Różności i nowinki technologia

NSA ostrzega przedsiębiorstwa, aby uważały na programy rozpoznawania nazw DNS innych firm

NSA ostrzega przedsiębiorstwa, aby uważały na programy rozpoznawania nazw DNS innych firm

Getty Images

DNS przez HTTPS to nowy protokół, który chroni ruch wyszukiwania domeny przed podsłuchem i manipulacją przez złośliwe strony. Zamiast urządzenia użytkownika końcowego komunikującego się z serwerem DNS przez kanał zwykłego tekstu – tak jak DNS robił to od ponad trzech dekad – DoH, jak wiadomo DNS przez HTTPS, szyfruje żądania i odpowiedzi przy użyciu tych samych witryn szyfrujących, na których wysyłają i odbierać ruch HTTPS.

Używanie DoH lub podobnego protokołu znanego jako DoT – skrót od DNS over TLS – jest nie do pomyślenia w 2021 r., Ponieważ ruch DNS może być tak samo wrażliwy jak inne dane przesyłane przez Internet. Jednak w czwartek Agencja Bezpieczeństwa Narodowego stwierdziła, że ​​w niektórych przypadkach firmy z listy Fortune 500, duże agencje rządowe i inni użytkownicy korporacyjni powinni z niego nie korzystać. Powód: to samo szyfrowanie, które udaremnia złośliwe strony trzecie, może utrudniać inżynierom zabezpieczenie ich sieci.

„DoH zapewnia korzyści z zaszyfrowanych transakcji DNS, ale może również powodować problemy dla przedsiębiorstw, w tym fałszywe poczucie bezpieczeństwa, omijanie monitorowania i zabezpieczeń DNS, obawy o konfiguracje i informacje sieci wewnętrznej oraz wykorzystywanie ruchu upstream DNS”, NSA urzędnicy napisali w opublikowanych zaleceniach. „W niektórych przypadkach poszczególne aplikacje klienckie mogą umożliwiać DoH korzystanie z zewnętrznych programów do rozwiązywania problemów, powodując automatycznie niektóre z tych problemów”.

Odświeżanie DNS

Więcej o potencjalnych pułapkach DoH później. Najpierw krótkie przypomnienie, jak działa DNS – skrót od nazwy domeny.

Kiedy ludzie wysyłają e-maile, przeglądają witrynę internetową lub robią cokolwiek innego w Internecie, ich urządzenia potrzebują sposobu na przetłumaczenie nazwy domeny na numeryczne adresy IP używane przez serwery do lokalizowania innych serwerów. W tym celu urządzenia wysyłają żądanie wyszukiwania domeny do resolwera DNS, który jest serwerem lub grupą serwerów, które zazwyczaj należą do usługodawcy internetowego lub organizacji przedsiębiorstwa, z którą jest połączony użytkownik.

Jeśli resolver DNS już zna adres IP żądanej domeny, natychmiast odeśle go z powrotem do użytkownika końcowego. Jeśli nie, program tłumaczący przekazuje żądanie do zewnętrznego serwera DNS i czeka na odpowiedź. Gdy resolver DNS otrzyma odpowiedź, wysyła odpowiedni adres IP do urządzenia klienckiego.

Poniższy obraz przedstawia konfigurację typową dla wielu sieci korporacyjnych:

NSA

Co zadziwiające, ten proces jest domyślnie niezaszyfrowany. Oznacza to, że każdy, kto ma możliwość monitorowania połączenia między użytkownikami końcowymi organizacji a programem do rozpoznawania nazw DNS – powiedzmy, złośliwy insider lub haker, który ma już kontakt z siecią – może stworzyć obszerny dziennik każdej witryny i Adres IP, z którym łączą się te osoby. Co jeszcze bardziej niepokojące, ta złośliwa strona może również wysyłać użytkowników do złośliwych witryn, zastępując prawidłowy adres IP domeny złośliwym.

Miecz obosieczny

DoH i DoT zostały stworzone, aby to wszystko naprawić. Tak jak szyfrowanie w warstwie transportowej uwierzytelnia ruch sieciowy i ukrywa go przed wścibskimi oczami, tak DoH i DoT robią to samo dla ruchu DNS. Na razie DoH i DoT są dodatkowymi zabezpieczeniami, które wymagają dodatkowej pracy ze strony końcowych użytkowników administratorów, którzy je obsługują.

Najłatwiejszym sposobem uzyskania tych zabezpieczeń jest teraz skonfigurowanie systemu operacyjnego (na przykład Windows 10 lub macOS), przeglądarki (takiej jak Firefox lub Chrome) lub inną aplikację obsługującą DoH lub DoT.

Czwartkowe zalecenia NSA ostrzegają, że tego typu konfiguracje mogą narazić przedsiębiorstwa na ryzyko – szczególnie gdy ochrona obejmuje DoH. Powód: DoH z obsługą urządzeń omija zabezpieczenia sieciowe, takie jak inspekcja DNS, która monitoruje wyszukiwania domen i odpowiedzi adresów IP pod kątem oznak złośliwej aktywności. Zamiast ruchu przechodzącego przez ufortyfikowany mechanizm rozpoznawania nazw DNS przedsiębiorstwa, DoH skonfigurowany na urządzeniu użytkownika końcowego pakuje pakiety w zaszyfrowaną kopertę i wysyła je do zewnętrznego mechanizmu rozpoznawania nazw DoH.

Urzędnicy NSA napisali:

Wiele organizacji używa korporacyjnych programów rozpoznawania nazw DNS lub określonych zewnętrznych dostawców DNS jako kluczowego elementu ogólnej architektury zabezpieczeń sieci. Te ochronne usługi DNS mogą filtrować domeny i adresy IP w oparciu o znane złośliwe domeny, ograniczone kategorie zawartości, informacje o reputacji, zabezpieczenia przed typosquatting, zaawansowaną analizę, sprawdzanie poprawności rozszerzeń zabezpieczeń DNS (DNSSEC) lub z innych powodów. Gdy DoH jest używany z zewnętrznymi programami do rozpoznawania nazw DoH, a usługa DNS przedsiębiorstwa jest pomijana, urządzenia organizacji mogą utracić te ważne zabezpieczenia. Zapobiega to również buforowaniu DNS na poziomie lokalnym i poprawie wydajności, jakie może przynieść.

Złośliwe oprogramowanie może również wykorzystywać DoH do przeprowadzania wyszukiwań DNS, które omijają firmowe programy rozpoznawania nazw DNS i narzędzia do monitorowania sieci, często do celów dowodzenia i kontroli lub eksfiltracji.

Istnieją również inne zagrożenia. Na przykład, gdy urządzenie użytkownika końcowego z włączoną funkcją DoH próbuje połączyć się z domeną w sieci firmowej, najpierw wyśle ​​zapytanie DNS do zewnętrznego resolwera DoH. Nawet jeśli żądanie w końcu przejdzie niepowodzeniem do programu rozpoznawania nazw DNS przedsiębiorstwa, nadal może on ujawnić informacje o sieci wewnętrznej w trakcie tego procesu. Co więcej, wyszukiwanie ścieżek dla domen wewnętrznych do zewnętrznego programu rozpoznawania nazw może powodować problemy z wydajnością sieci.

Obraz bezpośrednio poniżej pokazuje, jak DoH z zewnętrznym mechanizmem rozpoznawania nazw może całkowicie ominąć korporacyjny mechanizm rozpoznawania nazw DNS i wiele zabezpieczeń, które może zapewnić.

NSA

Przynieś swój własny DoH

Odpowiedź, jak stwierdzono w czwartkowych zaleceniach, jest skierowana do przedsiębiorstw, które chcą, aby DoH polegało na własnych rozwiązaniach do rozwiązywania problemów z obsługą DoH, które oprócz odszyfrowania żądania i zwrócenia odpowiedzi zapewniają również kontrolę, logowanie i inne zabezpieczenia.

Zalecenia mówią, że przedsiębiorstwa powinny skonfigurować sieciowe urządzenia zabezpieczające, aby blokowały wszystkie znane zewnętrzne serwery DoH. Blokowanie wychodzącego ruchu DoT jest prostsze, ponieważ zawsze przemieszcza się on przez port 853, który przedsiębiorstwa mogą blokować sprzedaż hurtową. Ta opcja nie jest dostępna do ograniczania wychodzącego ruchu DoH, ponieważ używa portu 443, którego nie można zablokować.

Poniższy obraz przedstawia zalecaną konfigurację przedsiębiorstwa.

NSA

DoH z zewnętrznych resolverów jest w porządku dla osób łączących się z domu lub małych biur, podano w czwartkowych zaleceniach. Pójdę o krok dalej i powiem, że po wszystkich rewelacjach z ostatniej dekady ludzie używają niezaszyfrowanego DNS w 2021 roku, po prostu szaleństwem.

W przypadku przedsiębiorstw sytuacja jest bardziej złożona.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook