Browsers rollen DNS over HTTPS uit

In FireFox is het al de standaard en het zal niet lang meer duren voordat ook de andere browsers volgen: DNS-over-HTTPS (DoH) wordt steeds verder uitgerold. Dit betekent dat het opzoeken van internetadressen voortaan via het versleutelde HTTPS-protocol gaat. De maatregel is bedoeld om de privacy van gebruikers beter te beschermen, maar voor organisaties betekent het dat ze het DNS-verkeer niet langer kunnen controleren. Dit versleuteld DNS verkeer heeft serieuze gevolgen voor de beveiliging van uw netwerk en wij adviseren het dan ook uit te schakelen. In deze blog lichten we dit verder toe.

DNS-beveiliging essentieel om ransom- en malware te blokkeren

Op dit moment is DNS-beveiliging één van de belangrijkste methodes om ransomware en malware te blokkeren. Een veelgebruikte oplossing als Cisco Umbrella bijvoorbeeld, blokkeert namen en IP-adressen (zonder verkeer te onderscheppen) waarvan bekend is dat ze onveilig zijn. Maar denk ook aan het afdwingen van bedrijfsbeleid. Websites die gebruikers niet mogen bezoeken of het gebruik van ongewenste cloudapplicaties. Op het moment dat het netwerkverkeer niet meer door de eigen DNS-infrastructuur loopt, kan bedrijfsbeleid niet langer gecontroleerd worden en is DNS-beveiliging vanwege versleuteld DNS verkeer ook niet meer mogelijk! Wanneer u niets doet, betekent dit dus een serieus securityrisico voor uw organisatie en de gebruikers.

Impact op middelgrote en grote bedrijven

Wij gaan er vanuit dat in 2020 alle browsers DoH zullen uitrollen. Het gevaar van deze maatregel is dat het klinkt als iets positiefs, meer privacy voor gebruikers, maar dat je daardoor niet nadenkt over de nadelen. Vanuit consumentenperspectief is het een goede oplossing, maar voor bedrijven betekent het verlies van controle op het gebied van security. Dit geldt voor ieder bedrijf dat met IT-beheer te maken heeft. Om grip te houden op de veiligheid van uw IT-netwerk adviseren wij dan ook om DNS over HTTPS uit te schakelen op alle bedrijfsmiddelen (telefoons, tablets, laptops, pc’s). Ook is het voor sommige firewalls mogelijk om DNS over HTTPS te blokkeren, zodat browsers gebruik blijven maken van de door u ingestelde DNS-server en -instellingen. Wilt u de privacy van uw gebruikers waarborgen en toch gebruikmaken van beveiligingsmaatregelen? Cisco Umbrella versleutelt reeds al het DNS-verkeer over het internet bij gebruik van de Virtual Appliance.

Heeft u vragen naar aanleiding van deze blog of heeft u interesse in een gratis trial van Cisco Umbrella van drie weken om erachter te komen met welke dreigingen u dagelijks te maken heeft? Neem dan gerust contact met ons op.