NSA zaait twijfel over extra beveiliging internetadresboek

De beveiliging van DNS - door de bevraging van het systeem niet langer in onbeschermde platte tekst te laten verlopen - voorkomt dat kwaadwillenden het verkeer kunnen omleiden naar een gemanipuleerde versie van de site die wordt opgevraagd. Maar de beveiliging van het systeem heeft ook een keerzijde, die voldoende ernstig is voor de NSA om grote organisaties (Fortune 500-bedrijven en overheidsdiensten) af te raden (pdf) om DNS over HTTPS (DoH) of DoT) toe te passen.

DoH voorkomt DNS-inspectie door beveiligingsapparatuur in het netwerk. Die controle is bedoeld om te voorkomen dat vanuit het bedrijfsnetwerk websites worden opgevraagd die op een zwarte lijst van bekende malafide domeinen staan, of inhoud bevatten die niet in het bedrijfsnetwerk thuishoort. Bovendien voorkomt DoH ook het cachen van veelopgevraagde websites wat de prestaties van het bedrijfsnetwerk zoals dat intern wordt ervaren, omlaag haalt.

Zorg voor een bedrijfsDoH-resolver

In omgekeerde richting kan een kwaadwillende ook DoH inzetten om een domein binnen het bedrijfsnetwerk op te vragen. Zo'n verzoek zal eerst worden afgehandeld door een externe DoH-resolver, maar kan uiteindelijk belanden bij de enterprise DNS-resolver en op die manier informatie vergaren over het interne netwerk, aldus de waarschuwingen van NSA.

De enige manier voor grote organisaties om wel gebruik te maken van de beveiligde DNS-opvraagfunctie is door zelf een bedrijfsDoH-resolver in te richten, vindt de NSA. Daar vindt dan de decryptie van verzoeken plaats en kan dus inspectie van het adreslabel van de pakketjes plaatsvinden. Volgens de NSA doen organisaties er goed aan al het verkeer naar andere externe DoH-resolvers te blokkeren. Dat kan overigens wel voor DoT-verkeer, maar is erg lastig voor DoH-verkeer omdat dit loopt via poort 443 die niet kan worden geblokkeerd.