Агентство Национальной Безопасности США предупредило организации, что внедрение зашифрованного сервиса DNS может дать ложное чувство безопасности и даже мешать работе инструментов мониторинга DNS.
DNS-over-HTTPS (DoH) стал очень популярным способом улучшить конфиденциальность, защищая DNS-трафик между клиентами и DNS-резольвером от неавторизированного доступа. Это может предотвратить «прослушивание» DNS-трафика.
Как доложило Агентство в отчете, такие серверы могут быть полезны для дома и мобильных устройств, но они не рекомендованы для организаций.
По словам АНБ, DoH – не панацея, так как не гарантирует, что злоумышленники не могут видеть перемещения клиента в интернете. Более того, DoH может ослабить инструменты мониторинга сети, созданные, чтобы определять подозрительные действия в DNS-трафике.
В отчете сообщается, что DoH шифрует трафик DNS, который не позволяет организациям проводить мониторинг DNS с помощью сетевых инструментов, если только они не нарушают или не проверяют трафик TLS. Если DoH используется вместе с резольвером организации, проверка может случиться в резольвере или с использованием логов резольвера. Однако, если резольверы DoH не заблокированы и DoH работает в браузере или ОС пользователя, могут возникнуть проблемы с зашифрованным трафиком DNS.
