Domain Name System a confronto con DoH
Il funzionamento del DoH
Un DNS tradizionale prevede che la ricerca su Internet segua dei passaggi specifici.
L’utente deve inserire nella barra del browser l’indirizzo del sito web a cui desidera accedere.
Il browser invia una richiesta attraverso Internet per ottenere l’indirizzo IP del sito web desiderato.
L’invio di una richiesta tramite una connessione in chiaro non crittografata consente a terzi di visualizzare facilmente il sito Web a cui l’utente sta tentando di accedere.
DNS Over Https cambierà il modo in cui effettuiamo le ricerche su Internet: invece di una connessione in chiaro, il browser invierà il nome del sito ricercato a un server HTTPS tramite una connessione crittografata. In questo modo si impedisce agli estranei di vedere a quali siti si vuole accedere, ma l’operatore del servizio DoH, soprattutto se pubblico, potrà tracciare le preferenze dell’utente e utilizzarle per scopi di marketing e pubblicità.
Si parla delle meccaniche del DoH anche in questo articolo di Fastweb.
La storia del DNS over Http
La IETF (Internet Engineering Task Force) ha pubblicato nell’ottobre 2018 RFC8484, che ha definito lo standard proposto per il relativamente nuovo protocollo DNS Over Https. L’IETF è una comunità internazionale aperta di progettisti di rete, operatori e ricercatori dedicati alla ricerca e allo sviluppo dell’evoluzione dell’architettura di Internet.
RFC8484 afferma chiaramente che DoH cripta il traffico DNS e richiede l’autenticazione del server per proteggersi dalla sorveglianza passiva e dagli attacchi attivi.
L’obiettivo del DNS Over Https? Aumentare la privacy e la sicurezza degli utenti.
Il protocollo DNS Over Https mira a migliorare la privacy e la sicurezza degli utenti non utilizzando la porta 53 del DNS per richiedere i nomi dei siti attraverso pacchetti UDP o TCP, a differenza di un sistema DNS tradizionale.
Il protocollo DoH codifica una singola query DNS all’interno di una richiesta Http tramite il metodo Https GET o POST.
Il messaggio di richiesta Http utilizza il metodo POST che include la query DNS.
Il metodo GET utilizza la singola variabile “dns” per indicare il contenuto del DNS.
Il protocollo DNS Over Https cripta il traffico DNS, mitigando la sorveglianza passiva e la manipolazione dei dati DNS con attacchi intermedi. Inoltre, l’utilizzo della porta 443, la porta predefinita per Https, e la miscelazione del traffico DoH con altro traffico Https sulla stessa connessione, rende difficile per terzi interferire con le operazioni DNS. Di conseguenza, l’analisi del traffico DNS è teoricamente più difficile.
A causa della mancanza di crittografia, il servizio DoH consente agli utenti di aggirare facilmente i filtri di navigazione se l’amministratore di rete non ha scelto un sistema di filtraggio internet compliant con il protocollo DoH come FlashStart.com.
DoH rappresenta una sfida importante per gli amministratori di rete e i responsabili della connettività, che devono rinnovare completamente i protocolli di sicurezza e di filtraggio per l’accesso a Internet.
L’azienda con 100 postazioni di lavoro non ha alcun controllo sulla navigazione in Internet, con il risultato che gli utenti hanno accesso illimitato a contenuti dannosi, violenti e illegali. Questo rappresenta un rischio enorme per l’azienda e deve essere affrontato immediatamente.
Le organizzazioni devono prendere l’iniziativa di impostare una risoluzione sicura dei nomi all’interno delle loro LAN utilizzando il classico protocollo DNS, impedendo che i dati siano esposti al mondo esterno. La governance DoH è una componente critica della sicurezza di rete e deve essere trattata come una priorità strategica.
Conclusioni
Le organizzazioni devono verificare costantemente il proprio traffico, altrimenti rischiano che gli attacchi che sfruttano il DNS Over Https passino inosservati. Questo servizio consente agli hacker di nascondere le query DNS dai domini di comando e controllo.
È indispensabile fornire alle organizzazioni e agli utenti di Internet maggiori livelli di protezione attraverso una maggiore ricerca e sviluppo di questa minaccia in rapida crescita.
È essenziale valutare a fondo l’uso del protocollo DoH negli ambienti professionali fino ad oggi. Se un responsabile IT decide di utilizzare tale protocollo, deve utilizzare uno strumento di filtraggio Web che supporti DOH, come FlashStart.
Se vuoi approfondire il tema del DNS over Http ne parla approfonditamente FlashStart in questo articolo.