Beheer

Netwerken
DNS

NSA zaait twijfel over extra beveiliging internetadresboek

'DNS over HTTPS of DNS over TLS veroorzaken nieuwe risico's'

© CC0 - Public Domain
18 januari 2021

'DNS over HTTPS of DNS over TLS veroorzaken nieuwe risico's'

De Amerikaanse inlichtingendienst NSA waarschuwde vorig week voor het gebruik van de beveiliging van het Domain Name System (DNS) ofwel het gedistribueerde adresboek van internet. De encryptie maakt het de netwerkbeveiligingsapparatuur onmogelijk te controleren op malafide verkeer.

De beveiliging van DNS - door de bevraging van het systeem niet langer in onbeschermde platte tekst te laten verlopen - voorkomt dat kwaadwillenden het verkeer kunnen omleiden naar een gemanipuleerde versie van de site die wordt opgevraagd. Maar de beveiliging van het systeem heeft ook een keerzijde, die voldoende ernstig is voor de NSA om grote organisaties (Fortune 500-bedrijven en overheidsdiensten) af te raden (pdf) om DNS over HTTPS (DoH) of DoT) toe te passen.

DoH voorkomt DNS-inspectie door beveiligingsapparatuur in het netwerk. Die controle is bedoeld om te voorkomen dat vanuit het bedrijfsnetwerk websites worden opgevraagd die op een zwarte lijst van bekende malafide domeinen staan, of inhoud bevatten die niet in het bedrijfsnetwerk thuishoort. Bovendien voorkomt DoH ook het cachen van veelopgevraagde websites wat de prestaties van het bedrijfsnetwerk zoals dat intern wordt ervaren, omlaag haalt.

Zorg voor een bedrijfsDoH-resolver

In omgekeerde richting kan een kwaadwillende ook DoH inzetten om een domein binnen het bedrijfsnetwerk op te vragen. Zo'n verzoek zal eerst worden afgehandeld door een externe DoH-resolver, maar kan uiteindelijk belanden bij de enterprise DNS-resolver en op die manier informatie vergaren over het interne netwerk, aldus de waarschuwingen van NSA.

De enige manier voor grote organisaties om wel gebruik te maken van de beveiligde DNS-opvraagfunctie is door zelf een bedrijfsDoH-resolver in te richten, vindt de NSA. Daar vindt dan de decryptie van verzoeken plaats en kan dus inspectie van het adreslabel van de pakketjes plaatsvinden. Volgens de NSA doen organisaties er goed aan al het verkeer naar andere externe DoH-resolvers te blokkeren. Dat kan overigens wel voor DoT-verkeer, maar is erg lastig voor DoH-verkeer omdat dit loopt via poort 443 die niet kan worden geblokkeerd.

Lees meer over
Lees meer over Beheer OP AG Intelligence
2
Reacties
Alma 23 januari 2021 12:52

Klinkt erg naar: "arme ik"... Nu kan ik niet meer goed spioneren.
Typisch NSA, denk ik dan. Die willen om dezelfde reden liefst overal ook backdoors inbouwen, waarmee ze iedereen onveiliger maken.
Daarom ook eens met de vorige reageerder... Laat ze maar eens met een echte analyse en advies komen...

Jan-Paul Kleibrink 18 januari 2021 16:30

In plaats van twijfel te zaaien, geeft de NSA een zinnig advies over hoe DNS veilig in te richten en wat de restrisico's zijn.
De titel van dit artikel is zeer misleidend.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.