Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

NSA adviseert over gebruik van DNS over HTTPS binnen bedrijven

vrijdag 15 januari 2021, 10:34 door Redactie, 10 reacties

De Amerikaanse geheime dienst NSA heeft advies gepubliceerd over het gebruik van DNS over HTTPS (DoH) binnen bedrijven. Op dit moment zijn dns-verzoeken van internetgebruikers, waarin staat welk domein ze willen opvragen, nagenoeg altijd onversleuteld. Zo kunnen derden zien welke websites iemand bezoekt of de dns-informatie aanpassen.

Om dit te voorkomen werd DNS over HTTPS (DoH) bedacht. DoH versleutelt dns-verzoeken van internetgebruikers, zodat die niet meer zijn in te zien of aan te passen. DoH moet echter wel door de dns-provider van de gebruiker worden ondersteund. Op dit moment zijn er slechts een paar publieke DoH-providers.

"Hoewel DoH de privacy van dns-verzoeken en de integriteit van antwoorden kan beschermen, verliezen bedrijven die van DoH gebruikmaken een deel van de controle over het dns-gebruik binnen hun netwerken, tenzij ze alleen hun eigen gekozen dns-server toestaan", aldus de NSA. Volgens de geheime dienst is het belangrijk dat bedrijven hun dns-verkeer in de gaten houden, aangezien dit het lastiger voor een aanvaller kan maken om toegang te krijgen, machines te besturen en data te stelen.

Zelfs wanneer bedrijven niet van plan zijn om van DoH gebruik te maken kan het zijn dat browsers en gebruikte software dit wel doen, waardoor de traditionele dns-verdediging van de onderneming wordt omzeild. Het gebruik van DoH in combinatie met externe dns-servers is volgens de NSA prima voor thuisgebruikers en netwerken waar geen dns-beveiliging actief is.

In het geval van bedrijfsnetwerken adviseert de NSA, ongeacht of het dns-verkeer is versleuteld of niet, om een eigen zakelijke dns-server te gebruiken. Zodoende hebben ondernemingen volledige controle over hun eigen dns-beveiliging en kan het interne netwerk beter worden beschermd. "Alle andere dns-servers moeten worden uitgeschakeld en geblokkeerd", zo stelt de NSA.

Image

Britse politie verliest door softwarefout 150.000 records van arrestanten
Mozilla onthult plan voor nieuw, open en gezonder internet
Reacties (10)
Reageer met quote
15-01-2021, 11:01 door Anoniem
Hmm, NSA is bang voor DOH... dat betekent dat je direct moet overstappen ernaar.
De NSA zal het namelijk een reet-kuch kuch of jij als admin een dns query kan doen.
Immers, resolven is niet perse kunnen connecten (als je zscaler, of andere proxies draait)
Reageer met quote
15-01-2021, 11:33 door Anoniem
Door Anoniem: Hmm, NSA is bang voor DOH... dat betekent dat je direct moet overstappen ernaar.
Al je DNS verkeer naar Cloudflare sturen zodat de NSA die vervolgens kan opvragen onder de FISA wetgeving? Persoonlijk lijkt mij dat dan weer geen goed idee.

Of althans, net zo'n slecht idee dat je niet intern (of zelfs publiek, met client certificates) een eigen DoH server kan draaien. Dat geeft je het beste van beide werelden: DNS verkeer op netwerk niveau versleuteld, maar op de server altijd toegang tot de queries van clients voor monitoring doeleinden.
Reageer met quote
15-01-2021, 13:22 door Anoniem
Door Anoniem: Hmm, NSA is bang voor DOH... dat betekent dat je direct moet overstappen ernaar.
De NSA zal het namelijk een reet-kuch kuch of jij als admin een dns query kan doen.
Immers, resolven is niet perse kunnen connecten (als je zscaler, of andere proxies draait)

Haha ik dacht precies hetzelfde :)

Intern monitoren kan meerwaarde hebben (detectie malware URl's etc) maar de query naar een externe DNS server moet je wel met DOH doen ... oftewel een forwarder in je LAN die op basis van DOH forward. Intern doe je dan toch lekker udp/53 door je next-gen firewall (DNS forwarder in je DMZ) zodat je intern je detectie hebt maar extern lekker niet.
Reageer met quote
15-01-2021, 13:33 door Anoniem
Wat is er mis met DoT? Die gebruikt poort 853 en is encrypted.
Reageer met quote
15-01-2021, 14:27 door Anoniem
Door Anoniem: Wat is er mis met DoT? Die gebruikt poort 853 en is encrypted.

Poort 853 blokkeren op de corporate firewall en klaar. Dat wordt bij poort 443 aanzienlijk lastiger, tenzij je een permanente man in the middle op je netwerk plaatst en al je HTTPS verkeer gaat controleren, al dan niet met dure software, lastige configuraties, processen om AVG-data niet te inspecteren etc.
Reageer met quote
15-01-2021, 15:13 door Anoniem
Door Anoniem: Wat is er mis met DoT? Die gebruikt poort 853 en is encrypted.

Het is misschien netwerktechnisch wel de mooiere oplossing van de twee maar zoals de vorige poster al aangaf makkelijk te blokkeren. Dit is met DNS via HTTPS een stuk lastiger.

Zelf draai ik ook DoH (Quad9) en worden alle verzoeken op poort 53 hier naartoe geleid.
Reageer met quote
15-01-2021, 15:29 door Anoniem
dns over https met je eigen CA certificate bedoelen ze zeker. Anders is het https is verkeer is voor niemand zichtbaar behalve de amerikanen.
Reageer met quote
16-01-2021, 15:50 door Anoniem
Cloudflare is het internet... nog effe dan :)
Reageer met quote
18-01-2021, 11:15 door Anoniem
Zie bijvoorbeeld deze presentatie van Bert Hubert (oprichter van PowerDNS) die hij heeft gegeven bij Tweakers:
https://www.youtube.com/watch?v=ZWabMpBGgUU&feature=emb_imp_woyt

Het geeft een ander beeld over waarom je wellicht geen DoT of DNS via HTTPS zou moeten willen. Het zet je in elk geval aan het denken.

Waarom gaat een buitenlandse (niet aan de AVG gebonden) DNS dienst gegevens 24u lang loggen wat ontzettend duur is.

Zijn advies aan de gemiddelde Nederlander is: gebruik de DNS servers van je provider. Dat wordt behoorlijk gereguleerd, kan niet ingezien worden door buitenlands overheden en is niet zomaar voor andere doeleinden te gebruiken.
Reageer met quote
18-01-2021, 12:33 door Anoniem
Al je DNS verkeer naar Cloudflare sturen zodat de NSA die vervolgens kan opvragen onder de FISA wetgeving?
Hoezo opvragen? Waar kwam Cloudflare's kapitaal vandaan dan?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Verder
captcha
Nieuwe code
Preview Reageren
Zoeken
search
Vacature
Image

Security-engineer IAM

Krijg jij energie van technische vraagstukken op het vlak van Security en Risk? En steek je graag je handen uit de mouwen om zelf een bijdrage te leveren aan een veilige digitale omgeving waarin de data en euro’s van onze klanten worden beheerd. Dan komen we graag met jou in contact.

Lees meer

Heb jij een Hacker Mindset?

5 reacties
Aantal stemmen: 326
Vacature
Image

Senior Security Consultant

Als security consultant bij Cegeka speel je een uitermate belangrijke rol in het veilig houden van de bedrijven in Nederland en de Nederlandse maatschappij. Vandaar ook dat Cegeka dit hoog op de agenda heeft staan. Wij doen dit door, in close cooperation, onze klanten advies te geven op strategisch, tactisch en operationeel niveau.

Lees meer
Is een laptop die via de werkkostenregeling wordt vergoed een privélaptop?
03-03-2021 door Arnoud Engelfriet

Juridische vraag: Bij ons bedrijf is gekozen voor bring-your-own-device, waarbij mensen zelf privé een laptop mogen kopen en ...

19 reacties
Lees meer
Certified Secure LIVE Online training
De verkiezingsprogramma's doorgelicht: Deel 4 digitalisering
20-02-2021 door Redactie

Een digitaal paspoort, recht op betaalbaar en snel internet, 'digitale inburgering' of digitaal stemmen, het zijn slechts een ...

8 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter