国家安全局警告企业提防第三方DNS解析器

基于HTTPS的DNS是一种新协议，可保护域查找流量免遭恶意方的窃听和操纵。最终用户设备不是通过纯文本通道与DNS服务器进行通信（就像DNS已经进行了三十多年一样），而是众所周知的基于HTTPS的DNS，DoH使用依赖于发送和发送信息的相同加密网站来加密请求和响应。接收HTTPS流量。

使用DoH或类似的称为DoT的协议（即TLS上的DNS的缩写）在2021年毫无疑问，因为DNS流量与通过Internet发送的任何其他数据一样敏感。但是，国家安全局周四表示，在某些情况下，财富500强公司，大型政府机构和其他企业用户最好不要使用它。原因是：阻止恶意第三方的相同加密可能会阻碍工程师保护其网络的努力。

“ DoH提供了加密的DNS交易的好处，但是它也会给企业带来问题，包括错误的安全感，绕过DNS监视和保护，对内部网络配置和信息的担忧以及对上游DNS流量的利用，” NSA官员在发表的建议中写了。 “在某些情况下，单个客户端应用程序可能会使用外部解析器启用DoH，从而自动导致其中一些问题。”

有关DoH潜在陷阱的更多信息。首先，快速回顾一下DNS（域名系统的简称）的工作方式。

当人们发送电子邮件，浏览网站或在Internet上执行几乎所有其他操作时，他们的设备需要一种将域名转换为服务器用来定位其他服务器的数字IP地址的方法。为此，设备将域查找请求发送到DNS解析器，DNS解析器是通常属于用户所连接的ISP或企业组织的服务器或服务器组。

如果DNS解析器已经知道所请求域的IP地址，它将立即将其发送回最终用户。如果不是，则解析程序将请求转发到外部DNS服务器，然后等待响应。 DNS解析器获得答案后，​​就会将相应的IP地址发送到客户端设备。

令人惊讶的是，此过程默认情况下是未加密的。这就意味着，任何有能力监视组织的最终用户与DNS解析器之间的连接的人（例如，已经在网络中占有一席之地的恶意内部人员或黑客）都可以为每个站点建立全面的日志，并这些人连接的IP地址。更令人担忧的是，该恶意方还可以通过将域的正确IP地址替换为恶意IP地址来将用户发送到恶意站点。

创建DoH和DoT来解决所有这些问题。就像传输层安全加密对Web流量进行身份验证并将其隐藏起来一样，DoH和DoT对于DNS流量也做同样的事情。目前，DoH和DoT是附加保护，要求为其提供服务的管理员的最终用户需要额外的工作。

人们现在最容易获得这些保护的方法是配置他们的操作系统（例如Windows 10或macOS），浏览器（例如Firefox或Chrome）或支持DoH或DoT的其他应用程序。

国家安全局（NSA）周四的建议警告说，这类设置可能使企业面临风险，尤其是在涉及DoH的保护措施中。原因是：启用设备的DoH绕过了DNS检查等网络防御，该网络防御会监视域查找和IP地址响应以查找恶意活动的迹象。最终用户设备上配置的DoH不会将数据流通过企业的强化DNS解析器，而是将数据包捆绑在一个加密的信封中，然后将其发送到本地DoH解析器。

许多组织将企业DNS解析器或特定的外部DNS提供程序用作整个网络安全体系结构中的关键元素。这些保护性DNS服务可以根据已知的恶意域，受限制的内容类别，信誉信息，域名抢注保护，高级分析，DNS安全扩展（DNSSEC）验证或其他原因来过滤域和IP地址。当DoH与外部DoH解析器一起使用并且绕过企业DNS服务时，组织的设备可能会失去这些重要的防御措施。这也阻止了本地级别的DNS缓存及其带来的性能改进。

恶意软件还可能利用DoH来执行DNS查询，从而绕过企业DNS解析器和网络监视工具，通常用于命令和控制或渗透目的。

还有其他风险。例如，当启用了DoH的最终用户设备尝试连接到企业网络内部的域时，它将首先向外部DoH解析器发送DNS查询。即使请求最终故障转移到企业DNS解析器，它仍可以在此过程中泄露内部网络信息。此外，将内部域的查询漏斗到外部解析器可能会导致网络性能问题。

下图直接显示了带有外部解析器的DoH如何完全绕过企业DNS解析器及其可能提供的许多安全防护。

周四的建议说，答案是针对希望DoH依靠自己的启用DoH的解析器的企业，这些解析器除了解密请求并返回答案外，还提供检查，日志记录和其他保护措施。 建议继续说，企业应配置网络安全设备以阻止所有已知的外部DoH服务器。 阻止传出的DoT流量更为简单，因为它始终在853端口上传输，企业可以通过该端口来批发。 该选项不适用于限制DoH传出流量，因为它使用端口443，该端口不能被阻止。 周四的建议说，来自外部解析器的DoH对在家中或小型办公室进行连接的人们来说是很好的选择。 我走得更远，说在过去十年的所有启示之后，人们在2021年使用未加密的DNS简直是疯狂。