DNS sobre HTTPS, DNS sobre TLS explicado: Criptografando o tráfego DNS

DoT e DoH fornecem confidencialidade de dados com criptografia ponta a ponta para o tráfego DNS, mas cada um têm compensações e peculiaridades.

DNS HTTPS

Sendo a espinha dorsal da Internet, o protocolo do Sistema de Nomes de Domínio (DNS) passou por uma série de melhorias e aprimoramentos nos últimos anos. A falta de proteções rigorosas na especificação DNS original e a descoberta de falhas de segurança ao longo do tempo, como o bug Kaminsky de uma década, deu origem às Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC) em 2010.

O DNSSEC foi criado para construir proteções criptográficas por meio de assinaturas digitais para que os clientes DNS em todo o mundo pudessem verificar se uma resposta DNS estava vindo de um servidor DNS autorizado e se a resposta não foi alterada em trânsito.

Bem, então, alguns de vocês podem se perguntar se o DNSSEC pode fornecer segurança adequadamente, qual é a necessidade do DNS sobre HTTPS e DNS sobre TLS?

O DNSSEC apenas garante a autenticidade das respostas DNS e a integridade dos dados, mas não garante a confidencialidade. Protocolos como DNS sobre HTTPS (DoH) ou DNS sobre TLS (DoT) fornecem criptografia de ponta a ponta, que garante a confidencialidade dos dados. Em outras palavras, seu tráfego DNS agora se beneficia da mesma criptografia ponta a ponta que seu tráfego da web de e para sites HTTPS.

O que é DNS sobre HTTPS?

Por padrão, o protocolo DNS funciona sobre o protocolo UDP (User Datagram Protocol), um protocolo da camada de transporte, embora o DNS também possa ser feito para funcionar sobre o protocolo TCP (Transmission Control Protocol). O DoH transmite mensagens DNS criptografadas por HTTPS, em oposição ao UDP mais rápido. Uma vez que HTTPS é o protocolo HTTP executado sobre TLS (Transport Layer Security), DoH, na verdade, é DNS sobre HTTP sobre TLS.

Com o DoH, tanto as consultas DNS quanto as respostas DNS são transmitidas por HTTPS e usam a porta 443, tornando o tráfego virtualmente indistinguível de qualquer outro tráfego HTTPS da web. Por exemplo, usando o serviço DoH do Google, você pode tentar resolver o domínio CSOOnline.com por conta própria diretamente de seu navegador da web. A maneira de digitar um URL HTTPS em seu navegador para resolver o nome de domínio sobre HTTPS é semelhante a visitar qualquer site regular que usa SSL / TLS.

A resposta DNS retornada pelo Google mostra o endereço IP do servidor CSO (registros A), tudo compactado ordenadamente no formato JSON.

O serviço DoH do Google retorna uma resposta DNS no formato JSON

Embora o fato de você estar usando o serviço DoH do Google possa ser conhecido por um administrador de rede, presumindo-se que um proxy Man-in-the-Middle (MitM) corporativo não esteja presente entre você e o DoH do Google, ninguém seria capaz de determinar qual domínio você estava tentando pesquisar (CSO Online) ou a resposta à sua consulta DNS (o resultado JSON). Portanto, o uso de DoH garante sua privacidade (confidencialidade de dados) e a integridade das informações recebidas, ou seja, a resposta DNS não foi adulterada em trânsito.

Fornecer DNS por meio de um canal de criptografia de ponta a ponta também pode se tornar problemático. Por exemplo, os invasores já abusaram de serviços DNS sobre HTTPS para ocultar tráfego malicioso.

Os invasores resolveriam seu domínio malicioso por meio do DoH do Google ou de qualquer provedor de DoH. A resposta criptografada retornada conteria registros TXT para o domínio controlado pelo invasor com carga maliciosa codificada que poderia então ser analisada por malware. Essencialmente, é assim que os cibercriminosos podem abusar de protocolos DNS seguros para facilitar suas atividades de comando e controle (C2). Como os provedores de DoH têm casos de uso de negócios legítimos, seria desafiador simplesmente bloquear o tráfego de entrada ou saída entre as redes corporativas e os provedores de DoH.

O que é DNS sobre TLS?

O DoT criptografa as consultas DNS por meio do protocolo TLS (na camada de transporte), em vez de HTTPS que reside na camada de aplicativo. Ao contrário do DoH, o DoT pula uma camada intermediária, o HTTPS no nível do aplicativo.

Basicamente, o DoT criptografa solicitações e respostas DNS UDP por TLS e garante que essas mensagens não sejam alteradas durante o curso de sua transmissão. O DoT usa uma porta totalmente diferente: 853 – separada das portas usadas por HTTPS (porta 443) ou DNS simples e antigo (porta 53). Como com DoH, o tráfego DoT se beneficia da criptografia de ponta a ponta porque a comunicação entre um cliente DNS e o resolvedor ocorre por meio de TLS.

Qual protocolo DNS é melhor?

protocolo dns

O debate entre qual é protocolo é melhor continua. Os administradores de rede podem expressar uma leve preferência em relação ao DoT, pois isso lhes dá mais flexibilidade quando se trata de monitorar as consultas DNS. Isso pode ser especialmente útil quando os profissionais de segurança desejam bloquear tráfego DNS malicioso e indicadores de comprometimento (IOCs) de sua rede.

O DoH oferece maior privacidade para o usuário final, pois as consultas DNS do usuário agora estão misturadas com outro tráfego HTTPS, e o administrador da rede agora não pode verificar quais domínios estão sendo resolvidos ou as respostas DNS retornadas. Isso, infelizmente, também significa que é muito mais difícil para os administradores de rede bloquearem o DoH sem afetar as comunicações comerciais legítimas.

Por exemplo, firewalls corporativos podem ser facilmente configurados para adicionar uma política que filtra universalmente o tráfego que trafega pela porta 853 (para bloquear DoT), mas filtrar a porta 443 (para DoH) simplesmente não é uma opção prática, pois bloquearia a maior parte do tráfego legítimo da web.

Outro ponto a ser observado, o DoT é um pouco mais leve, pois atua na camada de transporte, enquanto o DoH tem HTTPS na camada de aplicativo. O uso de camadas mais baixas resultam em um tamanho menor de um pacote DoT e talvez um pequeno aumento de desempenho (menor latência) quando comparado ao DoH.

A batalha não para em DoT vs. DoH. Outros desenvolvimentos no espaço por empresas de infraestrutura de rede como a Cloudflare também ampliaram o conjunto de DNS para incluir novos protocolos “divertidos”, como DNS sobre Twitter, DNS sobre Tor, DNS sobre Telegram ou DNS sobre e-mail.

A Cloudflare oferece um serviço Onion que permite aos visitantes dos sites de seus clientes usar a rede Tor. O resolvedor 1.1.1.1 da Cloudflare oferece suporte a DoH e DoT e está disponível por meio de seu serviço Onion. “Chamamos isso de DNS-over-Tor. Também operamos um Twitterbot que escuta Tweets formatados especificamente para @ 1111Resolver, os converte em consultas DNS, resolve as consultas com 1.1.1.1 e os Tweets retornam o resultado ”, disse Nick Sullivan, chefe de pesquisa da Cloudflare.

Os protocolos recentemente desenvolvidos, muitos dos quais usam canais criptografados como HTTPS ou SOCKS (Tor), mais uma vez introduziram mais opções para o usuário final, mas podem representar mais desafios para os profissionais de segurança quando se trata de filtrar o tráfego. Por exemplo, bloquear o DNS no Twitter pode significar bloquear o Twitter por completo, a menos que uma solução alternativa mais sofisticada seja adotada. Mas usar uma solução alternativa, como um proxy MitM corporativo, anula muitas proteções oferecidas pelo DoH com relação à confidencialidade e privacidade do usuário.

Portanto, o uso de qualquer protocolo DNS, seja DoT ou DoH, depende das necessidades da sua organização e o que define uma compensação aceitável entre a privacidade do usuário e o monitoramento de rede razoável.

Posts relacionados: DHS mitiga a adulteração da infra-estrutura de DNS / 5 práticas recomendadas para proteger o console de gerenciamento em nuvem e O Elo mais fraco em sua postura de segurança na Nuvem: Erros de Configurações!

Informações obtidas/adaptadas de https://www.csoonline.com/article/3612768/dns-over-https-dns-over-tls-explained-encrypting-dns-traffic.html#tk.rss_all