Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) hôm thứ Sáu cho biết DNS qua HTTPS (DoH) – nếu được định cấu hình phù hợp trong môi trường doanh nghiệp – có thể giúp ngăn chặn “nhiều” quyền truy cập ban đầu, ra lệnh và kiểm soát và các kỹ thuật xâm nhập được các tác nhân đe dọa sử dụng.
“DNS qua Giao thức truyền siêu văn bản qua Bảo mật lớp truyền tải (HTTPS), thường được gọi là DNS qua HTTPS (DoH), mã hóa các yêu cầu DNS bằng cách sử dụng HTTPS để cung cấp quyền riêng tư, tính toàn vẹn và xác thực nguồn ‘dặm cuối cùng’ với trình phân giải DNS của khách hàng, “theo NSA’s hướng dẫn mới.
Được đề xuất vào năm 2018, DoH là một giao thức để thực hiện phân giải Hệ thống tên miền từ xa thông qua giao thức HTTPS.
Một trong những thiếu sót lớn với việc tra cứu DNS hiện tại là ngay cả khi ai đó truy cập trang web sử dụng HTTPS, truy vấn DNS và phản hồi của nó được gửi qua kết nối không được mã hóa, do đó cho phép bên thứ ba nghe trộm trên mạng theo dõi mọi trang web mà người dùng đang sử dụng. thăm viếng.
Tệ hơn nữa, thiết lập đã chín muồi để thực hiện các cuộc tấn công man-in-the-middle (MiTM) chỉ đơn giản bằng cách thay đổi các phản hồi DNS để chuyển hướng những khách truy cập không nghi ngờ đến một trang web chứa phần mềm độc hại mà đối thủ lựa chọn.
Do đó, bằng cách sử dụng HTTPS để mã hóa dữ liệu giữa ứng dụng khách DoH và trình phân giải DNS dựa trên DoH, DoH nhằm mục đích tăng cường quyền riêng tư và bảo mật của người dùng bằng cách ngăn chặn các cuộc tấn công MiTM nghe trộm và thao túng dữ liệu DNS.
Do đó, NSA khuyến nghị chỉ sử dụng các trình phân giải DNS doanh nghiệp được chỉ định để đạt được khả năng bảo vệ an ninh mạng mong muốn, đồng thời lưu ý rằng các trình phân giải đó sẽ bị bỏ qua hoàn toàn khi một ứng dụng khách đã bật DoH và được định cấu hình để sử dụng trình phân giải DoH không được doanh nghiệp chỉ định.
Cổng, được sử dụng để chuyển tiếp truy vấn tới các máy chủ DNS có thẩm quyền bên ngoài trong trường hợp trình phân giải DNS doanh nghiệp không có phản hồi DNS được lưu trong bộ nhớ cache, nên được thiết kế để chặn DNS, DoH và DNS qua TLS (DoT) các yêu cầu tới trình phân giải bên ngoài và máy chủ DNS không phải từ trình phân giải doanh nghiệp, cơ quan này cho biết thêm.
Mặc dù DoH bảo vệ các giao dịch DNS khỏi bị sửa đổi trái phép, nhưng NSA đã cảnh báo về “cảm giác an toàn sai”.
“DoH không đảm bảo sự bảo vệ khỏi các tác nhân đe dọa mạng và khả năng của họ để xem nơi khách hàng đang truy cập web”, nó nói. “DoH được thiết kế đặc biệt để chỉ mã hóa giao dịch DNS giữa máy khách và trình phân giải, không phải bất kỳ lưu lượng nào khác xảy ra sau khi truy vấn được thỏa mãn.”
“Các doanh nghiệp cho phép DoH mà không có phương pháp tiếp cận chiến lược và triệt để có thể can thiệp vào các công cụ giám sát mạng, ngăn chúng phát hiện hoạt động đe dọa độc hại bên trong mạng và cho phép các tác nhân đe dọa mạng và phần mềm độc hại vượt qua các trình phân giải DNS doanh nghiệp được chỉ định.”
Hơn nữa, mã hóa không có tác dụng gì để ngăn nhà cung cấp DNS nhìn thấy cả các yêu cầu tra cứu cũng như địa chỉ IP của máy khách thực hiện chúng, phá hoại hiệu quả các biện pháp bảo vệ quyền riêng tư và giúp nhà cung cấp DNS có thể tạo hồ sơ chi tiết dựa trên người dùng ‘ thói quen duyệt web.
DNS-over-HTTPS rõ ràng (ODoH), được công bố vào tháng trước bởi các kỹ sư tại Apple, Cloudflare và Fastly, nhằm giải quyết vấn đề này. Nó ngăn không cho trình phân giải DoH biết khách hàng nào đã yêu cầu tên miền nào bỏ qua tất cả các yêu cầu thông qua proxy phân tách địa chỉ IP khỏi các truy vấn, “để không một thực thể nào có thể nhìn thấy cả hai cùng một lúc.”
Nói cách khác, điều này có nghĩa là proxy không biết nội dung của các truy vấn và phản hồi, và trình phân giải không biết địa chỉ IP của các máy khách.
Thứ hai, việc sử dụng DoH cũng không phủ nhận khả năng các trình phân giải giao tiếp với các máy chủ độc hại ngược dòng vẫn có thể dễ bị Nhiễm độc bộ nhớ cache DNS.
“DNSSEC NSA cho biết: nên được sử dụng để bảo vệ các phản hồi ngược dòng, nhưng trình phân giải DoH có thể không xác thực DNSSEC “. Các doanh nghiệp không nhận ra phần nào của quy trình DNS dễ bị tấn công có thể rơi vào cảm giác an toàn sai.”
