07/10/19
Как сообщают специалисты Национального центра кибербезопасности Нидерландов (NCSC), по мере роста популярности современных защищенных протоколов DNS осуществлять мониторинг DNS становится все сложнее. Соответствующее мнение изложено в опубликованном на прошлой неделе фактологическом бюллетене. Документ предназначен для ознакомления администраторами сетей и техническими директорами, желающими перейти на использование протоколов «DNS поверх TLS» (DoT) и «DNS поверх HTTPS» (DoH).
DoT и DoH позволяют осуществлять процедуру разрешения доменного имени поверх защищенного HTTPS-соединения вместо использования стандартных запросов DNS в виде открытого текста. Тем не менее, по мнению специалистов NCSC, повсеместное использование зашифрованных транспортных протоколов DNS усложняет ИБ-специалистам мониторинг DNS-трафика.
DoT и DoH действительно защищают от перехвата DNS-запросов, но также «делают бесполезными реализованные в организациях средства защиты, приводя к раскрытию внутренних доменов и разрывам связи». Это происходит, так как программное обеспечение использует сторонние DNS-резолверы вместо DNS-резолверов системного уровня. Эти «побочные эффекты» можно устранить лишь на уровне инфраструктуры DNS и каждого отдельного устройства, но не на уровне сети, предупреждают специалисты.
«NCSC рекомендует организациям выбрать предпочитаемые DNS-резолверы, настроить их конфигурацию под контролем администратора и обратить внимание на преимущества современных транспортных протоколов DNS», - сообщается в фактологическом бюллетене.
