Sió-Informatika Rendszerház

HÍREK

🌐 NIST frissítette a DNS biztonsági irányelveket – 12 év után teljes szemléletváltás

NIST DNS biztonsági irányelv frissítés: új korszak a kiberbiztonságban

👉 Ez nem „simítás” — hanem stratégiai újragondolás.

Az National Institute of Standards and Technology kiadta az új
SP 800-81 Revision 3 iránymutatást, amely alapjaiban alakítja át, hogyan kell a DNS-t kezelni biztonsági szempontból.

⚠️ Mi változott valójában?

Régen:

  • DNS = háttérszolgáltatás

Most:

  • DNS = aktív védelmi réteg (security control)

👉 Ez egy hatalmas paradigmaváltás.

🧠 Miért lett hirtelen ennyire kritikus a DNS?

A támadók már rég rájöttek:

  • 🎯 C2 kommunikáció (ransomware)
  • 📤 adatlopás (DNS tunneling)
  • 🎣 phishing domain-ek
  • 🔗 supply chain támadások

👉 DNS = láthatatlan kommunikációs csatorna

🛡️ Protective DNS – az új alap

A NIST egyik legerősebb üzenete:

👉 „DNS-t használj védekezésre, ne csak feloldásra”

Mit tud egy modern DNS védelem?
  • 🚫 rosszindulatú domainek blokkolása
  • 🧠 threat intelligence integráció
  • 📊 naplózás + forenzika
  • 🎯 kockázat alapú szűrés

☁️ + 🏢 Hybrid modell (nagyon fontos!)

NIST ajánlás:

  • Cloud DNS security → skálázás + threat intel
  • On-prem DNS firewall (RPZ) → kontroll + fallback

👉 együtt = resilience

🔐 Titkosított DNS – áldás és probléma

Új valóság:

  • DNS over TLS (DoT)
  • DNS over HTTPS (DoH)
  • DNS over QUIC (DoQ)
✔ Előny:
  • lehallgatás ellen véd
❌ Hátrány:
  • elveszik a hálózati láthatóság

👉 ezért:

  • DNS kontroll → resolver szinten
  • nem hálózaton!

🚨 Kritikus kockázat: megkerülhető vállalati DNS

NIST külön kiemeli:

  • böngészők saját DNS-t használnak
  • DoH → port 443 → „láthatatlan”
Mit kell tenni:
  • port 853 tiltás (DoT)
  • DoH endpoint blokkolás
  • MDM policy enforcement

🔑 DNSSEC – új kriptográfia

Friss ajánlások:

  • ✅ ECDSA
  • ✅ Ed25519 / Ed448
  • ❌ RSA háttérbe szorul
Best practice:
  • kulcs rotáció: 1–3 év
  • aláírás: 5–7 nap
  • kulcsok: HSM-ben

🧨 „Rejtett” DNS kockázatok (nagyon alulértékelt)

  • dangling CNAME → domain takeover
  • lame delegation → hijacking
  • typosquatting → phishing

👉 ezek nem „elméleti” problémák

🏗️ Architektúra – Zero Trust DNS

NIST irány:

  • 🔀 authoritative ≠ recursive szétválasztás
  • 🌍 geo redundancia
  • 🕵️ hidden primary server
  • 🧱 dedikált DNS infrastruktúra

🎯 Mit jelent ez a gyakorlatban?

Ez az irányelv kimondja:

👉 DNS =

  • láthatóság
  • kontroll
  • védelem
  • zero trust belépési pont

💡 Stratégiai insight (ami igazán számít)

A jövőben:

  • endpoint védelem = kevés
  • network védelem = korlátozott
  • DNS = utolsó univerzális kontroll pont

👉 ezért kerül fókuszba.

Keresés

Népszerű bejegyzések

Kategóriák

Arhívum

Kövess minket

Az oldal tartalma nem másolható!