文末好礼|美国国家安全局提供使用加密DNS的指导
一、技术细节
在传统的DNS架构中,当客户端提交一个DNS查询时,它首先转到企业递归DNS解析器。根据美国国家安全局的说法,这通常是通过动态主机配置协议(DHCP)分配的。
美国国家安全局解释说:“企业DNS解析器将从其缓存中返回已回答的查询,或通过企业网关将查询转发到外部权威DNS服务器。”DNS的响应将通过企业网关返回到企业DNS解析器,最后返回到客户端。在交换过程中,企业DNS解析器和企业网关都可以看到明文查询和响应,并将其记录下来进行分析,如果它看起来是恶意的或违反了企业策略,则可以阻止它。”
根据美国国家安全局的说法,DoH对DNS请求进行加密,以防止窃听和操纵DNS流量。虽然DoH有利于确保家庭和小型企业网络的隐私,但如果不正确实施的话,它可能会给企业网络带来风险。
DoH也保护客户端和DNS解析器之间的DNS通信。由于该流量是加密的,并与其他HTTPS流量混合到网站上,黑客很难确定哪些数据包包含DNS请求或响应,并查看请求的域名和IP地址。
美国国家安全局表示:“DNS解析器的响应也经过了认证,并受到保护,不会被未经授权的修改。”“相比之下,传统的DNS交易是在专门用于DNS的端口上以明文形式进行的,因此网络威胁参与者可以很容易地读取和修改传统的DNS流量。”美国国家安全局表示,使用DoH的潜在缺陷包括绕过通常的DNS监控和保护,造成网络错误配置,并允许攻击者利用上游DNS流量。
2020年5月,美国网络安全与基础设施安全局发布了一份备忘录,提醒联邦机构仅可使用已获批准的DNS解析服务,以确保网络流量的安全。
2、使用DoH
美国国家安全局建议,没有企业DNS控制保护的家庭、移动和远程办公用户使用DoH来保护DNS通信的机密性和完整性。该机构补充说,一些信誉良好的DNS解析器提供了额外的保护,公众可以免费使用。
该机构指出:“如果外部源提供了保护DNS功能,那么该特定解析器应该允许加密DNS,其他所有DNS都应该被屏蔽。”
注:本文由E安全编译报道,转载请注原文地址 https://www.easyaq.com