховуванню та підробленню трафіку DNS.
"Зі зростанням популярності зашифрованого DNS власники корпоративних мереж та адміністратори повинні повністю розуміти, як успішно застосовувати його у власних системах", - заявляє організація. "Навіть якщо компанія офіційно їх не прийняла, новіші браузери та інше програмне забезпечення все одно можуть спробувати використовувати зашифрований DNS і обійти традиційні корпоративні засоби захисту на основі DNS", - сказав він.
Система доменних імен, яка використовує протокол безпечної передачі через TLS (HTTPS) шифрує запити DNS для забезпечення конфіденційності, цілісність та аутентифікація джерела під час транзакції за допомогою засобу розпізнавання DNS клієнта. У звіті АНБ говориться, що хоча DoH може захистити конфіденційність запитів DNS і цілісність відповідей, компанії, які його використовують, програють, Тим не менше, деякий контроль, який їм потрібен під час використання DNS у своїх мережах, за винятком випадків, коли вони санкціонують свій Resolver DoH як придатний для використання.
Корпоративний вирішувач DoH може бути керованим компанією DNS-сервером або зовнішнім вирішувачем.
Однак, якщо корпоративний вирішувач DNS не відповідає стандарту DoH, корпоративний вирішувач повинен продовжувати використовуватися, а всі зашифровані DNS слід вимикати та блокувати, доки можливості зашифрованого DNS не можуть бути повністю інтегровані в корпоративну інфраструктуру DNS.
В основному, АНБ рекомендує надсилати трафік DNS для корпоративної мережі, зашифрований чи ні, лише на призначений корпоративний вирішувач DNS. Це допомагає забезпечити належне використання важливих засобів управління безпекою бізнесу, полегшує доступ до ресурсів локальної мережі та захищає інформацію у внутрішній мережі.
Як працюють архітектури DNS підприємства
- Користувач хоче відвідати веб-сайт, який, на його думку, не є зловмисним, і вводить ім’я домену у веб-браузері.
- Запит доменного імені надсилається на корпоративний вирішувач DNS із чистим текстовим пакетом на порт 53.
- Запити, які порушують політику сторожового контролю DNS, можуть генерувати попередження та / або бути заблокованими.
- Якщо IP-адреса домену відсутня в кеші домену корпоративного розпорядника DNS і домен не відфільтрований, він надішле DNS-запит через корпоративний шлюз.
- Корпоративний шлюз пересилає запит DNS у чистому тексті на зовнішній DNS-сервер. Він також блокує запити DNS, які не надходять від вирішувача DNS компанії.
- Відповідь на запит із IP-адресою домену, адресою іншого DNS-сервера з додатковою інформацією або помилкою повертається чистим текстом через корпоративний шлюз;
корпоративний шлюз надсилає відповідь корпоративному вирішувачу DNS. Етапи 3 - 6 повторюються доти, доки не буде знайдена запитана IP-адреса домену або не станеться помилка. - Розподільник DNS повертає відповідь веб-браузеру користувача, який потім запитує веб-сторінку з IP-адреси у відповіді.
Фуенте: https://media.defense.gov/