DNS over HTTPS ajánlás az NSA-től

 

Az Amerikai Nemzetbiztonsági Ügynökség (NSA) útmutatást tett közzé szervezetek számára a titkosított tartománynévrendszer (DNS over HTTPS – DoH) vállalati környezetbe történő bevezetésével kapcsolatban. A DNS (Domain Name System) rendszer az ember számára könnyen értelmezhető tartományneveket (domain név) fordítja le IP címekre, amelyeket a különböző hálózati eszközök már képesek kezelni. Sajnos a rendszer mára népszerű támadási felületté vált, főképp mivel a kérések és válaszok egyszerű szöveges formában (plaintext) kerülnek továbbításra. A DNS over HTTPS (DoH) erre szeretne megoldást kínálni azáltal, hogy a kliens és a névfeloldást végző DNS resolver között létrejövő kapcsolatot titkosítja, megakadályozva, hogy harmadik fél ezt a kommunikációt megfigyelje és káros célokra használja. Az NSA javaslata szerint a DoH alkalmazása személyes használatra kielégítő lehet, azonban vállalatok számára történő bevezetése hálózatvédelmi szempontok miatt sokkal nagyobb körültekintést igényel. Biztonsági szempontból  a legideálisabb helyzet az, ha a vállalat kizárólag egy belső DNS resolverre támaszkodik, amely teljes mértékben támogatja a titkosított kommunikációt. Azonban, egészen addig, amíg a titkosított DNS forgalom teljes körű integrálása nem megvalósítható, vállalati környezetben célszerűbb minden titkosított DNS forgalom tiltása.

A DoH vállalati környezetben történő alkalmazásának hátrányait érintően weboldalunkon itt találhat bővebb információt.

(securityweek.com)