NSA警告不要在企业网络内部使用DoH

2021-01-16 03:33:10

美国国家安全局今天发布了有关加密DNS协议(例如,基于HTTPS的DNS(DoH)的DNS)的优点和风险的指南,该指南在过去两年中已得到广泛使用。

美国网络安全机构警告说,尽管DoH之类的技术可以加密和隐藏来自网络观察员的用户DNS查询,但在公司网络内部使用时,它们也有缺点。

" DoH不是灵丹妙药,"美国国家安全局(NSA)在今天发布的安全公告[PDF]中表示,称使用该协议会使公司产生错误的安全感,呼应2019年10月DoH ZDNet功能中提出的许多论点。

美国国家安全局说,DoH不能完全阻止威胁参与者看到用户的流量,当将其部署在网络内部时,可以用来绕过许多依靠嗅探经典(纯文本)DNS流量来检测威胁的安全工具。

此外,美国国家安全局(NSA)认为,当今许多具有DoH功能的DNS解析器服务器也是在公司控制和审计能力之外的外部托管的。

国家安全局(NSA)敦促公司避免在自己的网络中使用加密的DNS技术,或者至少使用在内部托管并受其控制的具有DoH功能的DNS解析器服务器。

此外,NSA认为,同样的建议也应应用于经典的DNS服务器,而不仅仅是加密/ DoH服务器。

NSA建议将企业网络的DNS流量(无论是否加密)仅发送到指定的企业DNS解析器。该机构说。

"这样可以确保正确使用必要的企业安全控制,便于访问本地网络资源,并保护内部网络信息。

但是,NSA并不是唯一一个对诸如DoH这样的加密DNS保持谨慎态度的人,还有它的对应者DoT(TLS上的DNS)。

去年4月,网络安全和基础设施安全局还发布了一项指令,要求所有美国联邦机构出于安全风险而禁用其网络内的DoH和DoT。

CISA要求各机构等到其工程师能够提供由政府托管的官方DoH / DoT解析器,这将减轻将政府DoH / DoT流量发送给第三方DNS提供商的任何威胁。

美国国家安全局(NSA)的通报也是在看到伊朗的网络间谍使用DoH从被黑客入侵的网络中窃取数据而未被发现之后发布的。

此外,在GitHub上发布的免费工具还使得劫持加密的DoH连接以隐藏被盗数据并绕过基于DNS的经典防御软件变得微不足道。