15/01/21
Агентство национальной безопасности США настоятельно рекомендовало компаниям отказаться от использования сторонних DNS-резолверов в целях блокировки попыток хакеров манипулировать трафиком и несанкционированного доступа к хранящейся в сетях информации.
Свои рекомендации АНБ представило в новом уведомлении о плюсах и минусах использования протокола «DNS поверх HTTPS» (DNS over HTTPS, DoH) в корпоративных средах.
«АНБ рекомендует оправлять зашифрованный и незашифрованный DNS-трафик корпоративных сетей только специально назначенному корпоративному DNS-резолверу. Таким образом будет обеспечено правильное использование ключевых механизмов управления безопасностью предприятия, облегчен доступ к локальным сетевым ресурсам и обеспечена защита информации внутри сети», - сообщается в уведомлении АНБ.
Агентство рекомендует предприятиям использовать собственные DNS-серверы или внешние сервисы со встроенной поддержкой зашифрованных DNS-запросов наподобие DoH.
«Однако в случае, если DNS-резолвер предприятия не поддерживает DoH, его все равно нужно использовать, а зашифрованный DNS должен быть отключен и заблокирован до тех пор, пока возможности шифрования DNS не будут полностью интегрированы с корпоративной DNS-инфраструктурой», - рекомендует АНБ.
Администраторам корпоративных сетей агентство рекомендует отключить и заблокировать все другие DNS-сервисы и использовать только специально назначенные корпоративные. Администраторам, отключившим DoH в сетях своих предприятий, следует заблокировать «известные IP-адреса и домены DoH-резолвера», чтобы заблокировать попытки клиентов использовать свои собственные DoH-резолверы вместо назначенного DHCP-преобразователя DNS.
