Предотвращение обхода DNS-фильтрации с помощью шифрованного DNS (DoT, DoH, DoQ)

Протоколы шифрованного DNS, такие как DoH и DoT, повышают конфиденциальность, но ограничивают видимость и контроль сетевых защитников. Традиционно это приводит к блокировке шифрованного DNS, жертвуя его преимуществами безопасности. Новый подход, локальный резолвер Zero Trust, предлагает решение на уровне шлюза, которое сохраняет шифрованный DNS, одновременно поддерживая применение политик без изменения конечных точек. Это включает политику "по умолчанию запрещено", где разрешен только трафик, разрешенный назначенным резолвером шлюза. Стандартные запросы DNS over HTTPS (Do53) могут быть перехвачены для применения политики, предоставляя ответы на основе политик даже при попытке обхода. Однако зашифрованные DoT и DoH не поддаются перехвату; вместо этого сами DNS-запросы блокируются на шлюзе. Эта блокировка основана не на списке блокировки, а на том факте, что IP-адрес не был разрешен авторизованным DNS-запросом. Если URL-адрес DoH разрешен, разрешение происходит "вслепую" для сетевого контроллера. Тем не менее, IP-адрес, полученный в результате такого разрешения, считается незнакомым для шлюза Zero Trust. Следовательно, прямое подключение к этому IP-адресу блокируется, поскольку оно не было частью разрешенного исходящего правила. Этот подход "по умолчанию запрещено", реализованный с помощью резолвера Zero Trust, может быть масштабирован. Цель состоит в том, чтобы конечные точки использовали шифрованный DNS для внутренних защитных резолверов, обеспечивая безопасность и контроль в пределах периметра сети.