NSA警告不要在企业网络内使用DoH
Lasted 2021-01-15 10:13:34
美国国家安全局今天发布了有关加密DNS协议(例如,基于HTTPS的DNS(DoH)的DNS)的优点和风险的指南,该指南在过去两年中已得到广泛使用。
美国网络安全机构警告说,尽管DoH之类的技术可以加密和隐藏来自网络观察员的用户DNS查询,但在公司网络内部使用时,它们也有缺点。
国家安全局(NSA)在今天发布的安全公告中说:“ DoH不是万能的”。美国国家安全局说,DoH不能完全阻止威胁参与者看到用户的流量,当在网络内部部署时,DoH可以用来绕过许多依靠嗅探经典(纯文本)DNS流量来检测威胁的安全工具。
此外,美国国家安全局(NSA)认为,当今许多具有DoH功能的DNS解析器服务器也是在公司控制和审计能力之外的外部托管的。
国家安全局(NSA)敦促公司避免在自己的网络中使用加密的DNS技术,或者至少使用在内部托管并受其控制的具有DoH功能的DNS解析器服务器。
此外,NSA认为,同样的建议也应应用于经典的DNS服务器,而不仅仅是加密/ DoH服务器。
该安全机构说:“所有其他DNS解析器均应禁用和阻止。”