Американскому бизнесу рекомендовано не использовать сторонние DNS-резолверы

Агентство национальной безопасности США выступило с разъяснениями, касающимися плюсов и минусов протокола DNS over HTTPS (DoH). Из них следует, что хотя специалисты АНБ и ценят возможность защиты шифрованием DNS-запросов (которую, собственно, и обеспечивает протокол DoH) они отдают предпочтение проверенным DNS-резолверам – серверам, хранящим информацию об IP-адресах интернет-ресурсов. В разъяснениях прямо сказано, что АНБ рекомендует направлять весь корпоративный DNS-трафик только на специально выделенный корпоративный DNS-резолвер – вне зависимости от того, защищен ли этот трафик шифрованием.

В случае, если корпоративный резолвер не поддерживает протокол DoH, компаниям предлагается отключить и заблокировать возможность DNS-шифрования до тех пор, пока его поддержка не будет полностью интегрирована в корпоративную DNS-инфраструктуру. Также системным администраторам корпоративных сетей рекомендуется в этом случае заблокировать и «все IP-адреса и домены известных DoH-резолверов», чтобы избежать попыток сотрудников самостоятельно управлять DNS-трафиком своих устройств. По мнению АНБ США, эти меры должны обеспечить оптимальное управление механизмами безопасности всей корпоративной инфраструктуры и защитить внутреннюю информацию компаний.

Источник: Bleeping Computer