美国国家安全局(US National Security Agency)今天发布了一份关于加密DNS协议(如HTTPS上的DNS(DoH))的益处和风险的指南,这些协议在过去两年中得到了广泛的应用。
美国网络安全局(US cybersecurity Agency)警告说,虽然DoH等技术可以对网络观察员加密和隐藏用户DNS查询,但它们可以美国国家安全局在一份安全咨询报告中说:“DoH不是万能药。”https://media.defence.gov/2021/Jan/14/2002564889/-1/-1/0/CSI\U采用加密的\U DNS\U OO\U 102904\U 21.PDF“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>PDF]今天发布,声称协议的使用给了公司一种虚假的安全感,重复aZDNet功能于2019年10月在DoH上发布。
美国国家安全局表示,DoH并不能完全阻止威胁行为体看到用户的流量,当部署在网络内部时,它可以用于绕过许多依赖于嗅探经典(纯文本)DNS流量来检测威胁的安全工具。
此外,NSA认为,目前许多支持DoH的DNS解析器服务器也是外部托管的,不受公司的控制和审计能力。
美国国家安全局敦促公司避免在自己的网络中使用加密的DNS技术,或者至少使用内部托管并由其控制的具有DoH功能的DNS解析程序服务器。
此外,美国国家安全局认为,同样的建议也应适用于经典DNS服务器,不只是加密的/DoH的。
“NSA建议企业网络的DNS流量,无论是否加密,只发送给指定的企业DNS解析程序,”该机构说。
“这样可以确保正确使用基本的企业安全控制,方便访问本地网络资源,并保护内部网络信息。
“所有其他DNS解析程序都应该被禁用和阻止,”安全机构说。
去年4月,网络安全和基础设施安全局也发布了一项指令,要求所有美国联邦机构https://www.zdnet.com/article/dhs-cisa-to-provide-doh-and-dot-servers-for-government-use/“target=”\u blank“>由于存在安全风险,在他们的网络中禁用DoH和DoT。
CISA告诉各机构等待其批准工程师将能够提供一个官方的政府主办的DoH/DoT解析器,这将减轻向第三方DNS提供商发送政府DoH/DoT流量的任何威胁。
NSA咨询也在Facebook起诉了两个Chrome扩展开发人员,要求他们删除用户数据
