NSA vydává doporučení společnostem, které používají šifrovaný DNS

nsa-open-source

Bez DNS by internet nemohl fungovat snadno, protože DNS hraje v kybernetické bezpečnosti klíčovou roli, protože servery DNS mohou být ohroženy a použity jako vektor pro jiné typy útoků.

En dokument S názvem: „Přijetí šifrovaného DNS v podnikových prostředích“, Národní bezpečnostní agentura (NSA), vládní agentura amerického ministerstva obrany, zveřejnil před několika dny zprávu o kybernetické bezpečnosti ve společnostech.

Dokument vysvětluje výhody a rizika přijetí protokolu Šifrovaný systém doménových jmen (DoH) v podnikovém prostředí.

Pro ty, kteří nejsou obeznámeni s DNS, by měli vědět, že se jedná o škálovatelnou, hierarchickou a dynamicky distribuovanou databázi v globálním měřítku, poskytuje mapování mezi názvy hostitelů, IP adresami (IPv4 a IPv6), informacemi o jmenném serveru atd.

Stal se však oblíbeným vektorem útoků pro kyberzločince, protože DNS sdílí jejich požadavky a odpovědi v čistém textu, který mohou snadno zobrazit neoprávněné třetí strany.

Americká vládní agentura pro zpravodajské a informační systémy říká, že šifrované DNS se stále více používá k prevenci odposlechu a manipulace s provozem DNS.

„S rostoucí popularitou šifrovaného DNS musí vlastníci a správci podnikových sítí plně rozumět tomu, jak je úspěšně přijmout na svých vlastních systémech,“ říká organizace. „I když je společnost formálně nepřijala, novější prohlížeče a další software se mohou přesto pokusit použít šifrovaný DNS a obejít tradiční podnikovou obranu založenou na DNS,“ uvedl.

Systém názvů domén používá zabezpečený přenosový protokol přes TLS (HTTPS) šifruje dotazy DNS, aby byla zajištěna důvěrnost, integrita a ověřování zdroje během transakce s překladačem DNS zákazníka. Zpráva NSA říká, že zatímco DoH může chránit důvěrnost požadavků DNS a integritu odpovědí, společnosti, které ji používají, ztratí, Přesto část kontroly, kterou potřebují při používání DNS v rámci svých sítí, pokud neschválí jejich Resolver DoH jako použitelné.

Podnikovým resolverem DoH může být server DNS spravovaný společností nebo externí resolver.

Pokud však podnikový překladač DNS není kompatibilní s DoH, měl by se nadále používat podnikový překladač a všechny šifrované DNS by měly být deaktivovány a blokovány, dokud nebudou moci šifrovaný DNS plně integrovat do podnikové infrastruktury DNS.

V podstatě NSA doporučuje, aby provoz DNS pro podnikovou síť, šifrovaný nebo ne, byl odesílán pouze určenému podnikovému překladači DNS. To pomáhá zajistit správné používání důležitých podnikových bezpečnostních kontrol, usnadňuje přístup k prostředkům místní sítě a chrání informace v interní síti.

Jak fungují podnikové architektury DNS

  • Uživatel chce navštívit web, o kterém neví, že je škodlivý, a do webového prohlížeče zadá název domény.
  • Žádost o název domény je odeslána na podnikový překladač DNS s prostým textovým paketem na portu 53.
  • Dotazy, které porušují zásady sledovacího serveru DNS, mohou generovat výstrahy nebo být blokovány.
  • Pokud adresa IP domény není v mezipaměti domény podnikového překladače DNS a doména není filtrována, odešle dotaz DNS prostřednictvím podnikové brány.
  • Firemní brána předá dotaz DNS ve formátu prostého textu na externí server DNS. Blokuje také požadavky DNS, které nepocházejí z překladače DNS společnosti.
  • Odpověď na dotaz s IP adresou domény, adresou jiného serveru DNS s dalšími informacemi nebo chybou je vrácena ve formátu prostého textu prostřednictvím podnikové brány;
    podniková brána odešle odpověď podnikovému překladači DNS. Kroky 3 až 6 se opakují, dokud není nalezena požadovaná adresa IP domény nebo dojde k chybě.
  • Překladač DNS vrátí odpověď do webového prohlížeče uživatele, který poté v odpovědi požaduje webovou adresu z adresy IP.

zdroj: https://media.defense.gov/


Zanechte svůj komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *

*

*

  1. Za data odpovídá: AB Internet Networks 2008 SL
  2. Účel údajů: Ovládací SPAM, správa komentářů.
  3. Legitimace: Váš souhlas
  4. Sdělování údajů: Údaje nebudou sděleny třetím osobám, s výjimkou zákonných povinností.
  5. Úložiště dat: Databáze hostovaná společností Occentus Networks (EU)
  6. Práva: Vaše údaje můžete kdykoli omezit, obnovit a odstranit.