dns-sur-https

La NSA (National Security Agency) des États-Unis a déclaré vendredi que le DNS sur HTTPS (DoH) – s’il est configuré de manière appropriée dans les environnements d’entreprise – peut aider à empêcher les “nombreuses” techniques d’accès initial, de commande et de contrôle et d’exfiltration utilisées par les acteurs de la menace.

“DNS over Hypertext Transfer Protocol over Transport Layer Security (HTTPS), souvent appelé DNS over HTTPS (DoH), crypte les requêtes DNS en utilisant HTTPS pour assurer la confidentialité, l’intégrité et l’authentification source du dernier kilomètre avec le résolveur DNS d’un client, “selon la NSA nouvelle orientation.

Proposé en 2018, DoH est un protocole permettant d’effectuer une résolution distante du système de noms de domaine via le protocole HTTPS.

L’une des principales lacunes des recherches DNS actuelles est que même lorsqu’une personne visite un site qui utilise HTTPS, la requête DNS et sa réponse sont envoyées via une connexion non chiffrée, permettant ainsi à une écoute tierce sur le réseau de suivre chaque site Web d’un utilisateur. visite.

Pire encore, la configuration est mûre pour mener des attaques de type “ homme du milieu ” (MiTM) simplement en modifiant les réponses DNS pour rediriger les visiteurs sans méfiance vers un site malveillant du choix de l’adversaire.

Ainsi, en utilisant HTTPS pour crypter les données entre le client DoH et le résolveur DNS basé sur DoH, DoH vise à augmenter la confidentialité et la sécurité des utilisateurs en empêchant les écoutes et la manipulation des données DNS par les attaques MiTM.

À cet effet, la NSA recommande d’utiliser uniquement des résolveurs DNS d’entreprise désignés pour atteindre la défense de cybersécurité souhaitée, tout en notant que ces résolveurs seront complètement contournés lorsqu’un client a activé DoH et est configuré pour utiliser un résolveur DoH non désigné par l’entreprise.

La passerelle, qui est utilisée pour transférer la requête vers des serveurs DNS externes faisant autorité dans le cas où le résolveur DNS d’entreprise n’a pas la réponse DNS en cache, doit être conçue pour bloquer DNS, DoH et DNS sur TLS (Point) demandes aux résolveurs externes et aux serveurs DNS qui ne proviennent pas du résolveur d’entreprise, a ajouté l’agence.

Bien que DoH protège les transactions DNS contre les modifications non autorisées, la NSA a mis en garde contre un “faux sentiment de sécurité”.

“DoH ne garantit pas la protection contre les cyber-acteurs et leur capacité à voir où va un client sur le Web”, a-t-il déclaré. “DoH est spécifiquement conçu pour chiffrer uniquement la transaction DNS entre le client et le résolveur, et non tout autre trafic qui se produit une fois la requête satisfaite.”

«Les entreprises qui autorisent DoH sans une approche stratégique et approfondie peuvent finir par interférer avec les outils de surveillance du réseau, les empêchant de détecter les activités malveillantes à l’intérieur du réseau et permettant aux cyber-menaces et aux logiciels malveillants de contourner les résolveurs DNS d’entreprise désignés.

De plus, le cryptage ne fait rien pour empêcher le fournisseur DNS de voir à la fois les demandes de recherche ainsi que l’adresse IP du client qui les émet, ce qui nuit efficacement aux protections de la confidentialité et permet à un fournisseur DNS de créer des profils détaillés basés sur les utilisateurs. habitudes de navigation.

DNS sur HTTPS inconscient (ODoH), annoncé le mois dernier par les ingénieurs d’Apple, Cloudflare et Fastly, vise à résoudre ce problème. Il empêche le résolveur DoH de savoir quel client a demandé quels noms de domaine en contournant toutes les requêtes via un proxy qui sépare les adresses IP des requêtes, “de sorte qu’aucune entité ne puisse voir les deux en même temps.”

En d’autres termes, cela signifie que le proxy ne connaît pas le contenu des requêtes et des réponses et que le résolveur ne connaît pas les adresses IP des clients.

Deuxièmement, l’utilisation de DoH n’annule pas non plus la possibilité que les résolveurs qui communiquent avec des serveurs malveillants en amont puissent toujours être sensibles à l’empoisonnement du cache DNS.

DNSSEC devrait être utilisé pour protéger les réponses en amont, mais le résolveur DoH peut ne pas valider DNSSEC “, a déclaré la NSA.” Les entreprises qui ne réalisent pas quelles parties du processus DNS sont vulnérables pourraient tomber dans un faux sentiment de sécurité. “



Leave a Reply