​​АНБ утверждает что DNS-over-HTTPS не панацея

1 мин
Автор PINTA IT
​​АНБ утверждает что DNS-over-HTTPS не панацея

Агентство национальной безопасности США опубликовало руководство по преимуществам и рискам зашифрованных протоколов DNS, таких как DNS-over-HTTPS (DoH), которые стали широко использоваться за последние два года.

NSA warns against using DoH inside enterprise networks | ZDNet
The NSA urges companies to host their own DoH resolvers and avoid sending DNS traffic to third-parties.

Агентство по кибербезопасности США предупреждает, что, хотя такие технологии, как DoH, могут шифровать и скрывать запросы DNS пользователей от сетевых наблюдателей, они также имеют недостатки при использовании.

«DoH не является панацеей» — использование протокола дает компаниям ложное ощущение безопасности. DoH не полностью предотвращает возможность злоумышленникам видеть трафик пользователя.

Кроме того  при развертывании внутри сетей его можно использовать для обхода многих инструментов безопасности. Также, АНБ утверждает, что многие из сегодняшних серверов DNS-преобразователей с поддержкой DoH также размещаются на внешних серверах, вне контроля компании и ее возможностей для аудита.

АНБ призывает использовать собственные преобразователи DoH, а не сторонние.

☝🏻Более того, АНБ утверждает, что этот же совет следует применять и к классическим DNS-серверам, а не только к зашифрованным / DoH-серверам.