了解 DoH 挑战:改进网络隐私和安全的必要步骤
最近更新时间:2021-06-15 15:39:30
在 1983 年之前,在将成为互联网的新兴网络和计算机集合中找到资源意味着要么必须知道 IP 地址,要么必须引用手动维护的主机文件。
DNS 或域名系统的创建是为了提供一种更好的方式,用户可以在其中键入友好的主机名而不是 IP。DNS 不仅满足了这一需求,而且扩展性也非常好——现在支持超过 3.3 亿个域。解决方案可能是天才,原始设计并不完美,隐私和安全性留待后续修改。38 年后的今天,它需要进化。
在考虑 DNS 提供的内容时,隐私方面的缺陷变得非常明显。如果任何特定的人要查看他们的 DNS 请求,就会出现一个故事:他们早上起床时;他们访问了哪些网站;工作时使用的协作工具;甚至他们设置了哪些物联网设备。
消费者和企业等对隐私日益增长的担忧促使发生了变化,DNS 已寻求 HTTPS 来提供其急需的隐私改造。DNS over HTTPS (DoH) 就是:HTTPS 封装的 DNS。DoH 提供了令人难以置信的潜力,可以像所有其他 HTTPS 流量一样可靠地加密 DNS。
然而,隐私通常以安全为代价,而 DoH 会带来潜在的后果。组织必须做好准备,既要利用优势,又要避免可能的陷阱。
认识 DoH 的优缺点
在深入研究 DoH 提出的问题之前,让我们先了解该协议的优势。它以用户在浏览互联网时已经信任的方式提供 DNS——例如连接到银行网站或完成在线交易。它验证服务器是被请求并安全通信的服务器,以便流量不会被拦截或破坏。此外,DoH 利用端口 443,使 DNS 解析安全可靠。
今年早些时候,美国国家安全局(NSA) 发布了安全采用加密 DNS 的建议,认识到对安全保护 DNS 的兴趣日益增长,以及控制它可能存在的困难。DoH 很难控制,因为 IT 团队或管理员不能再仅仅检查 DNS 流量或关闭不受欢迎的服务器的 53 端口。
现在,DoH 允许通过端口 443 私下进行 DNS 解析。这意味着 DNS 解析不仅仅属于操作系统的权限,因为应用程序现在可以在互联网可用时独立且直接获得解析。这对用户来说似乎是一个胜利,但有关威胁的重要信息——以及通过过滤添加保护的能力——都丢失了。
此外,当应用程序发出自己的恶意 DNS 请求时,不仅 IT 团队失去可见性,而且由于其系统上的 DNS 配置没有得到遵守而失去控制权。这可能会导致 DNS 解析不正确,从而导致 Intranet 查找失败。它甚至可以是一种数据泄露机制——这一切都归功于这种新的加密途径。
保持对 DNS 的控制
NSA 建议仅将所有 DNS 流量发送到指定的解析器,并且应禁用或阻止所有其他解析器。这听起来可能很简单,但挑战在于遵守此建议,因为 DNS 流量现在通过与 HTTPS 相同的端口进行加密。由于端口 443 流量构成了互联网交互的大部分,因此不能简单地阻止它,因此必须采取其他措施来满足 NSA 的建议。
一种选择是部署可以检查 HTTPS 流量的防火墙。不幸的是,这通常很昂贵并且需要一个强大的设备,因为防火墙将自己插入到流量中,解密然后重新加密来这样做。此外,许多网站对这种行为犹豫不决,因此无法顺利运行。此外,此选项仅保护防火墙后面的设备,鉴于我们当今生活的混合环境,其有效性有限。
VPN怎么样?它们有可能在远程时有效地将用户拉到防火墙后面。但是,VPN 也会增加复杂性和成本,并且可能会损害性能。尽管鼓励连接到公司网络的许多远程工作人员使用 VPN,但用户对它们的使用不一致。公司正在积极摆脱 VPN,因为他们需要的许多资源现在都可以在云中使用。
另一种可能性是控制对 DoH 提供商的访问。如果我们能够识别并停止 DoH 连接,那么应用程序将被迫使用本地系统进行 DNS 解析。面临的挑战是拥有及时的上下文智能,同时还能够将其应用于任何网络上的任何系统。
将 DoH 与安全性相结合
我们需要一种方法来利用 DoH 的优势,同时避免陷阱。正确的解决方案使用 DoH 提供的加密和稳定性,同时确保唯一定义的 DNS 解析器可用。这必须在不丢失请求可见性的情况下完成,无论是将它们回显到 SIEM 还是记录它们以进行报告。
寻找解决方案
幸运的是,DoH 已经出现了一段时间,并且可以使用工具来提供帮助。目前,利用 DoH 的应用程序数量仍然很少,主要被降级为 Mozilla Firefox 和 Google Chrome 等浏览器。随着其他应用程序开始看到好处并且更多 DoH 提供商涌现,这种情况正在发生变化。
鉴于 DoH 的前景,组织将需要投资 DNS 解决方案,以简化如何管理 DoH,同时提供所需的可见性和智能,否则会丢失。