Бесплатно Экспресс-аудит сайта:

16.01.2021

АНБ США рекомендовало компаниям отказаться от сторонних DNS-резолверов

Агентство национальной безопасности США настоятельно рекомендовало компаниям отказаться от использования сторонних DNS-резолверов в целях блокировки попыток хакеров манипулировать трафиком и несанкционированного доступа к хранящейся в сетях информации.

Свои рекомендации АНБ представило в новом уведомлении о плюсах и минусах использования протокола «DNS поверх HTTPS» (DNS over HTTPS, DoH) в корпоративных средах.

«АНБ рекомендует оправлять зашифрованный и незашифрованный DNS-трафик корпоративных сетей только специально назначенному корпоративному DNS-резолверу. Таким образом будет обеспечено правильное использование ключевых механизмов управления безопасностью предприятия, облегчен доступ к локальным сетевым ресурсам и обеспечена защита информации внутри сети», - сообщается в уведомлении АНБ.

Агентство рекомендует предприятиям использовать собственные DNS-серверы или внешние сервисы со встроенной поддержкой зашифрованных DNS-запросов наподобие DoH.

«Однако в случае, если DNS-резолвер предприятия не поддерживает DoH, его все равно нужно использовать, а зашифрованный DNS должен быть отключен и заблокирован до тех пор, пока возможности шифрования DNS не будут полностью интегрированы с корпоративной DNS-инфраструктурой», - рекомендует АНБ.

Администраторам корпоративных сетей агентство рекомендует отключить и заблокировать все другие DNS-сервисы и использовать только специально назначенные корпоративные. Администраторам, отключившим DoH в сетях своих предприятий, следует заблокировать «известные IP-адреса и домены DoH-резолвера», чтобы заблокировать попытки клиентов использовать свои собственные DoH-резолверы вместо назначенного DHCP-преобразователя DNS.