美國國安局(National Security Agency) 公布最新DNS指南,建議僅使用“指定的”DNS解析器,並提供有關DNS over HTTPS的安全部署準則

NSA企業建議建立具有DoH的DNS結構的示意圖

美國國家安全局建議將企業網路的DNS流量(無論是否經過加密)僅發送到指定的企業DNS解析,避免使用第三方DNS解析器,來阻止威脅行為者對DNS流量竊聽和竄改,並阻止對內部網路數據的存取。

DNS over HTTPS(DoH)是一個以HTTPS加密解析網域名稱的協定,NSA表示如果未在企業中正確部署加密的DNS技術,即DNS over HTTPS,則攻擊者可能會濫用它。最安全的方法是僅使用公司自己指定的企業DNS伺服器進行加密或未加密的DNS流量。

NSA補充說,如果企業 DNS 解析器不支援 DoH,則仍應使用企業 DNS 解析器,並且應禁用和阻止所有加密 DNS,直到加密 DNS 功能能夠完全整合到企業 DNS 基礎結構中。NSA還建議在管理員禁用其網路上的DoH,也要阻止“已知的DoH解析器上IP地址和網域”,防止客戶端嘗試使用自己的DoH解析器而不是使用DHCP分配的DNS解析器。

NSA的指南還提供了有關DoH用途以及正確配置DoH以增強企業DNS的安全性的控制。

更多有關NSA指南的內容,請至以下連結:

https://media.defense.gov/2021/Jan/14/2002564889/-1/-1/0/CSI_ADOPTING_ENCRYPTED_DNS_U_OO_102904_21.PDF