E安全1月20日讯 近日,美国国家安全局发布了一份指南,指导各组织如何采用加密域名系统协议,以防止DNS通信被窃听和操纵。虽然该机构的报告针对的是军事和国防承包商,但它的建议可以被所有部门采纳。
一、技术细节
在传统的DNS架构中,当客户端提交一个DNS查询时,它首先转到企业递归DNS解析器。根据美国国家安全局的说法,这通常是通过动态主机配置协议(DHCP)分配的。
美国国家安全局解释说:“企业DNS解析器将从其缓存中返回已回答的查询,或通过企业网关将查询转发到外部权威DNS服务器。”DNS的响应将通过企业网关返回到企业DNS解析器,最后返回到客户端。在交换过程中,企业DNS解析器和企业网关都可以看到明文查询和响应,并将其记录下来进行分析,如果它看起来是恶意的或违反了企业策略,则可以阻止它。”
根据美国国家安全局的说法,DoH对DNS请求进行加密,以防止窃听和操纵DNS流量。虽然DoH有利于确保家庭和小型企业网络的隐私,但如果不正确实施的话,它可能会给企业网络带来风险。
DoH也保护客户端和DNS解析器之间的DNS通信。由于该流量是加密的,并与其他HTTPS流量混合到网站上,黑客很难确定哪些数据包包含DNS请求或响应,并查看请求的域名和IP地址。
美国国家安全局表示:“DNS解析器的响应也经过了认证,并受到保护,不会被未经授权的修改。”“相比之下,传统的DNS交易是在专门用于DNS的端口上以明文形式进行的,因此网络威胁参与者可以很容易地读取和修改传统的DNS流量。”美国国家安全局表示,使用DoH的潜在缺陷包括绕过通常的DNS监控和保护,造成网络错误配置,并允许攻击者利用上游DNS流量。
2020年5月,美国网络安全与基础设施安全局发布了一份备忘录,提醒联邦机构仅可使用已获批准的DNS解析服务,以确保网络流量的安全。
2、使用DoH
美国国家安全局建议,没有企业DNS控制保护的家庭、移动和远程办公用户使用DoH来保护DNS通信的机密性和完整性。该机构补充说,一些信誉良好的DNS解析器提供了额外的保护,公众可以免费使用。
该机构指出:“如果外部源提供了保护DNS功能,那么该特定解析器应该允许加密DNS,其他所有DNS都应该被屏蔽。”
重磅福利
E安全发放重磅大礼!
动动手指,即可领取
参与方式:
转发本文至朋友圈
4000520066 欢迎批评指正
All Rights Reserved 新浪公司 版权所有