Er zijn meerdere redenen waarom DNS-verkeer volgens netwerkdeskundigen versleuteld moet worden. Niet in de minste plaats omdat je zonder versleuteling verkeer op de lijn tussen IP-adres en server kan afluisteren of zelfs omleiden naar een ander doel - een man-in-the-middle-aanval dus. Wat precies hetgeen is dat bijvoorbeeld autoritaire regimes doen. In bepaalde landen kan het surfgedrag van een gebruiker hem of haar in grote problemen brengen, omdat de overheid kan zien dat mensen verbinding leggen met in de ogen van het bewind onwenselijke sites.
Met de stap naar DNS met TLS (DoT) is het zomaar meekijken aan de buitenkant niet meer mogelijk. Maar het lost het probleem met autoritaire regimes niet op, waar we zo op terugkomen. De verbinding tussen client en server vereist bij DoT een certificaat, waardoor een onbevoegde partij niet meer kan meekijken.
Er is een nadeel: DNS over TLS gaat over een specifieke poort (TCP/853). Als een grote netwerkpartij, neem een genationaliseerde provider, het niet meer mogelijk zou maken dat er nog verbinding gelegd zou kunnen worden via poort 853, is dat meteen een einde aan het plan om versleuteld DNS te hebben - juist in de gebieden waar je dat wellicht het hardste nodig hebt. Of erger nog, het poortgebruik zou worden gemonitord en gebruikers die wél contact leggen met 853 zijn gebruikers die blijkbaar iets te verbergen hebben, volgens de netwerkbeheerders van het land. Ook al niet zo'n fijne situatie voor gebruikers van een vrij internet.
Strijd om DoH versus DoT
Een andere optie is om het DNS-verkeer zodanig te verhullen dat zelfs de provider niet meer ziet wat een 'legitieme internetverbinding' is of welke verbinding contact legt met bijvoorbeeld een site met 'onwenselijk materiaal'. Dat is het idee van DNS over HTTPS (DoH), waarbij ál het verkeer over poort 443 wordt geduwd, zodat DNS-verkeer wordt opgenomen in de massa versleutelde gegevens die over een netwerkverbinding lopen. Het is geen goed idee om 443 af te sluiten, want dat zou gevoeglijk een einde betekenen aan HTTPS en dus niet in de minste plaats aan alle e-commerce van dat land. Perfecte oplossing, zou je denken.
Maar dat vindt niet iedereen. DNS-architect Paul Vixie is behoorlijk duidelijk over zijn afkeuring van DoH als methode. Met DoT kunnen organisaties nog pakketinspectie uitvoeren, zodat malafide verkeer makkelijk kan worden opgemerkt. (Precies de reden dat DoH-voorstanders liever voor de obfusctiemethode gaan waarbij al het verkeer door dezelfde poort gaat.)
Voor malwarebestrijding op zakelijke netwerken is DoT daarom veel geschikter en bovendien geeft het bedrijven de optie om malafide domeinen te blokkeren. Voor interne IT-security is DoH volgens Vixie dan ook geen optie. "Ik vind dat IETF (de internetstandaardenorganisatie, red.) fout zat met het standaardiseren van DoH, want niet alle netwerkbeheerders zijn malafide - mijn zakelijke en thuisnetwerken zijn voorbeelden", tweette hij een jaar geleden al.
Politici maken zich zorgen
Onder meer in het Verenigd Koninkrijk konden de plannen op kritiek rekenen van providers en de politiek. Mozilla werd om die reden uitgeroepen tot internetboef door Britse ISP's, omdat gebruikers van Firefox voortaan het pornofilter zouden omzeilen. Mozilla heeft het Britse kabinet inmiddels verzekerd dat DoH niet default wordt ingeschakeld in het VK, zo schreef The Guardian vorige week.
Mozilla begon deze maand met de voorzichtige uitrol van Firefox waarin DoH standaard is ingeschakeld, maar vooralsnog alleen in de VS. Voor het VK gaat dat dus helemaal niet gebeuren. Wel benadrukt Mozilla dat DoH een verstandige keus is om het volk beter te beveiligen. "De persoonlijkste informatie van mensen, zoals hun gezondheidsgegevens, kunnen worden gevolgd, verzameld, gelekt en gebruikt tegen de belangen van mensen. Uw burgers verdienen het om beschermd te worden tegen die dreiging."
In de VS is DoH by default wel Mozilla's plan. Daar heeft echter niet de Firefox-maker, maar Google het zwaarder te verduren vanwege de DoH-plannen. Politici zijn bevreesd dat DoH in Chrome de datagigant een oneerlijk marktvoordeel geeft, omdat providers en andere marktpartijen niet meer zien wie met welke domeinen verbinden - het hele doel van DoH - zo schreef de Wall Street Journal zondag. Antitrustonderzoekers van het Amerikaanse congres willen van Google weten of DNS-gegevens gebruikt gaan worden voor commerciële doeleinden.
Centralisatie van DNS
Dat laatste raakt een fundamenteler issue aan. Grote techpartijen zouden met DoH hun greep op de infrastructuur versterken. DNS verhuist bij DoH van de netwerklaag meer naar de applicatielaag: browsers verwijzen naar specifieke DNS-leverancier, bijvoorbeeld Cloudflare of Google, die met een versleutelde verbinding het IP-adres aan een domein koppelt. Dat betekent dat de provider, die nu DNS verzorgt voor klanten, wordt gepasseerd. Providers zijn daar niet onverdeeld gelukkig mee en wijzen erop dat deze werkwijze indruist tegen de geest van het vrije internet, want iedereen zou met een open en toegankelijk netwerk van netwerken zelf een stuk van de infrastructuur moeten kunnen verzorgen.
Bovendien zorgt het ervoor dat bepaalde partijen een groter voordeel hebben dan anderen, omdat browsers naar deze lieden verwijzen. Als een browser een marktaandeel van 67 procent heeft, betekent het dat 67-procent van al het DNS-verkeer voortaan via dezelfde DNS-servers loopt, zo redeneren bijvoorbeeld de antitrustonderzoekers van het Amerikaanse congres.
APNIC's Geoff Huston schreef vorige week dat zo'n partij, omdat elke internetopdracht begint met een DNS-query, in principe zicht heeft op wat iedereen op internet aan het doen is. Hij is benieuwd naar wat het daadwerkelijke langetermijn-effect is als partijen als Google en Mozilla DoH gaan inzetten, maar vraagt zich al langer af of dit centralisatie-issue nu echt een groot probleem is.
Malware
Beheerders van zakelijke netwerken verliezen dus zicht op het verkeer dat het systeem verlaat. Veroverde pc's in een netwerk maken contact met command-and-controlservers van criminelen en netwerkbeheerders kunnen die verbinding blokkeren via DNS-firewalling. Als al het verkeer echter via dezelfde poort loopt en beheerders geen zicht meer hebben op met welke bronnen de browsers verbinding maken, kan malware ook weer communiceren met zijn criminele baas. Ook moderne beveiligingstooling die zich richt op risicofactoren heeft minder zicht op wat er gebeurt als applicaties DoH gebruiken.
Oplossingen voor IT-omgevingen zijn het op applicatieniveau uitgeschakeld houden (of actief uitschakelen als dat inderdaad de default wordt) van DoH - met policy's als network.trr.mode
in Firefox, die verwijst naar de resolver waar Mozilla gebruik van maakt (met 0 schakel je deze uit). Een lompere manier zou het blokkeren van verkeer zijn naar bekende DoH-resolvers. Door de eerder genoemde DoH-centralisatie zou dat te overzien moeten zijn voor netwerkbeheerders, maar de vraag is natuurlijk wat dit doet met de functionaliteit van de applicaties die gebruikmaken van deze DoH-diensten.
Wat betekeny DoH voor IT?
Al met al zijn dit interessante tijden zijn voor netwerkbeheerders, providers, beveiligers en sowieso voor alle internetgebruikers, die van deze spanningen in de back-end weinig tot niets zullen meekrijgen. De komende tijd - Mozilla begint bijvoorbeeld momenteel met gefaseerde uitrol van DoH, maar enkel in de VS en Google experimenteert alleen nog maar - moet veel zich in de praktijk uitwijzen. Niet in de minste plaats ontdekken we hoe het zit met de centralisatie van name resolvers. En of de impact op enterprise security een storm in een glas water, of een hoop extra werk is.
Mozilla is currently starting with a phased roll-out of DoH, but only in the US and Google is only still experimenting - much has to show itself in practice
Web Design Qatar
Business arrange executives subsequently dismiss the traffic leaving the framework. Answers for IT situations are keeping application level off. When I had facing this issue of my own website branding companies Dubai and it was completely unforgetable moment for me.
I think it is the most authentic knowledge. Thanks
nice post
Een applicatie met een andere mening over name resolution dan het OS. Dat isvragen om gedoe.
Ondertussen is al duidelijk dat het congress gestuurd wordt door de grote telecom bedrijven die bij DoH hun informatie kwijt zijn:
[Link]
Reageer
Preview