Không có DNS, Internet không thể hoạt động dễ dàng, vì DNS đóng một vai trò quan trọng trong an ninh mạng vì các máy chủ DNS có thể bị xâm nhập và được sử dụng làm véc tơ cho các kiểu tấn công khác.
En một tài liệu Entitled: "Thông qua DNS được mã hóa trong môi trường kinh doanh", Cơ quan an ninh quốc gia (NSA), một cơ quan chính phủ của Bộ Quốc phòng Hoa Kỳ, đã xuất bản vài ngày trước một báo cáo về an ninh mạng trong các công ty.
Tài liệu giải thích những lợi ích và rủi ro của việc áp dụng giao thức Hệ thống tên miền được mã hóa (DoH) trong môi trường doanh nghiệp.
Đối với những người không quen thuộc với DNS, họ nên biết rằng nó là một cơ sở dữ liệu có thể mở rộng, phân cấp và phân phối động trên quy mô toàn cầu, nó cung cấp ánh xạ giữa tên máy chủ, địa chỉ IP (IPv4 và IPv6), thông tin máy chủ định danh, v.v.
Tuy nhiên, nó đã trở thành một phương tiện tấn công phổ biến cho tội phạm mạng khi DNS chia sẻ các yêu cầu và phản hồi của chúng dưới dạng văn bản rõ ràng, có thể dễ dàng xem bởi các bên thứ ba trái phép.
Cơ quan an ninh hệ thống thông tin và tình báo của chính phủ Mỹ cho biết DNS mã hóa ngày càng được sử dụng nhiều hơn để ngăn chặn việc nghe trộm và giả mạo lưu lượng DNS.
Tổ chức cho biết: “Với sự phổ biến ngày càng tăng của DNS mã hóa, các chủ sở hữu và quản trị viên mạng của công ty phải hiểu đầy đủ về cách áp dụng thành công nó trên hệ thống của riêng họ”. "Ngay cả khi công ty không chính thức áp dụng chúng, các trình duyệt mới hơn và phần mềm khác vẫn có thể cố gắng sử dụng DNS được mã hóa và vượt qua các biện pháp phòng thủ dựa trên DNS truyền thống của công ty", ông nói.
Hệ thống tên miền sử dụng giao thức truyền an toàn qua TLS (HTTPS) mã hóa các truy vấn DNS để đảm bảo tính bảo mật, tính toàn vẹn và xác thực nguồn trong quá trình giao dịch với trình phân giải DNS của khách hàng. Báo cáo của NSA nói rằng trong khi DoH có thể bảo vệ tính bí mật của các yêu cầu DNS và tính toàn vẹn của các câu trả lời, các công ty sử dụng nó sẽ mất, Tuy nhiên, một số quyền kiểm soát họ cần khi sử dụng DNS trong mạng của họ, trừ khi họ cho phép Resolver DoH của họ có thể sử dụng được.
Trình phân giải công ty DoH có thể là máy chủ DNS do công ty quản lý hoặc trình phân giải bên ngoài.
Tuy nhiên, nếu trình phân giải DNS công ty không tuân thủ DoH, trình phân giải doanh nghiệp sẽ tiếp tục được sử dụng và tất cả các DNS được mã hóa sẽ bị vô hiệu hóa và chặn cho đến khi khả năng của DNS được mã hóa có thể được tích hợp hoàn toàn vào cơ sở hạ tầng DNS của công ty.
Về cơ bản, NSA khuyến nghị rằng lưu lượng DNS cho mạng công ty, được mã hóa hay không, chỉ được gửi đến trình phân giải DNS của công ty được chỉ định. Điều này giúp đảm bảo sử dụng hợp lý các biện pháp kiểm soát bảo mật quan trọng của doanh nghiệp, tạo điều kiện truy cập vào tài nguyên mạng cục bộ và bảo vệ thông tin trên mạng nội bộ.
Cách kiến trúc DNS doanh nghiệp hoạt động
- Người dùng muốn truy cập một trang web mà họ không biết là độc hại và nhập tên miền vào trình duyệt web.
- Yêu cầu tên miền được gửi đến trình phân giải DNS của công ty với một gói văn bản rõ ràng trên cổng 53.
- Các truy vấn vi phạm chính sách của cơ quan giám sát DNS có thể tạo ra cảnh báo và / hoặc bị chặn.
- Nếu địa chỉ IP của miền không có trong bộ đệm miền của trình phân giải DNS của công ty và miền không được lọc, nó sẽ gửi một truy vấn DNS thông qua cổng của công ty.
- Cổng của công ty chuyển tiếp truy vấn DNS ở dạng văn bản rõ ràng đến máy chủ DNS bên ngoài. Nó cũng chặn các yêu cầu DNS không đến từ trình phân giải DNS của công ty.
- Phản hồi cho truy vấn với địa chỉ IP của miền, địa chỉ của máy chủ DNS khác có thêm thông tin hoặc lỗi được trả về dưới dạng văn bản rõ ràng thông qua cổng công ty;
cổng công ty gửi phản hồi đến trình phân giải DNS của công ty. Các bước từ 3 đến 6 được lặp lại cho đến khi tìm thấy địa chỉ IP miền được yêu cầu hoặc xảy ra lỗi. - Trình phân giải DNS trả về phản hồi cho trình duyệt web của người dùng, trình duyệt này sau đó yêu cầu trang web từ địa chỉ IP trong phản hồi.
Fuente: https://media.defense.gov/