NSA به مشاغل هشدار می دهد که مراقب مبدل های DNS شخص ثالث باشند


NSA به مشاغل هشدار می دهد که مراقب مبدل های DNS شخص ثالث باشند

گتی ایماژ

DNS over HTTPS پروتکل جدیدی است که از ترافیک جستجوی دامنه در برابر استراق سمع و دستکاری توسط اشخاص مخرب محافظت می کند. DoH ، به عنوان DNS از طریق HTTPS شناخته شده است ، به جای اینکه دستگاه کاربر نهایی با یک سرور DNS از طریق یک کانال متن ساده ارتباط برقرار کند ، درخواست ها و پاسخ ها را با استفاده از همان وب سایت های رمزگذاری که برای ارسال و دریافت به آنها اعتماد می کنند ، رمزگذاری می کند. ترافیک HTTPS.

استفاده از DoH یا پروتکل مشابه معروف به DoT – مخفف DNS over TLS – در سال 2021 مفید نیست ، زیرا ترافیک DNS می تواند به اندازه سایر داده های ارسال شده از طریق اینترنت حساس باشد. با این حال ، آژانس امنیت ملی روز پنجشنبه گفت که در برخی موارد ، شرکتهای Fortune 500 ، سازمانهای بزرگ دولتی و سایر کاربران شرکتی بهتر است از آن استفاده نکنند. دلیل: رمزگذاری مشابهی که شخص ثالث مخرب را خنثی می کند می تواند مانع تلاش مهندسان برای محافظت از شبکه های آنها شود.

“DoH مزیت معاملات رمزگذاری شده DNS را فراهم می کند ، اما همچنین می تواند منجر به مشکلات سازمانی شود ، از جمله احساس کاذب امنیت ، دور زدن نظارت و امنیت DNS ، نگرانی در مورد پیکربندی ها و اطلاعات شبکه داخلی و ترافیک DNS بالادستی.” مقامات NSA در توصیه های منتشر شده می نویسند. “در برخی موارد ، برنامه های منفرد مشتری می توانند DoH را با استفاده از مبدل های خارجی فعال کنند ، به طور خودکار باعث برخی از این مشکلات می شود.”

تازه سازی DNS

بعداً در مورد مشکلات احتمالی DoH اطلاعات بیشتری کسب کنید. ابتدا یک توضیح کوتاه در مورد نحوه کار DNS – به اختصار از سیستم نام دامنه.

هنگامی که افراد ایمیل ارسال می کنند ، یک وب سایت را مرور می کنند یا هر کار دیگری را در اینترنت انجام می دهند ، دستگاه های آنها به روشی برای ترجمه یک نام دامنه به آدرس IP عددی نیاز دارند که سرورها برای یافتن سایر سرورها از آن استفاده می کنند. برای انجام این کار ، دستگاه ها درخواست جستجوی دامنه را به مبدل DNS ارسال می کنند ، که یک سرور یا گروهی از سرورها است که معمولاً متعلق به ISP یا سازمان شرکتی است که کاربر به آن متصل است.

اگر مبدل DNS از قبل آدرس IP دامنه درخواستی را بداند ، بلافاصله آن را برای کاربر نهایی ارسال می کند. در غیر این صورت ، جداکننده درخواست را به یک سرور DNS خارجی هدایت می کند و منتظر پاسخ می ماند. مبدل DNS پس از دریافت پاسخ ، آدرس IP مربوطه را به دستگاه مشتری می فرستد.

تصویر زیر تنظیماتی را نشان می دهد که برای بسیاری از شبکه های سازمانی معمول است:

NSA

با کمال تعجب ، این فرآیند پیش فرض رمزگذاری نشده است. این بدان معناست که هرکسی که به طور تصادفی توانایی نظارت بر ارتباط بین کاربران نهایی سازمان و مبدل DNS را داشته باشد – مثلاً یک خودی یا هکر مخرب که قبلاً در وب انگشت خود را دارد – می تواند یک گزارش جامع از هر سایت و آدرس IP ایجاد کند. که این افراد را بهم وصل می کند. حتی بیشتر نگران کننده این است که این کشور مخرب همچنین می تواند با جایگزینی آدرس صحیح IP دامنه با مخرب ، کاربران را به سایت های مخرب بفرستد.

یک شمشیر دو لبه

DoH و DoT برای رفع همه اینها طراحی شده اند. همانطور که رمزگذاری امنیتی لایه حمل و نقل ترافیک وب را تأیید می کند و آن را از چشم کنجکاو پنهان می کند ، DoH و DoT برای ترافیک DNS همان کار را انجام می دهند. در حال حاضر ، DoH و DoT حفاظت اضافی هستند که نیاز به کار اضافی از کاربران نهایی مدیرانی دارند که به آنها خدمت می کنند.

ساده ترین راه برای دریافت این محافظت ها در حال حاضر برای افراد ، پیکربندی سیستم عامل (مانند ویندوز 10 یا macOS) ، یک مرورگر (مانند Firefox یا Chrome) است) یا برنامه دیگری که DoH یا DoT را پشتیبانی می کند.

توصیه های روز پنجشنبه NSA هشدار می دهد که این نوع راه اندازی می تواند مشاغل را در معرض خطر قرار دهد – به ویژه هنگامی که حفاظت شامل DoH باشد. دلیل: DoH با یک دستگاه فعال از محافظت از شبکه مانند بازرسی DNS عبور می کند ، که جستجوهای دامنه و پاسخ های آدرس IP را برای نشانه های فعالیت مخرب کنترل می کند. به جای عبور ترافیک از مبدل DNS پیشرفته سازمانی ، DoH که روی دستگاه کاربر نهایی پیکربندی شده است ، بسته ها را در یک پاکت رمزگذاری شده تلفیق می کند و به محل حل کننده DoH می فرستد.

مقامات NSA نوشتند:

بسیاری از سازمان ها از مبدل های DNS سازمانی یا ارائه دهندگان DNS خارجی خاص به عنوان عنصر اصلی در ساختار کلی امنیت شبکه استفاده می کنند. این سرویس های DNS امنیتی می توانند دامنه ها و آدرس های IP را بر اساس دامنه های مخرب شناخته شده ، دسته بندی محتوای محدود ، اطلاعات شهرت ، حفاظت تایپوگرافی ، تجزیه و تحلیل پیشرفته ، تأیید صحت امنیت DNS (DNSSEC) یا دلایل دیگر فیلتر کنند. وقتی DoH با حلال های خارجی DoH استفاده می شود و سرویس DNS سازمانی دور زده می شود ، دستگاه های سازمان ممکن است این محافظت های مهم را از دست بدهند. این امر همچنین مانع از ذخیره سازی DNS به صورت محلی و بهبود عملکردی می شود.

بدافزار همچنین می تواند از DoH برای انجام گزارش های DNS استفاده کند که مبدل های DNS سازمانی و ابزارهای نظارت بر شبکه را دور می زند ، اغلب برای اهداف کنترل و کنترل یا exfiltration.

خطرات دیگری نیز وجود دارد. به عنوان مثال ، وقتی دستگاه کاربر نهایی با DoH فعال باشد ، می خواهد به دامنه ای در شبکه شرکتی متصل شود ، ابتدا یک درخواست DNS به حل کننده خارجی DoH ارسال می کند. حتی اگر سرانجام درخواست در مبدل DNS شرکتی خراب شود ، باز هم می تواند اطلاعات مربوط به شبکه داخلی در حال پردازش را نشان دهد. علاوه بر این ، هدایت گزارش ها برای دامنه های داخلی به یک مبدل خارجی می تواند مشکلات عملکرد شبکه را ایجاد کند.

تصویر زیر نشان می دهد که چگونه DoH با یک مبدل خارجی می تواند به طور کامل مبدل DNS سازمانی و بسیاری از محافظت های امنیتی را که می تواند پشت سر بگذارد.

NSA

DoH خود را بیاورید

پاسخی که در توصیه های روز پنجشنبه ذکر شده است برای مشاغلی است که می خواهند DoH به مجوزهای DoH خود اعتماد کنند ، که علاوه بر رمزگشایی درخواست و بازگشت پاسخ ، تأیید ، ثبت و سایر حمایت ها را نیز فراهم می کند.

در ادامه توصیه ها آمده است که مشاغل باید دستگاه های امنیتی شبکه را پیکربندی کنند تا همه سرورهای خارجی شناخته شده DoH را مسدود کنند. مسدود کردن ترافیک خروجی DoT آسان تر است زیرا همیشه از طریق پورت 853 عبور می کند ، که تجارت می تواند به طور عمده آن را مسدود کند. این گزینه برای محدود کردن ترافیک خروجی DoH در دسترس نیست زیرا از پورت 443 استفاده می کند که نمی تواند مسدود شود.

تصویر زیر تنظیمات پیشنهادی شرکت را نشان می دهد.

NSA

در توصیه های روز پنجشنبه ، DoH از مبدل های خارجی برای افرادی که از خانه یا دفاتر کوچک متصل می شوند مناسب است. یک قدم جلوتر می روم و می گویم که استفاده از DNS رمزگذاری نشده در سال 2021 ، بعد از همه افشاگری های دهه گذشته ، کمتر از دیگران دیوانه نیست.

برای مشاغل ، همه چیز ظریف تر است.


منبع: tarjome-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>