DNS se (velmi zjednodušeně řečeno) používá k vyřešení adresy webové aplikace na internetu. Pokud je přenos DNS nezašifrovaný, je náchylný k manipulaci a zneužití soukromí, respektive odposlechu. Představte si, že řídíte autonomní vůz a všichni vaši sousedé mají přehled a kontrolu nad cílem vaší cesty.
Co je DNS over HTTPS?
DNS přes HTTPS (ang. DNS over HTTPS – DoH) přidává další vrstvy zabezpečení DNS provozu. Používá rozšířené technologie, jako je HTTP a Transport Layer Security (TLS), k bezpečnému šifrování a přenosu DNS dotazů a k předání větší kontroly aplikacím. V prohlížeči Chrome je již DNS přes HTTPS povoleno a Microsoft oznámil podporu ve Windows 10 koncem roku 2019.
Nasazení DoH, jak je popsáno v prezentaci Andy Fidlera z BT, umožní poskytovatelům služeb poskytovat kritické služby kybernetické bezpečnosti, jako je detekce malwaru, rodičovská kontrola a dodržování zákonných předpisů.
A10 Networks spolupracuje s velkými poskytovateli služeb na vývoji a nasazení nativního DNS over HTTPS (DoH) na základě navrhovaného standardu publikovaného jako RFC 8484 pracovní skupinou Internet Engineering Task Force (IETF).
Funkce DoH v A10 Networks Thunder CFW poskytují:
- Ochranu investic – DNS infrastruktura je pro operátory pravděpodobně nejdůležitější součástí. Je navržena tak, aby zvládla velký objem provozu, ale je často cílem neustálých útoků. Funkce DoH je A10 Thunder CFW navržena tak, aby chránila stávající investice operátorů a poskytovatelů služeb. Není potřeba měnit existující komponenty řešení DNS infrastruktury, přičemž zabezpečení připojení a překlad protokolů zpracovává nativně Thunder CFW. Ten také zajišťuje několik zabezpečených aplikačních služeb, včetně plné funkcionality ADC, která je součástí sady A10 Orion 5G Security Suite.
- Škálovatelnost a výkon – Šifrování DoH pomocí TLS vyžaduje v DNS infrastruktuře další výkon. A10 Thunder je vyloženě navržený pro velký DoH provoz – šifrované DNS dotazy pomáhá zpracovávat pokročil hardwarová akcelerace.
- Zabezpečení a viditelnost – Thunder CFW poskytuje kromě DoH zabezpečené aplikační služby pro ochranu DNS infrastruktury před několika vektory útoku. Organizace tak mohou podle potřeby kombinovat různé služby – např. DNS aplikační firewall, limitování DNS požadavků a rychlosti dotazů, ochrana před DNS floodem, DNS caching a další služby pro zvýšení zabezpečení, dostupnosti a výkonu DNS infrastruktury.
Funkce DNS over HTTPS (DoH) je v Thunder CFW aktuálně dostupná. Více informací naleznete v popisu DNS over HTTPS řešení (pdf).
Autor: Saurabh Sureka, A10 Networks
Překlad a úpravy: Jan Mazal, VPGC - www.vpgc.com
Zdroj: Enabling DNS over HTTPS (DoH) with Thunder CFW
