14 ene. 2021

Adoptar DNS sobre HTTPS (DoH) en empresas

La Agencia Nacional de Seguridad de EE.UU. (NSA) publicó el documento "Adopción de DNS cifrado en entornos empresariales", que explica los beneficios y riesgos de adoptar el protocolo DNS sobre HTTPS (DoH), en entornos empresariales. La versión proporciona soluciones para una implementación segura basada en las necesidades de la red empresarial.

DNS traduce los nombres de dominio en URL en direcciones IP, lo que facilita la navegación por Internet. Sin embargo, se ha convertido en un vector de ataque popular para los delincuentes. DNS comparte sus solicitudes y respuestas en texto sin formato, que puede ser visto fácilmente por terceros no autorizados. El DNS cifrado se utiliza cada vez más para evitar la interceptación y la manipulación del tráfico de DNS. A medida que el DNS cifrado se vuelve más popular, los propietarios y administradores de redes empresariales deben comprender completamente cómo adoptarlo correctamente en sus propios sistemas. Incluso si la empresa no los ha adoptado formalmente, los navegadores más nuevos y otro software pueden intentar usar DNS cifrados de todos modos y eludir las defensas tradicionales basadas en DNS de la empresa.

DoH cifra las solicitudes de DNS, lo que evita la interceptación y la manipulación del tráfico de DNS. Si bien es bueno para garantizar la privacidad en las redes domésticas, DoH puede presentar riesgos para las redes empresariales si no se implementa de manera adecuada. Las recomendaciones detalladas ayudarán a los propietarios y administradores de redes empresariales a equilibrar la privacidad y el gobierno del DNS para sus redes. El documento describe la importancia de configurar las redes empresariales de manera adecuada para agregar beneficios y no obstaculizar sus controles de seguridad de DNS. Estos controles de DNS empresariales pueden prevenir numerosas técnicas de amenazas utilizadas por los actores de amenazas cibernéticas para el acceso inicial, comando y control, y exfiltración.

La NSA recomienda que el tráfico de DNS de una red empresarial, cifrado o no, se envíe solo al sistema de resolución de DNS empresarial designado. Esto garantiza el uso adecuado de los controles de seguridad empresariales esenciales, facilita el acceso a los recursos de la red local y protege la información de la red interna. Todos los demás solucionadores de DNS deben desactivarse y bloquearse.

La NSA busca publicar regularmente una guía de ciberseguridad única, procesable y oportuna para asegurar el Departamento de Defensa, los Sistemas de Seguridad Nacional y la Base Industrial de Defensa. Para obtener más información u otros productos de ciberseguridad, visite NSA.gov/cybersecurity-guidance.

Fuente: NSA

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!