没有DNS,互联网将无法轻松运行,因为DNS在网络安全中起着至关重要的作用,因为DNS服务器可能会受到威胁并被用作其他类型攻击的媒介。
En 一个文件 标题为:“在业务环境中采用加密的DNS”,国家安全局(国家安全局),是美国国防部的政府机构, 日前发布了有关公司网络安全的报告。
文件 解释采用该协议的好处和风险 加密域名系统 (DoH)在公司环境中。
对于不熟悉DNS的用户,他们应该知道它是一个可扩展的,分层的且在全球范围内动态分布的数据库,它提供了主机名,IP地址(IPv4和IPv6),名称服务器信息等之间的映射。
但是,由于DNS以明文形式共享其请求和响应,因此它已成为网络犯罪分子的流行攻击媒介,未经授权的第三方可以轻松查看它们。
美国政府情报和信息系统安全机构表示,越来越多地使用加密DNS来防止窃听和篡改DNS流量。
该组织说:“随着加密DNS的日益普及,企业网络所有者和管理员必须完全了解如何在自己的系统上成功采用它。” 他说:“即使该公司尚未正式采用它们,更新的浏览器和其他软件仍可能尝试使用加密的DNS并绕过传统的基于公司DNS的防御措施。”
域名系统 在TLS上使用安全传输协议 (HTTPS) 加密DNS查询以确保机密性与客户的DNS解析器进行交易期间进行完整性,完整性和源身份验证。 美国国家安全局(NSA)报告说, 卫生部可以保护DNS请求的机密性 以及回应的完整性, 使用它的公司将会输掉, 尽管如此, 他们在网络中使用DNS时需要的一些控制,除非他们授权其Resolver DoH可用。
DoH公司解析器可以是公司管理的DNS服务器或外部解析器。
但是,如果公司DNS解析器不符合DoH,则应继续使用企业解析器,并且应禁用和阻止所有加密的DNS,直到可以将加密的DNS的功能完全集成到公司DNS基础结构中为止。
基本上, NSA建议将公司网络的DNS流量(无论是否经过加密)仅发送到指定的公司DNS解析器。 这有助于确保关键业务安全控制的正确使用,促进对本地网络资源的访问以及保护内部网络上的信息。
企业DNS体系结构如何工作
- 用户想要访问一个他不知道是恶意网站,并在Web浏览器中键入域名。
- 域名请求通过端口53上的明文数据包发送到公司DNS解析器。
- 违反DNS看门狗策略的查询可能会生成警报和/或被阻止。
- 如果域的IP地址不在公司DNS解析器的域缓存中,并且未对域进行过滤,它将通过公司网关发送DNS查询。
- 公司网关将DNS查询以明文形式转发到外部DNS服务器。 它还会阻止不是来自公司DNS解析器的DNS请求。
- 通过域网关的IP地址,具有更多信息的其他DNS服务器的地址或错误的查询响应将通过公司网关以明文形式返回;
公司网关将响应发送到公司DNS解析器。 重复步骤3到6,直到找到请求的域IP地址或发生错误为止。 - DNS解析器将响应返回到用户的Web浏览器,然后该Web浏览器从响应中的IP地址请求网页。
数据来源: https://media.defense.gov/