Acceuil / Malwares / Vulnerabilités / La NSA conseille aux entreprises d’éviter les résolveurs DNS tiers

La NSA conseille aux entreprises d’éviter les résolveurs DNS tiers

La National Security Agency (NSA) des États-Unis affirme que les entreprises devraient éviter d’utiliser des résolveurs DNS tiers pour bloquer les tentatives d’écoute et de manipulation du trafic DNS des acteurs menaçants et pour bloquer l’accès aux informations du réseau interne.

La recommandation de la NSA a été faite dans un nouvel avis sur les avantages (et les risques) de l’utilisation de DNS sur HTTPS ( DoH ) dans les environnements d’entreprise, un protocole de système de nom de domaine crypté (DNS) qui bloque l’accès non autorisé au trafic DNS entre les clients et les résolveurs DNS.

« La NSA recommande que le trafic DNS d’un réseau d’entreprise, chiffré ou non, soit envoyé uniquement au résolveur DNS d’entreprise désigné », a déclaré l’ agence de renseignement américaine .

« Cela garantit une utilisation appropriée des contrôles de sécurité essentiels de l’entreprise, facilite l’accès aux ressources du réseau local et protège les informations du réseau interne. »

nsa secure dns, nsa secure dns pilot, cloudflare dns nsa, DNS hack, NSA hack, DNS chiffré

Bloquer les services DNS tiers

Il est suggéré aux entreprises d’utiliser leurs propres serveurs DNS gérés par l’entreprise ou des services hébergés en externe avec une prise en charge intégrée des requêtes DNS cryptées telles que DoH.

« Cependant, si le résolveur DNS d’entreprise ne prend pas en charge DoH, le résolveur DNS d’entreprise doit toujours être utilisé et tous les DNS chiffrés doivent être désactivés et bloqués jusqu’à ce que les capacités DNS chiffrées puissent être pleinement intégrées dans l’infrastructure DNS de l’entreprise », a ajouté la NSA [PDF ].

La NSA exhorte les administrateurs de réseau d’entreprise à désactiver et à bloquer tous les autres services DNS en plus des services dédiés de leur organisation.

Il est également recommandé aux administrateurs réseau qui désactivent DoH sur leurs réseaux de bloquer les « adresses IP et domaines connus du résolveur DoH » pour empêcher les clients d’utiliser leurs propres résolveurs DoH au lieu du résolveur DNS attribué par DHCP.

L’avis de l’agence fournit également des détails supplémentaires sur l’objectif du DoH et sur l’importance de le configurer correctement pour augmenter les contrôles de sécurité DNS de l’entreprise.

« Nous diffusons ces conseils à nos partenaires NSS, DIB et DoD pour les aider à gérer le DNS chiffré car il est automatiquement activé par davantage d’applications, dans le cadre de nos efforts continus pour fournir des conseils de cybersécurité opportuns, exploitables et pertinents », Neal Ziring , Directeur technique de la NSA, a déclaré à BleepingComputer.

«Les fonctionnalités DNS chiffrées sont de plus en plus largement prises en charge dans les produits commerciaux, et nos clients doivent comprendre la technologie et les compromis potentiels.

Lire Aussi : Apple et Cloudflare conçoivent un protocole DNS qui augmente la confidentialité

Les agences gouvernementales américaines ont également dit d’éviter les résolveurs tiers

L’année dernière, il a été recommandé aux DSI des agences gouvernementales américaines de désactiver les services DNS cryptés tiers jusqu’à ce qu’un service de résolution DNS officiel avec prise en charge DoH et DNS over TLS (DoT) soit disponible.

CISA a également rappelé que les agences sont légalement tenues d’utiliser le service DNS EINSTEIN 3 Accelerated (E3A) sur tous les appareils connectés aux réseaux des agences fédérales en tant que résolveur DNS en amont principal (ou ultime) pour tous les résolveurs DNS récursifs locaux.

Jusqu’à ce qu’un service de résolution DNS avec prise en charge DoH et DoT soit mis à disposition, il était également recommandé aux agences fédérales de «définir et appliquer une stratégie à l’échelle de l’entreprise (par exemple, Objets de stratégie de groupe [GPO] pour les environnements Windows) pour les navigateurs installés afin de désactiver l’utilisation de DoH».

DoH autorise les demandes de résolution DNS sur des connexions HTTPS cryptées, tandis que DoT cryptera et encapsulera toutes les requêtes DNS à l’aide du protocole Transport Layer Security (TLS) au lieu d’utiliser des recherches DNS non sécurisées en texte brut.

«La fiche d’information sur la cybersécurité« Adopter le DNS chiffré dans les environnements d’entreprise »fournit des conseils aux administrateurs réseau du système de sécurité nationale (NSS), du ministère de la Défense (DoD) et de la base industrielle de défense (DIB) sur la configuration réseau appropriée pour gérer le trafic système de nom de domaine chiffré, « Ajouta Ziring.

« NSA recommande aux propriétaires et administrateurs de réseaux d’entreprise des clients de suivre les instructions détaillées dans la fiche d’informations. »

A propos de admin-ouss

Je suis un Ingénieur en Cybersecurité, passionné par les nouveautés dans le monde cybernétique. Je vous ramène à travers mes articles les nouveautés du monde de la sécurité informatique.

Consulter aussi cet article :

Une nouvelle technique de hacking permet d’injecter des Trojans dans des cartes graphiques !

La carte graphique à l’ intérieur de votre ordinateur est un outil puissant pour les jeux et …

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *