沒有DNS,互聯網將無法輕鬆運行,因為DNS在網絡安全中起著至關重要的作用,因為DNS服務器可能會受到威脅並被用作其他類型攻擊的媒介。
En 一個文件 標題為:“在業務環境中採用加密的DNS”,國家安全局(國家安全局),是美國國防部的政府機構, 日前發布了有關公司網絡安全的報告。
文件 解釋採用該協議的好處和風險 加密域名系統 (DoH)在公司環境中。
對於不熟悉DNS的用戶,他們應該知道它是一個可擴展的,分層的且在全球範圍內動態分佈的數據庫,它提供了主機名,IP地址(IPv4和IPv6),名稱服務器信息等之間的映射。
但是,由於DNS以明文形式共享其請求和響應,因此它已成為網絡犯罪分子的流行攻擊媒介,未經授權的第三方可以輕鬆查看它們。
美國政府情報和信息系統安全機構表示,越來越多地使用加密DNS來防止竊聽和篡改DNS流量。
該組織說:“隨著加密DNS的日益普及,企業網絡所有者和管理員必須完全了解如何在自己的系統上成功採用它。” 他說:“即使該公司尚未正式採用它們,較新的瀏覽器和其他軟件仍可能嘗試使用加密的DNS並繞過傳統的基於公司DNS的防禦措施。”
域名系統 在TLS上使用安全傳輸協議 (HTTPS) 加密DNS查詢以確保機密性與客戶的DNS解析器進行交易期間進行完整性,完整性和源身份驗證。 美國國家安全局(NSA)報告說, 衛生部可以保護DNS請求的機密性 以及回應的完整性, 使用它的公司將會輸掉, 儘管如此, 他們在網絡中使用DNS時需要的一些控制,除非他們授權其Resolver DoH可用。
DoH公司解析器可以是公司管理的DNS服務器或外部解析器。
但是,如果公司DNS解析器不符合DoH,則應繼續使用企業解析器,並且應禁用和阻止所有加密的DNS,直到可以將加密的DNS的功能完全集成到公司DNS基礎結構中為止。
基本上, NSA建議將公司網絡的DNS流量(無論是否經過加密)僅發送到指定的公司DNS解析器。 這有助於確保關鍵業務安全控制的正確使用,促進對本地網絡資源的訪問以及保護內部網絡上的信息。
企業DNS體系結構如何工作
- 用戶想要訪問一個他不知道是惡意網站,並在Web瀏覽器中鍵入域名。
- 域名請求通過端口53上的明文數據包發送到公司DNS解析器。
- 違反DNS看門狗策略的查詢可能會生成警報和/或被阻止。
- 如果域的IP地址不在公司DNS解析器的域緩存中,並且未對域進行過濾,它將通過公司網關發送DNS查詢。
- 公司網關將DNS查詢以明文形式轉發到外部DNS服務器。 它還會阻止不是來自公司DNS解析器的DNS請求。
- 通過域網關的IP地址,具有更多信息的其他DNS服務器的地址或錯誤的查詢響應將通過公司網關以明文形式返回;
公司網關將響應發送到公司DNS解析器。 重複步驟3到6,直到找到請求的域IP地址或發生錯誤為止。 - DNS解析器將響應返回到用戶的Web瀏覽器,然後該Web瀏覽器從響應中的IP地址請求網頁。
來源: https://media.defense.gov/