NSA警吿不要在企業網絡內使用DoH

美國國家安全局(NSA)敦促公司託管自己的DoH解析器,並避免將DNS流量發送給第三方。

最近更新時間 2021-01-15 10:13:34

DNS

美國國家安全局今天發佈了有關加密DNS協議(例如,基於HTTPS的DNS(DoH)的DNS)的優點和風險的指南,該指南在過去兩年中已得到廣泛使用。

美國網絡安全機構警吿説,儘管DoH之類的技術可以加密和隱藏來自網絡觀察員的用户DNS查詢,但在公司網絡內部使用時,它們也有缺點。

國家安全局(NSA)在今天發佈的安全公吿中説:“ DoH不是萬能的”。美國國家安全局説,DoH不能完全阻止威脅參與者看到用户的流量,當在網絡內部部署時,DoH可以用來繞過許多依靠嗅探經典(純文本)DNS流量來檢測威脅的安全工具。

此外,美國國家安全局(NSA)認為,當今許多具有DoH功能的DNS解析器服務器也是在公司控制和審計能力之外的外部託管的。

國家安全局(NSA)敦促公司避免在自己的網絡中使用加密的DNS技術,或者至少使用在內部託管並受其控制的具有DoH功能的DNS解析器服務器。

此外,NSA認為,同樣的建議也應應用於經典的DNS服務器,而不僅僅是加密/ DoH服務器。

該安全機構説:“所有其他DNS解析器均應禁用和阻止。”

rss_feed