美國國安局(National Security Agency)上周發布安全指引,警告企業環境下部署DNS over HTTPS(DoH)可能因使用了不易掌控的DNS解析器,而增添安全風險。

DNS伺服器可將用戶查詢的URL網域名轉譯成IP位址,可加速上網。但是因為DNS的查詢及回應流量都是明碼傳輸,可能被警方或駭客等第三方單位竊聽或攔截竄改以重導引流量。加密的DNS服務,如DNS over HTTPS可加密這些流量而確保上網安全,因而近年受到企業及個人用戶的歡迎。即使企業未正式使用,新版瀏覽器及新版軟體也逐漸支援加密DNS服務。

例如新版瀏覽器及軟體如Firefox、Chrome都已支援DoH,此外,Windows10及蘋果的iOS、macOS也都加入對DoH的支援

但NSA警告,雖然加密DNS流量如DoH可確保DNS呼叫隱私及回應的完整性,但企業可能喪失對DNS流量的控管權。關鍵在於企業採用的DoH若使用外部的DNS解析伺服器,則企業安全方案看不到流量內容,而無法偵測到的可能的惡意活動。

因此NSA建議企業最好只使用公司指定的(designated)DNS解析器(resolver),才好配合公司的安全防護產品確保網路資訊安全。企業DNS解析器可以是企業自己營運的DNS伺服器,或是受信賴的外部代管服務,這些DNS解析器都應支援加密DNS呼叫,如DoH。除外其他加密DNS解析服務都應關閉並封鎖。

不過如果企業暫不使用DoH,NSA建議企業仍應使用企業指定的DNS解析器(而不要用無法掌控的外部DNS解析器),封鎖所有加密DNS流量,直到企業能完全掌控這些DNS流量為止。

NSA不是第一家對於DoH導致安全管控的威脅提出質疑的安全主管機關。荷蘭國家網路安全中心也曾指DoH讓企業組織更難進行安全控管。最早推動支援DoH的Firefox,還被英國ISP批為「網路惡棍」第一名。

主管機關的憂慮也非全然杞人憂天。去年8月卡巴斯基安全研究人員發現伊朗駭客組織Oilrig利用DoH及相關工具竊密,藉此躲避防毒產品偵測而將資料傳送到外部伺服器。


熱門新聞

Advertisement