Bez DNS by internet nemohl fungovat snadno, protože DNS hraje v kybernetické bezpečnosti klíčovou roli, protože servery DNS mohou být ohroženy a použity jako vektor pro jiné typy útoků.
En dokument S názvem: „Přijetí šifrovaného DNS v podnikových prostředích“, Národní bezpečnostní agentura (NSA), vládní agentura amerického ministerstva obrany, zveřejnil před několika dny zprávu o kybernetické bezpečnosti ve společnostech.
Dokument vysvětluje výhody a rizika přijetí protokolu Šifrovaný systém doménových jmen (DoH) v podnikovém prostředí.
Pro ty, kteří nejsou obeznámeni s DNS, by měli vědět, že se jedná o škálovatelnou, hierarchickou a dynamicky distribuovanou databázi v globálním měřítku, poskytuje mapování mezi názvy hostitelů, IP adresami (IPv4 a IPv6), informacemi o jmenném serveru atd.
Stal se však oblíbeným vektorem útoků pro kyberzločince, protože DNS sdílí jejich požadavky a odpovědi v čistém textu, který mohou snadno zobrazit neoprávněné třetí strany.
Americká vládní agentura pro zpravodajské a informační systémy říká, že šifrované DNS se stále více používá k prevenci odposlechu a manipulace s provozem DNS.
„S rostoucí popularitou šifrovaného DNS musí vlastníci a správci podnikových sítí plně rozumět tomu, jak je úspěšně přijmout na svých vlastních systémech,“ říká organizace. „I když je společnost formálně nepřijala, novější prohlížeče a další software se mohou přesto pokusit použít šifrovaný DNS a obejít tradiční podnikovou obranu založenou na DNS,“ uvedl.
Systém názvů domén používá zabezpečený přenosový protokol přes TLS (HTTPS) šifruje dotazy DNS, aby byla zajištěna důvěrnost, integrita a ověřování zdroje během transakce s překladačem DNS zákazníka. Zpráva NSA říká, že zatímco DoH může chránit důvěrnost požadavků DNS a integritu odpovědí, společnosti, které ji používají, ztratí, Přesto část kontroly, kterou potřebují při používání DNS v rámci svých sítí, pokud neschválí jejich Resolver DoH jako použitelné.
Podnikovým resolverem DoH může být server DNS spravovaný společností nebo externí resolver.
Pokud však podnikový překladač DNS není kompatibilní s DoH, měl by se nadále používat podnikový překladač a všechny šifrované DNS by měly být deaktivovány a blokovány, dokud nebudou moci šifrovaný DNS plně integrovat do podnikové infrastruktury DNS.
V podstatě NSA doporučuje, aby provoz DNS pro podnikovou síť, šifrovaný nebo ne, byl odesílán pouze určenému podnikovému překladači DNS. To pomáhá zajistit správné používání důležitých podnikových bezpečnostních kontrol, usnadňuje přístup k prostředkům místní sítě a chrání informace v interní síti.
Jak fungují podnikové architektury DNS
- Uživatel chce navštívit web, o kterém neví, že je škodlivý, a do webového prohlížeče zadá název domény.
- Žádost o název domény je odeslána na podnikový překladač DNS s prostým textovým paketem na portu 53.
- Dotazy, které porušují zásady sledovacího serveru DNS, mohou generovat výstrahy nebo být blokovány.
- Pokud adresa IP domény není v mezipaměti domény podnikového překladače DNS a doména není filtrována, odešle dotaz DNS prostřednictvím podnikové brány.
- Firemní brána předá dotaz DNS ve formátu prostého textu na externí server DNS. Blokuje také požadavky DNS, které nepocházejí z překladače DNS společnosti.
- Odpověď na dotaz s IP adresou domény, adresou jiného serveru DNS s dalšími informacemi nebo chybou je vrácena ve formátu prostého textu prostřednictvím podnikové brány;
podniková brána odešle odpověď podnikovému překladači DNS. Kroky 3 až 6 se opakují, dokud není nalezena požadovaná adresa IP domény nebo dojde k chybě. - Překladač DNS vrátí odpověď do webového prohlížeče uživatele, který poté v odpovědi požaduje webovou adresu z adresy IP.
zdroj: https://media.defense.gov/