NSA警告不要在企业网络内部使用DoH

美国国家安全局今天发布了有关加密DNS协议（例如，基于HTTPS的DNS（DoH）的DNS）的优点和风险的指南，该指南在过去两年中已得到广泛使用。

美国网络安全机构警告说，尽管DoH之类的技术可以加密和隐藏来自网络观察员的用户DNS查询，但在公司网络内部使用时，它们也有缺点。

＆＃34; DoH不是灵丹妙药，＆＃34;美国国家安全局（NSA）在今天发布的安全公告[PDF]中表示，称使用该协议会使公司产生错误的安全感，呼应2019年10月DoH ZDNet功能中提出的许多论点。

美国国家安全局说，DoH不能完全阻止威胁参与者看到用户的流量，当将其部署在网络内部时，可以用来绕过许多依靠嗅探经典（纯文本）DNS流量来检测威胁的安全工具。

此外，美国国家安全局（NSA）认为，当今许多具有DoH功能的DNS解析器服务器也是在公司控制和审计能力之外的外部托管的。

国家安全局（NSA）敦促公司避免在自己的网络中使用加密的DNS技术，或者至少使用在内部托管并受其控制的具有DoH功能的DNS解析器服务器。

此外，NSA认为，同样的建议也应应用于经典的DNS服务器，而不仅仅是加密/ DoH服务器。

NSA建议将企业网络的DNS流量（无论是否加密）仅发送到指定的企业DNS解析器。该机构说。

＆＃34;这样可以确保正确使用必要的企业安全控制，便于访问本地网络资源，并保护内部网络信息。

但是，NSA并不是唯一一个对诸如DoH这样的加密DNS保持谨慎态度的人，还有它的对应者DoT（TLS上的DNS）。

去年4月，网络安全和基础设施安全局还发布了一项指令，要求所有美国联邦机构出于安全风险而禁用其网络内的DoH和DoT。

CISA要求各机构等到其工程师能够提供由政府托管的官方DoH / DoT解析器，这将减轻将政府DoH / DoT流量发送给第三方DNS提供商的任何威胁。

美国国家安全局（NSA）的通报也是在看到伊朗的网络间谍使用DoH从被黑客入侵的网络中窃取数据而未被发现之后发布的。

此外，在GitHub上发布的免费工具还使得劫持加密的DoH连接以隐藏被盗数据并绕过基于DNS的经典防御软件变得微不足道。