DNS Over HTTPS (DoH) : implications pour le filtrage du WiFi public

Ce guide de référence technique explique comment le DNS over HTTPS (DoH) contourne le filtrage de contenu traditionnel du port 53 sur les réseaux WiFi publics. Il fournit des stratégies d'atténuation exploitables et neutres vis-à-vis des fournisseurs pour permettre aux architectes réseau et aux responsables informatiques de regagner en visibilité, d'assurer la conformité et de sécuriser l'accès des invités dans les environnements d'entreprise.

📖 6 min de lecture📝 1,392 mots🔧 2 exemples concrets❓ 3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast

Bienvenue dans ce briefing technique Purple. Je suis votre hôte pour la session d'aujourd'hui, et nous allons passer les dix prochaines minutes sur un sujet qui compromet discrètement les politiques de filtrage de contenu sur des milliers de déploiements de WiFi publics en ce moment même : le DNS over HTTPS, ou DoH.

Si vous gérez un WiFi invité dans un hôtel, un commerce de détail, un stade ou un établissement du secteur public, et que vous n'avez pas spécifiquement traité le DoH dans votre architecture réseau, il y a de fortes chances que votre politique de filtrage présente une lacune importante. Voyons ensemble en quoi consiste exactement cette lacune, pourquoi elle est importante et ce que vous pouvez faire pour y remédier.

Première partie — contexte et énoncé du problème.

Commençons par un bref rappel du fonctionnement du filtrage DNS traditionnel, car pour comprendre le mécanisme de contournement, il faut d'abord comprendre ce qui est contourné.

Lorsqu'un appareil invité se connecte à votre WiFi et tente de visiter un site web, la première chose qu'il fait est d'envoyer une requête DNS — en demandant essentiellement quelle est l'adresse IP de ce domaine. Cette requête transite via UDP ou TCP sur le port 53. Votre infrastructure réseau intercepte cette requête, l'achemine vers le résolveur DNS de votre choix, et ce résolveur vérifie le domaine par rapport à votre politique de filtrage. Si le domaine figure sur une liste de blocage — logiciels malveillants, contenu pour adultes, jeux d'argent, quel que soit ce que spécifie votre politique d'utilisation acceptable — le résolveur refuse de renvoyer l'adresse IP, et la connexion ne s'établit jamais.

C'est la base de tout déploiement de filtrage de contenu basé sur le DNS. C'est rentable, cela n'impacte pas le débit, et c'est l'approche standard des exploitants d'établissements depuis près d'une décennie.

Le DNS over HTTPS brise ce modèle. Voici comment.

Le DoH encapsule les requêtes DNS dans le trafic HTTPS standard sur le port 443. Du point de vue de votre réseau, cela semble identique à tout autre trafic web chiffré. Il n'y a aucun moyen de distinguer une requête DoH d'un utilisateur chargeant une page web, visionnant une vidéo en streaming ou accédant à une application bancaire. La requête va directement à un résolveur DoH externe — le 8.8.8.8 de Google, le 1.1.1.1 de Cloudflare ou bien d'autres — via un canal chiffré que votre filtre DNS ne peut pas inspecter.

Le résultat ? Votre politique de filtrage DNS soigneusement configurée est complètement contournée. L'appareil résout le domaine directement, sans que votre résolveur ne voie jamais la requête.

Or, il ne s'agit pas d'une attaque délibérée de la part de vos invités. Dans la plupart des cas, c'est entièrement passif. Firefox a activé le DoH par défaut depuis 2020. Chrome met automatiquement à niveau les requêtes DNS vers le DoH si le résolveur configuré le prend en charge. Android 9 et versions ultérieures prennent en charge le DNS privé avec DNS over TLS par défaut. iOS prend en charge les profils de configuration DoH depuis iOS 14. Ce sont des appareils grand public courants qui font ce que leurs fabricants ont prévu. Vos invités n'essaient pas de contourner votre filtrage. Leurs appareils le font simplement de manière automatique.

Deuxième partie — l'analyse technique approfondie.

Entrons dans les détails mécaniques. Il existe deux principaux modèles d'implémentation du DoH que vous rencontrerez sur le terrain.

Le premier est le DoH au niveau applicatif, où l'application — généralement un navigateur — gère sa propre configuration DoH indépendamment des paramètres DNS du système d'exploitation. Firefox en est l'exemple canonique. Lorsque Firefox est installé et que le DoH est activé, il ignore complètement le résolveur DNS du système et envoie toutes ses requêtes DNS à son fournisseur DoH configuré, qui est par défaut Cloudflare. Votre serveur DNS attribué par DHCP n'a plus d'importance. Vos règles d'interception du port 53 n'ont plus d'importance. Firefox mène une conversation DNS totalement distincte sur le port 443 que vous ne pouvez pas voir.

Le second modèle est le DoH au niveau du système d'exploitation, où le système d'exploitation lui-même gère la mise à niveau. Chrome et Windows 10 et 11 adoptent cette approche. Ils vérifient si le résolveur DNS configuré du système — celui attribué par votre serveur DHCP — possède un point de terminaison DoH correspondant. Si c'est le cas, ils passent automatiquement au DoH. C'est ce qu'on appelle le DoH opportuniste. Si vous attribuez 8.8.8.8 comme serveur DNS invité, Chrome utilisera automatiquement le point de terminaison DoH de Google. Si vous attribuez 1.1.1.1, il utilisera celui de Cloudflare.

La distinction est importante pour votre stratégie d'atténuation, sur laquelle nous reviendrons sous peu.

Il y a un troisième vecteur qui mérite d'être mentionné : le DNS over TLS, ou DoT. Celui-ci fonctionne sur le port 853 et chiffre les requêtes DNS à l'aide de TLS plutôt que de les encapsuler dans HTTPS. Il est plus facile à bloquer que le DoH car il utilise un port dédié, mais il est de plus en plus courant sur les appareils Android avec le DNS privé activé. Votre stratégie d'atténuation doit traiter les deux.

Parlons maintenant de la raison pour laquelle cela représente un risque opérationnel et de conformité, et pas seulement une curiosité technique.

Sous le régime du GDPR, si votre politique d'utilisation acceptable stipule que vous filtrez certaines catégories de contenu, et que vos contrôles techniques n'appliquent pas réellement cette politique, vous avez un écart entre vos engagements déclarés en matière de protection des données et de gouvernance du contenu et votre mise en œuvre technique réelle. C'est un problème de défendabilité si vous devez faire face à une enquête réglementaire ou à un incident.

En vertu de l'Online Safety Act du Royaume-Uni, les exploitants d'établissements fournissant un accès public à Internet ont des obligations concernant la protection des utilisateurs — en particulier les mineurs — contre les contenus préjudiciables. Si le DoH contourne silencieusement votre filtrage de contenu, il se peut que vous ne respectiez pas ces obligations.

Pour les établissements qui entrent dans le champ d'application de PCI DSS — en particulier ceux où les données de cartes de paiement transitent sur des réseaux adjacents au WiFi invité —, la version 4.0 de PCI DSS exige que vous surveilliez et contrôliez le trafic DNS dans le cadre de vos contrôles de sécurité réseau. Le trafic DoH non surveillé constitue une lacune dans ce cadre de contrôle.

Et d'un point de vue purement sécuritaire, le DoH a été activement exploité par des logiciels malveillants. Les acteurs de menaces ont utilisé le DoH comme canal de commande et de contrôle (C2) car il se fond dans le trafic HTTPS normal. La porte dérobée GodLua a utilisé le DoH pour ses communications de commande et de contrôle. Le logiciel malveillant PsiXBot a utilisé le service DoH de Google. Si votre surveillance de la sécurité repose sur la visibilité DNS pour détecter les activités malveillantes, les zones d'ombre créées par le DoH constituent une menace réelle.

Troisième partie — recommandations de mise en œuvre.

Très bien, passons à la pratique. Il existe trois principales stratégies d'atténuation, et dans la plupart des déploiements en établissement, vous voudrez implémenter les trois en combinaison.

Stratégie un : bloquer les points de terminaison des résolveurs DoH connus au niveau du pare-feu.

C'est votre première ligne de défense et l'option la plus immédiatement déployable. Maintenez une liste de blocage des adresses IP et des domaines des résolveurs DoH connus — Google, Cloudflare, Quad9, NextDNS, AdGuard, etc. — et refusez le trafic HTTPS sortant vers ces points de terminaison depuis votre VLAN invité. L'IETF et divers fournisseurs de sécurité publient et maintiennent ces listes. Le projet curl sur GitHub maintient une liste complète des résolveurs DoH connus, ce qui constitue un bon point de départ.

Cette approche traite la majorité du trafic DoH car, comme l'ont montré les recherches du Software Engineering Institute de Carnegie Mellon, la majeure partie du trafic DoH se dirige vers un petit nombre de résolveurs bien connus. Les utilisateurs qui s'y connaissent suffisamment en DNS pour configurer un résolveur DoH personnalisé représentent une très faible minorité.

La limite de cette approche est qu'il s'agit d'une liste de blocage, et que les listes de blocage nécessitent une maintenance. De nouveaux résolveurs DoH apparaissent régulièrement. Mais combinée aux autres stratégies, elle offre une couverture solide.

Stratégie deux : l'inspection TLS sur votre pare-feu de nouvelle génération.

Les pare-feux de nouvelle génération de fournisseurs tels que Palo Alto Networks, Fortinet, Check Point et Cisco Firepower prennent en charge l'inspection TLS — également appelée inspection SSL ou inspection approfondie des paquets. Lorsqu'elle est activée, le pare-feu agit comme un intermédiaire (man-in-the-middle) pour le trafic HTTPS, en le déchiffrant, en inspectant la charge utile et en le rechiffrant avant de le transmettre. Cela permet au pare-feu d'identifier le trafic DoH même lorsqu'il est destiné à un résolveur inconnu.

L'App-ID de Palo Alto peut identifier spécifiquement le trafic DoH et lui appliquer une politique. Le FortiGate de Fortinet dispose d'une capacité similaire. L'étape de configuration clé consiste à s'assurer que le trafic de votre VLAN invité est acheminé via la politique d'inspection.

La considération opérationnelle ici est la confiance dans le certificat. Pour que l'inspection TLS fonctionne sur les appareils des invités, ces appareils doivent faire confiance à votre certificat d'inspection. Sur les appareils d'entreprise gérés, c'est simple : vous déployez le certificat via MDM. Sur les appareils d'invités non gérés, c'est plus complexe. L'approche pratique pour le WiFi invité consiste à utiliser le flux d'acceptation du Captive Portal pour informer les utilisateurs que le trafic peut être inspecté à des fins de filtrage de contenu, et à s'appuyer sur la combinaison du blocage des résolveurs DoH et de l'interception DNS comme contrôles principaux, avec l'inspection TLS comme couche secondaire pour les environnements à plus haut risque.

Stratégie trois : forcer l'interception et la redirection DNS.

Configurez votre pare-feu ou votre contrôleur sans fil pour intercepter tout le trafic DNS sortant sur le port UDP et TCP 53 et le rediriger vers votre résolveur DNS conforme. Cela n'arrête pas le DoH, mais cela garantit que tout trafic DNS qui se rabat sur le port 53 — parce que le DoH a échoué ou n'était pas disponible — est capturé et filtré.

Combinez cela avec le blocage du port 853 en sortie du VLAN invité pour empêcher le DNS over TLS de contourner vos contrôles.

Pour les terminaux gérés — appareils d'entreprise, appareils du personnel —, vous disposez d'une option supplémentaire : la configuration de la stratégie de groupe ou du MDM pour désactiver le DoH au niveau du navigateur et du système d'exploitation. Dans Firefox, la préférence network.trr.mode définie sur 5 désactive complètement le DoH. Dans Chrome, le drapeau disable-features égal à DnsOverHttps permet d'obtenir le même résultat. Windows 10 et 11 disposent de paramètres de stratégie de groupe pour contrôler le comportement du DoH. C'est le contrôle le plus fiable pour les appareils gérés, mais il n'est pas applicable aux appareils d'invités non gérés.

Quatrième partie — les pièges de la mise en œuvre.

Quelques problèmes qui surviennent couramment sur le terrain.

Le mode de défaillance le plus fréquent est une interception incomplète du port 53. Les équipes configurent correctement leur service de filtrage DNS mais oublient d'ajouter la règle de pare-feu qui redirige tout le trafic sortant du port 53. Les appareils dotés de paramètres DNS codés en dur — 8.8.8.8, 1.1.1.1 — contournent entièrement le filtre. Vérifiez toujours que cette règle est en place et testez-la en configurant un appareil de test avec un serveur DNS codé en dur et en confirmant que les domaines filtrés sont toujours bloqués.

Le deuxième échec courant est de ne pas prendre en compte l'IPv6. Les requêtes DNS sur IPv6 sont de plus en plus courantes, et de nombreuses règles de pare-feu sont écrites pour l'IPv4 uniquement. Assurez-vous que votre interception du port 53 et vos listes de blocage de résolveurs DoH couvrent à la fois les adresses IPv4 et IPv6.

Troisièmement : des listes de blocage de résolveurs DoH obsolètes. Si vous maintenez une liste de blocage statique d'adresses IP de résolveurs DoH, elle deviendra obsolète. Automatisez le processus de mise à jour ou utilisez un service de filtrage DNS qui maintient cette liste pour vous. Cloudflare Gateway, Cisco Umbrella et les services DNS d'entreprise similaires incluent la détection du contournement DoH en tant que fonctionnalité gérée.

Quatrièmement : une dépendance excessive à l'égard d'une seule couche d'atténuation. L'atténuation du DoH est un problème de défense en profondeur. Aucun contrôle unique n'est suffisant. Le blocage des résolveurs connus traite la plupart des cas. L'inspection TLS traite les cas limites. L'interception DNS fournit un filet de sécurité. Superposez les trois.

Cinquième partie — questions-réponses rapides.

L'atténuation du DoH bloque-t-elle les outils de confidentialité légitimes ? Potentiellement, oui. Si un utilisateur utilise une configuration de navigateur légitime axée sur la confidentialité, votre blocage du DoH le forcera à utiliser votre résolveur DNS. Votre politique d'utilisation acceptable doit indiquer clairement que le résolveur DNS de l'établissement est utilisé à des fins de filtrage de contenu. C'est une pratique courante et juridiquement défendable.

Le DoH peut-il être utilisé pour exfiltrer des données de mon réseau ? Oui, et c'est un véritable vecteur de menace. Le tunnel DNS (DNS tunnelling) via DoH a été démontré dans la nature. La capacité de détection DoH de votre pare-feu de nouvelle génération doit inclure la détection d'anomalies pour les volumes de requêtes anormalement élevés ou les modèles de requêtes correspondant à du tunnel.

Qu'en est-il des applications mobiles qui utilisent le DoH ? C'est le cas le plus difficile. Les applications mobiles qui implémentent leur propre pile DoH — plutôt que d'utiliser les paramètres DNS du système d'exploitation — sont difficiles à contrôler sans inspection TLS. Votre meilleure atténuation est la combinaison du blocage des résolveurs connus et de l'inspection TLS.

Le WPA3 est-il pertinent ici ? Le WPA3 améliore le chiffrement radio et offre une confidentialité persistante, ce qui est excellent pour la vie privée des invités. Mais le WPA3 ne traite pas le DoH — il s'agit d'un problème de protocole applicatif de couche 7, et non d'un problème de sécurité sans fil de couche 2. Ce sont des contrôles complémentaires qui traitent des vecteurs de menace différents.

Sixième partie — ROI et impact commercial.

Permettez-moi de conclure avec l'analyse de rentabilité pour traiter ce problème correctement.

Le coût de l'absence de traitement du DoH est asymétrique. Un seul incident — un invité accédant à un contenu illégal sur votre réseau, un retour d'appel de logiciel malveillant passant inaperçu parce que votre surveillance DNS avait une zone d'ombre, une enquête réglementaire sur votre conformité en matière de filtrage de contenu — peut coûter nettement plus cher que l'investissement dans une atténuation appropriée.

Pour un groupe hôtelier exploitant 20 établissements, le déploiement de l'atténuation du DoH implique généralement un effort de configuration unique de deux à quatre heures par établissement pour les règles de pare-feu et la configuration de l'interception DNS, plus un coût opérationnel continu pour maintenir les listes de blocage de résolveurs — ce qui est largement automatisé si vous utilisez un service de filtrage DNS géré. L'investissement total est modeste par rapport à la réduction des risques.

Pour les chaînes de vente au détail soumises à la norme PCI DSS, l'avantage en matière de conformité est directement quantifiable. Démontrer que vos contrôles de sécurité réseau incluent l'atténuation du DoH réduit le risque d'une observation d'audit PCI DSS et les coûts de remédiation associés.

Pour les établissements du secteur public et ceux soumis à l'Online Safety Act, l'atténuation documentée du DoH fait partie de vos éléments de preuve attestant que vous avez pris des mesures techniques raisonnables pour appliquer votre politique de filtrage de contenu.

En conclusion : le DoH n'est pas un problème futur. C'est un problème actuel. Firefox, Chrome, Android et iOS déploient tous des configurations compatibles DoH sur les appareils de vos invités en ce moment même. Si vous n'avez pas audité votre architecture de filtrage DNS pour détecter les vecteurs de contournement DoH au cours des 12 derniers mois, cet audit devrait figurer sur votre feuille de route à court terme.

Pour résumer les points clés du briefing d'aujourd'hui.

Un : le DoH chiffre les requêtes DNS au sein de HTTPS sur le port 443, les rendant invisibles pour le filtrage DNS traditionnel du port 53. Cela se produit par défaut sur les navigateurs et systèmes d'exploitation grand public.

Deux : la stratégie d'atténuation à trois couches — bloquer les IP des résolveurs DoH connus, implémenter l'inspection TLS sur votre pare-feu de nouvelle génération et imposer l'interception du port 53 — offre une couverture de défense en profondeur pour les appareils d'invités gérés et non gérés.

Trois : il s'agit d'un problème de conformité, et pas seulement technique. Le GDPR, l'Online Safety Act et PCI DSS ont tous des implications pour les établissements où le DoH contourne silencieusement les politiques de filtrage de contenu.

Quatre : la défaillance de mise en œuvre la plus courante est une interception incomplète du port 53. Testez-la. Vérifiez-la. Ne supposez pas qu'elle fonctionne.

Cinq : les services de filtrage DNS gérés — Cloudflare Gateway, Cisco Umbrella et similaires — incluent de plus en plus la détection du contournement DoH en tant que fonctionnalité gérée, ce qui réduit la charge opérationnelle liée à la maintenance des listes de blocage statiques.

C'est tout pour le briefing technique Purple d'aujourd'hui. Si vous cherchez à auditer votre architecture de filtrage DNS actuelle ou à mettre en œuvre l'atténuation du DoH sur l'ensemble de vos établissements, la plateforme Purple fournit l'intelligence réseau et la couche de gestion du WiFi invité nécessaires pour soutenir ce déploiement. Merci pour votre écoute, et à bientôt pour la prochaine session.

Points clés à retenir

✓Le DNS over HTTPS (DoH) chiffre les requêtes DNS sur le port 443, les rendant invisibles pour les filtres réseau traditionnels du port 53.
✓Les navigateurs et systèmes d'exploitation grand public activent désormais le DoH par défaut, entraînant un contournement passif et involontaire des politiques par les appareils des invités.
✓Le contournement du DoH crée des risques de conformité importants au regard du GDPR, de PCI DSS et de l'Online Safety Act en désactivant le filtrage de contenu et le blocage des logiciels malveillants.
✓L'atténuation nécessite une approche de défense en profondeur : bloquer les IP des résolveurs DoH connus pour forcer le repli vers le DNS standard.
✓L'interception du port 53 via la redirection NAT est obligatoire pour capturer le trafic provenant d'appareils dotés de paramètres DNS codés en dur.
✓Le port 853 doit être bloqué pour empêcher les appareils Android de contourner les filtres à l'aide du DNS over TLS (DNS privé).
✓Des politiques de Captive Portal correctement documentées sont essentielles pour garantir la défendabilité juridique lors du blocage des protocoles DNS chiffrés.

এক্সিকিউটিভ সামারি

প্রায় এক দশক ধরে, পোর্ট 53-এ প্রথাগত DNS ফিল্টারিং পাবলিক WiFi নেটওয়ার্কগুলোতে কন্টেন্ট পলিসি প্রয়োগ এবং ম্যালওয়্যার হুমকি প্রশমিত করার প্রাথমিক মেকানিজম হিসেবে কাজ করেছে। তবে, মূলধারার ব্রাউজার এবং অপারেটিং সিস্টেমগুলোর দ্বারা DNS over HTTPS (DoH)-এর ব্যাপক গ্রহণ এই মডেলটিকে মৌলিকভাবে ব্যাহত করে। পোর্ট 443-এ স্ট্যান্ডার্ড HTTPS ট্রাফিকের মধ্যে DNS কোয়েরিগুলোকে এনক্যাপসুলেট করার মাধ্যমে, DoH এই কোয়েরিগুলোকে প্রথাগত নেটওয়ার্ক ইন্টারসেপশন কৌশলগুলোর কাছে অদৃশ্য করে তোলে।

এন্টারপ্রাইজ আইটি ম্যানেজার এবং নেটওয়ার্ক আর্কিটেক্ট যারা Hospitality , Retail , স্টেডিয়াম এবং পাবলিক-সেক্টর ভেন্যুগুলোতে গেস্ট WiFi পরিচালনা করেন, তাদের জন্য এটি একটি উল্লেখযোগ্য কমপ্লায়েন্স এবং সিকিউরিটি গ্যাপ তৈরি করে। যখন গেস্ট ডিভাইসগুলো নীরবে ভেন্যুর নির্ধারিত DNS রিভলভারগুলোকে বাইপাস করে, তখন সতর্কতার সাথে তৈরি করা গ্রহণযোগ্য ব্যবহারের পলিসিগুলো ব্যর্থ হয়, যা নেটওয়ার্কটিকে কমান্ড-অ্যান্ড-কন্ট্রোল (C2) ম্যালওয়্যার ট্রাফিক এবং অনুপযুক্ত কন্টেন্টের সম্মুখীন করে। এই গাইডটি DoH বাইপাস ভেক্টরের মেকানিক্স বিস্তারিতভাবে বর্ণনা করে এবং নেটওয়ার্ক ভিজিবিলিটি পুনরুদ্ধার, রেগুলেটরি কমপ্লায়েন্স নিশ্চিত করতে এবং শক্তিশালী Guest WiFi সিকিউরিটি বজায় রাখতে একটি স্তরযুক্ত, ডিফেন্স-ইন-ডেপথ আর্কিটেকচার প্রদান করে।

টেকনিক্যাল ডিপ-ডাইভ: DoH বাইপাস মেকানিজম

DoH থ্রেট ভেক্টর বুঝতে হলে, প্রথমে প্রথাগত DNS ফিল্টারিংয়ের বেসলাইন আর্কিটেকচার পরীক্ষা করতে হবে। ঐতিহাসিকভাবে, যখন কোনো গেস্ট ডিভাইস পাবলিক নেটওয়ার্কে কানেক্ট করে কোনো ডোমেইনের জন্য রিকোয়েস্ট করত, তখন কোয়েরিটি প্লেইনটেক্সটে UDP বা TCP পোর্ট 53-এর মাধ্যমে ট্রান্সমিট হতো। নেটওয়ার্ক অ্যাডমিনিস্ট্রেটররা সহজেই ফায়ারওয়াল বা ওয়্যারলেস কন্ট্রোলারে এই ট্রাফিক ইন্টারসেপ্ট করতে পারতেন এবং এটিকে একটি কমপ্লায়েন্ট DNS রিভলভারের দিকে রিডাইরেক্ট করতে পারতেন, যা থ্রেট ইন্টেলিজেন্স ফিড এবং কন্টেন্ট ক্যাটাগরাইজেশন পলিসির বিপরীতে রিকোয়েস্ট করা ডোমেইনটি চেক করত।

DNS over HTTPS এই সম্পূর্ণ কন্ট্রোল প্লেনটিকে এড়িয়ে যায়। ডিজাইন অনুযায়ী, DoH DNS কোয়েরিটিকে এনক্রিপ্ট করে এবং পোর্ট 443-এ স্ট্যান্ডার্ড TLS এনক্রিপশন ব্যবহার করে একটি এক্সটার্নাল রিভলভারের (যেমন Cloudflare-এর 1.1.1.1 বা Google-এর 8.8.8.8) কাছে ট্রান্সমিট করে। ভেন্যুর নেটওয়ার্ক ইনফ্রাস্ট্রাকচারের দৃষ্টিকোণ থেকে, একটি DoH কোয়েরি এবং একজন ব্যবহারকারীর সুরক্ষিত ওয়েবসাইট ব্রাউজ করা বা ভিডিও স্ট্রিম করার মধ্যে কোনো পার্থক্য করা যায় না।

ইমপ্লিমেন্টেশন প্যাটার্ন: অ্যাপ্লিকেশন বনাম OS-লেভেল DoH

বিভিন্ন প্ল্যাটফর্মে DoH কীভাবে ইমপ্লিমেন্ট করা হয়, তার কারণে নেটওয়ার্ক অ্যাডমিনিস্ট্রেটরদের জন্য চ্যালেঞ্জ আরও বেড়ে যায়। এর দুটি প্রাথমিক ডিপ্লয়মেন্ট প্যাটার্ন রয়েছে:

অ্যাপ্লিকেশন-লেভেল DoH: এই মডেলে, অ্যাপ্লিকেশনটি হোস্ট অপারেটিং সিস্টেম থেকে স্বাধীনভাবে তার নিজস্ব DoH কনফিগারেশন বজায় রাখে। Mozilla Firefox এর একটি আদর্শ উদাহরণ; যখন DoH এনাবল করা থাকে, তখন Firefox DHCP-অ্যাসাইন করা DNS সার্ভারগুলোকে উপেক্ষা করে এবং সমস্ত কোয়েরি তার পছন্দের DoH প্রোভাইডারের কাছে রাউট করে। ভেন্যুর পোর্ট 53 ইন্টারসেপশন রুলগুলো সম্পূর্ণভাবে বাইপাস হয়ে যায়।
OS-লেভেল (অপারচুনিস্টিক) DoH: Windows 11 এবং Android সহ আধুনিক অপারেটিং সিস্টেমগুলো অপারচুনিস্টিক DoH ব্যবহার করে। OS চেক করে যে DHCP-অ্যাসাইন করা DNS রিভলভারের কোনো পরিচিত DoH এন্ডপয়েন্ট আছে কি না। যদি কোনো ম্যাচ পাওয়া যায়, তবে OS স্বয়ংক্রিয়ভাবে কানেকশনটিকে DoH-এ আপগ্রেড করে। যদিও এটি অ্যাডমিনিস্ট্রেটরের রিভলভার পছন্দকে বজায় রাখে, তবুও এটি ট্রাফিকটিকে পোর্ট 443-এ শিফট করে, যা পোর্ট 53-এ ট্রাফিক প্রত্যাশাকারী লিগ্যাসি মনিটরিং টুলগুলোকে বাইপাস করতে পারে।

অধিকন্তু, অ্যাডমিনিস্ট্রেটরদের অবশ্যই DNS over TLS (DoT) বিবেচনা করতে হবে, যা পোর্ট 853-এ কাজ করে। ডেডিকেটেড পোর্টের কারণে DoT ব্লক করা সহজ হলেও, এটি Android-এর "Private DNS" ফিচারের ডিফল্ট স্ট্যান্ডার্ড এবং গেস্ট VLAN-এ পোর্ট 853 খোলা থাকলে এটি একই ধরনের বাইপাস ঝুঁকি তৈরি করে।

ইমপ্লিমেন্টেশন গাইড: একটি ডিফেন্স-ইন-ডেপথ আর্কিটেকচার

DNS রেজোলিউশনের ওপর নিয়ন্ত্রণ ফিরে পেতে একটি মাল্টি-লেয়ারড মিটিগেশন স্ট্র্যাটেজি প্রয়োজন। আধুনিক, এনক্রিপ্টেড প্রোটোকলগুলোর বিরুদ্ধে শুধুমাত্র একটি কন্ট্রোল পয়েন্টের ওপর নির্ভর করা যথেষ্ট নয়। গেস্ট অ্যাক্সেস সুরক্ষিত করতে এবং PCI DSS ও GDPR-এর মতো ফ্রেমওয়ার্কগুলোর সাথে কমপ্লায়েন্স নিশ্চিত করতে নেটওয়ার্ক আর্কিটেক্টদের নিচের আর্কিটেকচারটি ইমপ্লিমেন্ট করা উচিত।

লেয়ার 1: পরিচিত DoH রিভলভার এন্ডপয়েন্টগুলো ব্লক করুন

সবচেয়ে তাৎক্ষণিক এবং কার্যকর মিটিগেশন হলো নেটওয়ার্ক এজে পরিচিত পাবলিক DoH রিভলভারগুলোতে আউটবাউন্ড HTTPS ট্রাফিক ব্লক করা। যদিও DoH ট্রাফিক স্ট্যান্ডার্ড HTTPS-এর সাথে মিশে যায়, তবে প্রধান DoH প্রোভাইডারদের ডেস্টিনেশন IP অ্যাড্রেস এবং ডোমেইনগুলো সুপরিচিত।

এই নির্দিষ্ট এন্ডপয়েন্টগুলোতে (যেমন, dns.google, cloudflare-dns.com) কানেকশন ড্রপ করার জন্য নেক্সট-জেনারেশন ফায়ারওয়াল (NGFW) কনফিগার করার মাধ্যমে, অ্যাডমিনিস্ট্রেটররা ক্লায়েন্ট ডিভাইসের DoH রেজোলিউশন ব্যর্থ হতে বাধ্য করেন। বেশিরভাগ ইমপ্লিমেন্টেশনে, DoH ব্যর্থ হলে, ক্লায়েন্ট স্বাভাবিকভাবেই পোর্ট 53-এ প্রথাগত, আনএনক্রিপ্টেড DNS-এ ফিরে যাবে, যা পরবর্তীতে ইন্টারসেপ্ট এবং ফিল্টার করা যেতে পারে।

ইমপ্লিমেন্টেশন নোট: এই অ্যাপ্রোচের জন্য একটি আপডেটেড ব্লকলিস্ট বজায় রাখা প্রয়োজন। এন্টারপ্রাইজ ফায়ারওয়াল ভেন্ডররা প্রায়শই ডায়নামিক থ্রেট ফিড সরবরাহ করে যা পরিচিত DoH এন্ডপয়েন্টগুলোকে স্বয়ংক্রিয়ভাবে আপডেট করে, যা অপারেশনাল ওভারহেড উল্লেখযোগ্যভাবে হ্রাস করে。

লেয়ার 2: পোর্ট 53 ইন্টারসেপশন এবং রিডাইরেক্ট এনফোর্স করুন

DoH ব্লক করা তখনই কার্যকর হয় যদি ফলব্যাক ট্রাফিক সঠিকভাবে ম্যানেজ করা হয়। গেস্ট VLAN থেকে উৎপন্ন পোর্ট 53-এর সমস্ত আউটবাউন্ড UDP এবং TCP ট্রাফিক ইন্টারসেপ্ট করার জন্য নেটওয়ার্কটিকে কনফিগার করতে হবে। এই ট্রাফিকটিকে অবশ্যই (NAT/পোর্ট ফরোয়ার্ডিং রুলগুলোর মাধ্যমে) ভেন্যুর অনুমোদিত, কমপ্লায়েন্ট DNS রিভলভারের দিকে জোরপূর্বক রিডাইরেক্ট করতে হবে।

এই ধাপটি অত্যন্ত গুরুত্বপূর্ণ কারণ অনেক ডিভাইস বা ক্ষতিকারক অ্যাপ্লিকেশন তাদের নেটওয়ার্ক স্ট্যাকে পাবলিক DNS সার্ভারগুলোকে (যেমন, 8.8.8.8) হার্ডকোড করে রাখে, যা DHCP-প্রদত্ত সেটিংগুলোকে উপেক্ষা করে। জোরপূর্বক ইন্টারসেপশন ছাড়া, DoH ব্লক করা হলেও এই ডিভাইসগুলো সফলভাবে ভেন্যুর ফিল্টারিং পলিসিগুলোকে বাইপাস করবে।

লেয়ার 3: পোর্ট 853 (DNS over TLS) ব্লক করুন

DoT বাইপাস ভেক্টর মোকাবেলা করতে, অ্যাডমিনিস্ট্রেটরদের অবশ্যই গেস্ট নেটওয়ার্ক থেকে TCP পোর্ট 853-এ আউটবাউন্ড ট্রাফিক স্পষ্টভাবে ব্লক করতে হবে। DoH মিটিগেশনের মতোই, DoT ব্লক করা Android ডিভাইস এবং অন্যান্য DoT-সক্ষম ক্লায়েন্টগুলোকে স্ট্যান্ডার্ড পোর্ট 53 DNS-এ ফিরে যেতে বাধ্য করে।

বেস্ট প্র্যাকটিস এবং কমপ্লায়েন্স বিবেচনা

DoH মিটিগেশন ইমপ্লিমেন্ট করা কেবল একটি টেকনিক্যাল কাজ নয়; এটি রেগুলেটরি কমপ্লায়েন্স বজায় রাখা এবং গ্রহণযোগ্য ব্যবহারের পলিসিগুলো প্রয়োগ করার জন্য একটি মৌলিক প্রয়োজনীয়তা।

পলিসি ডকুমেন্টেশন: নিশ্চিত করুন যে ভেন্যুর Captive Portal-এর টার্মস অ্যান্ড কন্ডিশনগুলোতে স্পষ্টভাবে উল্লেখ করা আছে যে সিকিউরিটি এবং কমপ্লায়েন্সের উদ্দেশ্যে DNS ফিল্টারিং চালু রয়েছে। এনক্রিপ্টেড DNS প্রোটোকলগুলো ব্লক করার সময় এটি GDPR এবং যুক্তরাজ্যের অনলাইন সেফটি অ্যাক্টের অধীনে আইনি সমর্থন প্রদান করে।
নেটওয়ার্ক সেগমেন্টেশন: VLAN এবং ফায়ারওয়াল রুল ব্যবহার করে গেস্ট WiFi-কে কর্পোরেট এবং পেমেন্ট নেটওয়ার্ক থেকে কঠোরভাবে আলাদা করতে হবে। এটি PCI DSS v4.0-এর একটি মূল প্রয়োজনীয়তা, যা নেটওয়ার্ক ট্রাফিকের শক্তিশালী মনিটরিংও বাধ্যতামূলক করে—যদি DoH-কে সিকিউরিটি কন্ট্রোল বাইপাস করার অনুমতি দেওয়া হয় তবে এই মনিটরিং অসম্ভব হয়ে পড়ে।
কন্টিনিউয়াস মনিটরিং: কোয়েরি ভলিউম মনিটর করতে এবং অস্বাভাবিক প্যাটার্ন শনাক্ত করতে আপনার এন্টারপ্রাইজ DNS ফিল্টারিং সার্ভিসের রিপোর্টিং সক্ষমতাগুলো কাজে লাগান। কোনো নির্দিষ্ট সাবনেট থেকে পোর্ট 53 ট্রাফিকের হঠাৎ পতন প্রায়শই নির্দেশ করে যে ক্লায়েন্ট ডিভাইসগুলো একটি নতুন, আনব্লক করা DoH রিভলভার ব্যবহার করছে।
অ্যানালিটিক্সের সাথে ইন্টিগ্রেশন: সুরক্ষিত গেস্ট অ্যাক্সেস ইমপ্লিমেন্ট করার সময়, অথেনটিকেশন ফ্লো কীভাবে বৃহত্তর ব্যবসায়িক উদ্দেশ্যগুলোর সাথে একীভূত হয় তা বিবেচনা করুন। সুরক্ষিত, প্রোফাইল-ভিত্তিক অথেনটিকেশনের জন্য একটি wi fi assistant ব্যবহার করা নিশ্চিত করে যে ব্যবহারকারীরা নিরাপদে কানেক্ট করতে পারে, পাশাপাশি ভেন্যুকে WiFi Analytics ব্যবহার করে ফুটফল এবং ডুয়েলের সময় বুঝতে সাহায্য করে, ঠিক যেমনভাবে Offline Maps Mode ভিজিটর এক্সপেরিয়েন্সকে উন্নত করে।

ট্রাবলশুটিং এবং রিস্ক মিটিগেশন

DoH মিটিগেশন ডিপ্লয় করার সময়, নেটওয়ার্ক টিমগুলো প্রায়শই নির্দিষ্ট ফেইলিওর মোডের সম্মুখীন হয়। এই সমস্যাগুলো আগে থেকে অনুমান করা ডাউনটাইম এবং গেস্টদের অসুবিধা হ্রাস করে।

অসম্পূর্ণ ইন্টারসেপশন রুল

সবচেয়ে সাধারণ ডিপ্লয়মেন্ট ফেইলিওর হলো অসম্পূর্ণ পোর্ট 53 ইন্টারসেপশন। অ্যাডমিনিস্ট্রেটররা সঠিক DNS IP প্রদান করার জন্য DHCP সার্ভার কনফিগার করতে পারেন কিন্তু হার্ডকোড করা DNS রিকোয়েস্টগুলো ধরার জন্য প্রয়োজনীয় ফায়ারওয়াল NAT রুলগুলো ইমপ্লিমেন্ট করতে ব্যর্থ হতে পারেন। মিটিগেশন: একটি স্ট্যাটিক, এক্সটার্নাল DNS সার্ভার (যেমন, 9.9.9.9) দিয়ে একটি ক্লায়েন্ট ডিভাইস কনফিগার করে সর্বদা ডিপ্লয়মেন্ট পরীক্ষা করুন এবং যাচাই করুন যে রিকোয়েস্টগুলো এখনও সফলভাবে ভেন্যুর ফিল্টারিং সার্ভিসে রাউট করা হচ্ছে।

IPv6 ওভারসাইট

যেহেতু নেটওয়ার্কগুলো ডুয়াল-স্ট্যাক কনফিগারেশনে ট্রানজিশন করছে, ফায়ারওয়াল রুলগুলো প্রায়শই একচেটিয়াভাবে IPv4-এর জন্য লেখা হয়। যদি DoH ব্লকলিস্ট এবং পোর্ট 53 ইন্টারসেপশন রুলগুলো IPv6 কভার না করে, তবে আধুনিক ডিভাইসগুলো তাদের IPv6 স্ট্যাক ব্যবহার করে নির্বিঘ্নে IPv4 কন্ট্রোলগুলোকে বাইপাস করবে। মিটিগেশন: নিশ্চিত করুন যে সমস্ত DoH ব্লকলিস্ট, পোর্ট 53 রিডাইরেক্ট রুল এবং পোর্ট 853 ড্রপ রুলগুলো IPv4 এবং IPv6 উভয় রাউটিং টেবিলে সমানভাবে প্রয়োগ করা হয়েছে।

অ্যাপ্লিকেশন ব্রেকএজ

অ্যাগ্রেসিভ DoH ব্লকিং মাঝে মাঝে নির্দিষ্ট মোবাইল অ্যাপ্লিকেশনগুলোকে ব্রেক করতে পারে যেগুলো একচেটিয়াভাবে তাদের নিজস্ব DoH ইমপ্লিমেন্টেশনের ওপর নির্ভর করে এবং স্ট্যান্ডার্ড DNS-এ ফিরে যেতে অস্বীকার করে। মিটিগেশন: একটি ডকুমেন্টেড এক্সেপশন প্রসেস বজায় রাখুন। যদি কোনো বিজনেস-ক্রিটিক্যাল অ্যাপ্লিকেশন ব্রেক করে, তবে বিশ্বব্যাপী DoH ওপেন করার পরিবর্তে, সেই নির্দিষ্ট অ্যাপ্লিকেশনের রিভলভারের জন্য DoH ট্রাফিককে সিলেক্টিভভাবে অনুমতি দিতে TLS ইন্সপেকশন (যদি NGFW-তে উপলব্ধ থাকে) ব্যবহার করুন।

ROI এবং বিজনেস ইমপ্যাক্ট

শক্তিশালী DoH মিটিগেশনের বিজনেস কেসটি ঝুঁকি এড়ানো এবং কমপ্লায়েন্স নিশ্চিতকরণের ওপর ভিত্তি করে তৈরি। একটি একক ঘটনা—যেমন কোনো গেস্ট অবৈধ কন্টেন্ট অ্যাক্সেস করার ফলে রেগুলেটরি ইনকোয়ারি হওয়া, অথবা কোনো আপোসকৃত IoT ডিভাইস DoH-এর মাধ্যমে C2 কানেকশন স্থাপন করা—এমন খরচ ডেকে আনতে পারে যা সঠিক কন্ট্রোল ইমপ্লিমেন্ট করার জন্য প্রয়োজনীয় ইঞ্জিনিয়ারিং সময়ের চেয়ে অনেক বেশি।

একাধিক ভেন্যু জুড়ে পরিচালিত একটি এন্টারপ্রাইজের জন্য, DoH মিটিগেশন আর্কিটেকচারকে স্ট্যান্ডার্ডাইজ করা ধারাবাহিক পলিসি এনফোর্সমেন্ট নিশ্চিত করে। এই স্ট্যান্ডার্ডাইজেশন IT সার্ভিস ডেস্কের ওপর অপারেশনাল বোঝা কমায়, কারণ ISP-গুলোর কাছ থেকে আসা অ্যাবিউজ নোটিশ শূন্যে নেমে আসে এবং উচ্চ-ব্যান্ডউইথের অনুপযুক্ত কন্টেন্ট ব্লক করার মাধ্যমে নেটওয়ার্ক পারফরম্যান্স বজায় থাকে। পরিশেষে, DNS লেয়ার সুরক্ষিত করা নিশ্চিত করে যে Guest WiFi -এ ভেন্যুর বিনিয়োগ একটি দায়বদ্ধতার পরিবর্তে একটি নিরাপদ, কমপ্লায়েন্ট সম্পদ হিসেবে থাকে।

Définitions clés

DNS over HTTPS (DoH)

Un protocole permettant d'effectuer une résolution DNS (Domain Name System) à distance via le protocole HTTPS, chiffrant les données entre le client DoH et le résolveur DNS basé sur DoH.

Lorsque les équipes informatiques déploient le filtrage de contenu, le DoH agit comme un mécanisme de contournement, masquant les requêtes DNS au sein du trafic web chiffré standard.

DNS over TLS (DoT)

Un protocole de sécurité pour chiffrer et encapsuler les requêtes et réponses DNS via le protocole TLS (Transport Layer Security), fonctionnant sur un port dédié (853).

Souvent activé par défaut sur les appareils Android modernes (DNS privé), le DoT doit être bloqué au niveau du pare-feu pour garantir que les requêtes se rabattent sur le DNS filtré de l'établissement.

DoH opportuniste

Un comportement par lequel un système d'exploitation ou un navigateur met automatiquement à niveau les requêtes DNS standard vers le DoH s'il détecte que le résolveur DNS configuré prend en charge le protocole chiffré.

Cette fonctionnalité, courante dans Windows 11 et Chrome, signifie que même si un établissement attribue une IP DNS standard, le trafic peut toujours basculer vers le port chiffré 443, contournant ainsi la surveillance existante.

Interception du port 53

Une configuration de pare-feu réseau qui capture tout le trafic sortant sur le port UDP/TCP 53 et le redirige de force vers un résolveur DNS désigné, quelle que soit l'adresse IP de destination demandée par le client.

Essentiel pour capturer les requêtes DNS des appareils dotés de paramètres DNS codés en dur ou de ceux qui se sont rabattus sur le port 53 après l'échec d'une connexion DoH.

Pare-feu de nouvelle génération (NGFW)

Un dispositif de sécurité réseau qui offre des capacités allant au-delà d'un pare-feu traditionnel à inspection d'état, notamment l'inspection approfondie des paquets, la reconnaissance des applications et le déchiffrement TLS/SSL.

Les NGFW sont essentiels pour l'atténuation du DoH car ils peuvent identifier et bloquer le trafic DoH sur la base de signatures d'applications plutôt que de simples adresses IP.

Comportement de repli

La réponse programmée d'un appareil client lorsque son protocole DNS chiffré préféré (DoH ou DoT) ne parvient pas à se connecter, ce qui entraîne généralement le retour de l'appareil à un DNS standard non chiffré.

Les architectes réseau s'appuient sur ce comportement ; en interrompant intentionnellement les connexions DoH/DoT, ils forcent l'appareil à utiliser le port 53, qui peut être intercepté.

Command-and-Control (C2)

L'infrastructure utilisée par les attaquants pour communiquer avec les appareils compromis (logiciels malveillants/botnets) au sein d'un réseau cible.

Les logiciels malveillants modernes utilisent de plus en plus le DoH pour masquer les communications C2 aux outils de surveillance du réseau d'entreprise, faisant de l'atténuation du DoH une exigence de sécurité essentielle.

Captive Portal

Une page web que l'utilisateur d'un réseau à accès public est obligé de consulter et avec laquelle il doit interagir avant que l'accès ne lui soit accordé.

Le Captive Portal est l'emplacement légalement approprié pour informer les utilisateurs que leur trafic DNS est filtré et que les protocoles DNS chiffrés sont bloqués.

Exemples concrets

Un hôtel de 400 chambres a récemment déployé un service de filtrage DNS basé sur le cloud pour se conformer aux normes de la marque en matière de contenu familial. Cependant, le responsable informatique constate qu'une partie importante du trafic des invités accède toujours à des sites de contenu pour adultes, et le tableau de bord de filtrage DNS affiche des volumes de requêtes inférieurs aux prévisions. Comment l'architecte réseau doit-il remédier à ce contournement ?

Auditer les règles du pare-feu : L'architecte doit d'abord vérifier que le port de sortie TCP/UDP 53 est intercepté et redirigé par NAT vers le service DNS cloud.
Bloquer les résolveurs DoH : Implémenter une liste de blocage NGFW pour rejeter le trafic HTTPS sortant (port 443) destiné aux fournisseurs DoH connus (par ex., Cloudflare, Google, Quad9).
Bloquer le DoT : Ajouter une règle de pare-feu pour rejeter tout le trafic TCP sortant sur le port 853 afin d'empêcher le contournement du DNS privé Android.
Vérifier l'IPv6 : S'assurer que toutes les règles ci-dessus sont appliquées au trafic IPv4 et IPv6.

Commentaire de l'examinateur : Ce scénario met en évidence le symptôme classique du contournement DoH/DoT : de faibles volumes de requêtes sur le résolveur approuvé combinés à des échecs de politique. La solution identifie correctement que le simple fait de fournir un serveur DNS via DHCP est insuffisant ; une application au niveau du réseau est nécessaire pour gérer le DNS codé en dur et les protocoles chiffrés.

Une chaîne de vente au détail comptant 150 points de vente doit mettre en œuvre un filtrage DNS pour bloquer les logiciels malveillants et le phishing sur son WiFi invité. Elle utilise des pare-feux de succursale basiques sans capacités d'inspection TLS avancées. Comment peut-elle atténuer efficacement le DoH sans mettre à niveau son matériel ?

Sans inspection TLS, la chaîne doit s'appuyer sur un routage robuste et des listes de blocage.

Déployer une liste de blocage dynamique d'adresses IP/domaines DoH sur les pare-feux de succursale, configurée pour se mettre à jour automatiquement via un flux de menaces externe.
Mettre en œuvre une redirection NAT stricte du port 53 vers le filtre DNS de l'entreprise.
Bloquer entièrement le port 853.
Mettre à jour les conditions d'utilisation du Captive Portal pour stipuler explicitement que les protocoles DNS chiffrés sont bloqués afin d'appliquer les politiques de sécurité réseau.

Commentaire de l'examinateur : Cela démontre une approche pragmatique pour les environnements ayant des contraintes matérielles. Bien que l'inspection TLS offre un contrôle granulaire, une liste de blocage bien tenue à jour combinée à une redirection forcée du port 53 fournit une stratégie de défense en profondeur très efficace qui s'adapte bien à de multiples succursales.

Questions d'entraînement

Q1. Un ingénieur réseau de stade configure le serveur DHCP pour fournir l'adresse IP de son service DNS sécurisé et filtré à tous les appareils des invités. Cependant, les tests révèlent que les appareils dotés de paramètres DNS configurés manuellement (par ex., 8.8.8.8) contournent avec succès le filtre. Quelle est la correction architecturale la plus appropriée ?

Conseil : Considérez la différence entre suggérer une route et imposer une route à la périphérie du réseau.

Voir la réponse type

L'ingénieur doit implémenter une règle de redirection de port NAT sur le pare-feu du stade. Cette règle doit intercepter tout le trafic UDP et TCP sortant sur le port 53 provenant du VLAN invité et traduire de force l'IP de destination vers l'adresse IP du service DNS sécurisé. Cela garantit que, quelle que soit la configuration locale du client, le trafic est acheminé via la politique de filtrage.

Q2. Suite à la mise en œuvre d'une liste de blocage DoH stricte, le support informatique d'un centre de conférences reçoit des rapports indiquant qu'une application d'événementiel sur mesure ne parvient pas à se charger pour les participants. La capture de paquets montre que l'application tente d'utiliser son propre résolveur DoH codé en dur, qui est bloqué, et l'application refuse de se rabattre sur le DNS standard. Comment cela doit-il être résolu ?

Conseil : Équilibrez la politique de sécurité et la continuité des activités. Le pare-feu peut-il distinguer le trafic DoH général du trafic vers un point de terminaison spécifique et approuvé ?

Voir la réponse type

L'administrateur doit créer une exception dans la politique NGFW. Plutôt que de désactiver globalement la liste de blocage DoH, il doit identifier l'adresse IP ou le domaine spécifique du résolveur DoH utilisé par l'application d'événementiel et l'ajouter à la liste blanche. Si le pare-feu prend en charge l'inspection de la couche applicative (Couche 7), une solution plus robuste consiste à créer une politique qui autorise le trafic DoH uniquement si la destination correspond à l'infrastructure de l'application approuvée, garantissant ainsi que les tentatives de contournement DoH générales restent bloquées.

Q3. Un organisme du secteur public audite la conformité de son WiFi invité. Il a bloqué avec succès le port 853 (DoT) et mis en œuvre l'interception du port 53. Cependant, il ne dispose pas du budget nécessaire pour un NGFW avec inspection TLS avancée ou listes de blocage DoH dynamiques. Quelle est la stratégie restante la plus efficace pour atténuer le DoH ?

Conseil : Si les listes dynamiques ne sont pas disponibles, comment pouvez-vous traiter la grande majorité du trafic DoH opportuniste ?

Voir la réponse type

L'organisation doit mettre en œuvre une liste de blocage statique sur son pare-feu existant, ciblant les adresses IP et les domaines des fournisseurs de DoH publics les plus courants (par ex., Cloudflare, Google, Quad9). Bien que cela nécessite une maintenance manuelle et ne capture pas les résolveurs DoH obscurs, les recherches montrent que la grande majorité du trafic DoH se dirige par défaut vers une poignée de grands fournisseurs. Cela fournit une solution « 80/20 » très efficace compte tenu de leurs contraintes budgétaires.

Continuer la lecture de cette série

Responsabilité liée au WiFi public : pourquoi le filtrage de contenu est obligatoire

Ce guide de référence technique présente les risques juridiques et opérationnels liés à la fourniture d'un WiFi public non filtré, en expliquant pourquoi le filtrage de contenu est une exigence de déploiement obligatoire pour les exploitants de sites. Il fournit des stratégies d'architecture exploitables, des étapes de mise en œuvre et des tactiques de atténuation des risques pour protéger les réseaux contre les activités illégales, les violations de droits d'auteur et le non-respect des réglementations. Les exploitants de sites et les directeurs techniques y trouveront des études de cas concrètes, des cadres de décision et des conseils de configuration pour mettre en œuvre un environnement de Guest WiFi défendable et conforme.

Bloquer les logiciels malveillants et le phishing à la périphérie du réseau

Ce guide de référence technique présente l'architecture, le déploiement et l'impact commercial de la mise en œuvre d'une protection contre les menaces au niveau du réseau afin de sécuriser les appareils non gérés des invités et de l'IoT à la périphérie du réseau. Il fournit des conseils pratiques aux responsables informatiques pour bloquer de manière proactive les logiciels malveillants et le phishing.

Conformité IWF pour les réseaux WiFi publics au Royaume-Uni

Ce guide de référence détaille les exigences techniques, l'architecture et les stratégies de déploiement pour la mise en œuvre de réseaux WiFi publics conformes à l'IWF dans les établissements du Royaume-Uni. Il fournit aux responsables informatiques des cadres d'action concrets pour atténuer les risques juridiques tout en maintenant un accès réseau de haute performance.