Изображение: ZDNet
Агентство национальной безопасности США опубликовало сегодня руководство по преимуществам и рискам зашифрованных протоколов DNS, таких как DNS-over-HTTPS (DoH), которые получили широкое распространение в последние два года.
Агентство по кибербезопасности США предупреждает, что, хотя такие технологии, как DoH, могут шифровать и скрывать запросы DNS пользователей от сетевых наблюдателей, они также имеют недостатки при использовании в корпоративных сетях.
Также: Лучшие VPN • Лучшие ключи безопасности
«DoH не панацея ", — говорится в сообщении АНБ по безопасности [PDF]опубликованном сегодня, в котором утверждается, что использование протокола дает компаниям ложное ощущение безопасности, повторяя многие аргументы, представленные в статье ZDNet на DoH в октябре 2019 года.
Агентство национальной безопасности заявило, что DoH не полностью предотвращает возможность злоумышленникам видеть трафик пользователя и что при развертывании внутри сетей его можно использовать для обхода многих инструментов безопасности, которые для обнаружения угроз используют анализ классического (открытого текста) трафика DNS.
Кроме того, АНБ утверждает, что многие из сегодняшних серверов DNS-преобразователей с поддержкой DoH также размещаются на внешнем хостинге, вне контроля компании и возможности аудита.
АНБ: используйте собственные преобразователи DoH, а не сторонние
АНБ призывает компании избегать использования технологий зашифрованных DNS в своих собственных сетях или, по крайней мере, использовать преобразователи DNS с поддержкой DoH сервер, который размещен внутри компании и находится под их контролем.
Более того, АНБ утверждает, что тот же совет следует применять и к классическим DNS-серверам, а не только к зашифрованным / DoH-серверам.
«АНБ рекомендует, чтобы трафик DNS корпоративной сети, зашифрованный или нет, отправлялся только назначенному преобразователю DNS предприятия», — говорится в сообщении агентства.
«Это обеспечивает правильное использование основных средств управления безопасностью предприятия, облегчает доступ к локальным сетевым ресурсам и защищает внутреннюю сетевую информацию.
« Все другие преобразователи DNS должны быть отключены и заблокированы », безопасность — сообщило агентство.
CISA выпустила аналогичное предупреждение в прошлом году
Но не только АНБ требует осторожности в отношении зашифрованных DNS, таких как DoH, но и его аналога, DoT (DNS- over-TLS).
В апреле прошлого года Агентство по кибербезопасности и безопасности инфраструктуры также издало директиву, в которой всем федеральным агентствам США предлагается отключать DoH и DoT внутри своих сетей из-за угроз безопасности.
CISA сказала агентствам подождать, пока ее инженеры не смогут предоставить официальный правительственный преобразователь DoH / DoT, который снизит любые угрозы отправки правительственного трафика DoH / DoT сторонним поставщикам DNS.
NSA консультативный также идет на корме Было замечено, что иранские кибершпионы использовали DoH для эксфильтрации данных из взломанных сетей, не будучи обнаруженными.
Кроме того, бесплатные инструменты, выпущенные на GitHub, также сделали тривиальным перехват зашифрованных соединений DoH для сокрытия украденных данных и обхода классического защитного программного обеспечения на основе DNS.
