Wees voorbereid op DoT en DoH: factsheet beschikbaar
Het NCSC publiceert de factsheet DNS-monitoring wordt moeilijker. Nieuwe DNS-transportprotocollen (DoH, DoT) maken het moeilijker om DNS-verzoeken te monitoren of aan te passen. Dat is waardevol, omdat netwerken vaak niet te vertrouwen zijn. Tegelijkertijd kan het bestaande beveiligingsmaatregelen ineffectief maken, interne naamgeving onthullen of connectiviteit onderbreken. Deze negatieve bijverschijnselen zijn nauwelijks te mitigeren op netwerkniveau. Ze vereisen mitigatie in DNS-infrastructuur en op individuele apparaten.
Versleutelde transportmethoden voor DNS (DoT, DoH) worden populairder. Steeds meer software maakt niet langer gebruik van DNS-resolving op systeemniveau. Uw organisatie kan onbewust verantwoordelijkheid voor DNS-resolving aan een derde partij uit handen hebben gegeven. Dit kan als gevolg hebben dat beveiligingsmaatregelen ineffectief worden, interne naamgeving onthuld wordt of connectiviteit onderbroken wordt.
Het NCSC heeft de volgende adviezen voor organisaties:
- Wijs voorkeurs-(DNS-)resolvers aan;
- Configureer deze voorkeursresolvers op alle apparaten onder beheer;
- Neem kennis van de beschikbare verbeteringen in moderne DNS-transportmethoden.
Aanvullende details en handelingsperspectief is beschikbaar in de factsheet DNS-monitoring wordt moeilijker.