美國國安局警告企業內導入 DoH 反增風險 恐淪為資料外洩管道

美國國安局(National Security Agency, NAA)本周發佈安全指引,說明愈來愈多人使用的DNS-over-HTTPS (DoH)技術,在企業內導入可能升高風險。

美國國安局 (National Security Agency, NAA) 本周發佈安全指引,說明愈來愈多人使用的 DNS-over-HTTPS (DoH) 技術,在企業內導入可能升高風險。

國安局指出,雖然 DoH 可加密並隱藏 DNS 查詢不被國家監控機關或有心人士看到,但是導入到企業中會帶來另一層風險。

DoH 雖然安全。卻對企業資安治理有害

NSA 指出,DoH 無法防範用戶流量被刺探,而且當企業內部網路部署 DoH 時,可能使許多仰賴分析明碼 DNS 流量的安全工具無法看到這些流量是否帶有威脅。

此外,現今許多支援 DoH 的 DNS 解析伺服器都是由第三方業者代管,不受企業控管,也稽核不到,這就是資安隱憂。

NSA 呼籲企業避免在公司內部網路使用加密 DNS 技術(即 DoH),至少要使用在公司內,且公司管得到的 DoH DNS 解析伺服器。NSA 並表示,不只是 DoH,上述原則也適用於傳統的 DNS 伺服器,以及類似 DoH 的 DoT(DNS-over-TLS)。所有其他未受控的 DNS 解析服務都應封鎖或關閉。

DoH 反淪為資料外洩管道

NSA 的擔心不是沒道理的。去年 8 月安全公司發現伊朗駭客組織即利用 DoH 服務,從受害者網路內將竊取的資料偷偷傳了出去,是 DoH 被用來從事攻擊的首例。此外,GitHub 上也有不少免費工具可用來挾持 DoH 連線,以便繞過安全偵測工具把內部網路的資料傳送到外部伺服器。

除了 NSA,美國網路安全暨基礎架構管理局 (CISA) 也以安全風險為由,要求所有聯邦政府機關關閉內部網路上的 DoH 及 DoH 服務,直到 CISA 推出官方代管的 DoH/DoT 解析服務。

來源:ZDNet

關於我們

自 1990 年創刊 UXmaster 雜誌,1991 年獲得美國 LAN Magazine 獨家授權中文版,2006 年獲得 CMP Network Computing 授權,2009 年合併 CMP Network Magazine 獨家授權中文版,2014 年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT 人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416