返回

NSA建议企业使用“指定”DNS over HTTPS解析程序

发布时间:2023-12-20 00:04:41 1097
dns-over-https

美国国家安全局(NSA)周五表示,DNS通过HTTPS(DoH)和#8212;如果在企业环境中适当配置—;有助于防止威胁行为者使用“大量”初始访问、指挥和控制以及过滤技术。

根据NSA的新指南,“传输层安全(HTTPS)上的超文本传输协议(DNS over Hypertext Transfer Protocol over Transport Layer Security,简称HTTPS上的DNS)通常被称为DNS over HTTPS(DoH),通过使用HTTPS来加密DNS请求,以提供隐私性、完整性,并通过客户端的DNS解析程序进行“最后一英里”源身份验证。”。

DoH于2018年提出,是一种通过HTTPS协议执行远程域名系统解析的协议。

当前DNS查找的主要缺点之一是,即使有人访问使用HTTPS的网站,DNS查询及其响应也会通过未加密的连接发送,从而允许网络上的第三方窃听跟踪用户访问的每个网站。

更糟糕的是,这种设置已经成熟,只需更改DNS响应即可执行中间人(MiTM)攻击,将毫无戒心的访问者重定向到对手选择的恶意软件站点。

因此,通过使用HTTPS加密DoH客户端和基于DoH的DNS解析器之间的数据,DoH旨在通过防止MiTM攻击窃听和操纵DNS数据来提高用户隐私和安全性。

为此,NSA建议仅使用指定的企业DNS解析程序来实现所需的网络安全防御,同时警告使用第三方DoH解析程序启用DoH的单个客户端应用程序可以完全绕过企业DNS服务。

该机构补充说,网关用于在企业DNS解析程序没有缓存DNS响应的情况下将查询转发给外部权威DNS服务器,其设计应阻止对外部解析程序和DNS服务器的DNS、DoH和DNS over TLS(DoT)请求,这些请求不是来自企业解析程序。

DoH不是灵丹妙药

虽然DoH保护DNS交易不受未经授权的修改,但NSA警告称,该技术“不是灵丹妙药”,可能带来“虚假的安全感”

“DoH不能保证免受网络威胁行为人的保护,也不能保证他们能够看到客户在网络上的动向,”它说。“DoH专门用于加密客户端和解析程序之间的DNS事务,而不是在满足查询后发生的任何其他通信。”

更重要的是,加密并不能阻止DNS提供商看到查找请求以及发出请求的客户端的IP地址,从而有效地破坏隐私保护,并使DNS提供商能够根据用户的浏览习惯创建详细的配置文件。

上个月,苹果、Cloudflare和Fastly的工程师宣布了基于HTTPS的不经意DNS(ODoH),旨在解决这个问题。它可以防止DoH解析器知道哪个客户端请求了什么域名,绕过所有请求,通过一个将IP地址与查询分开的代理,“这样没有一个实体可以同时看到这两个请求。”

换句话说,这意味着代理不知道查询和响应的内容,解析程序也不知道客户端的IP地址。

其次,DoH的使用也不能否认与上游恶意服务器通信的解析程序仍然容易受到DNS缓存中毒的影响。

“如果企业在没有战略和彻底方法的情况下允许DoH,最终可能会干扰网络监控工具,阻止它们检测网络内的恶意威胁活动,并允许网络威胁参与者和恶意软件绕过指定的企业DNS解析程序。”


特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
评论区(0)
按点赞数排序
用户头像
精选文章
thumb 中国研究员首次曝光美国国安局顶级后门—“方程式组织”
thumb 俄乌线上战争,网络攻击弥漫着数字硝烟
thumb 从网络安全角度了解俄罗斯入侵乌克兰的相关事件时间线