8 oct 2019

¿DoH por defecto? ¿Elegir entre privacidad y seguridad?

Un grupo de expertos de seguridad que pertenecen a diferentes empresas han indicado que DNS-over-HTTPS realmente no resuelve los problemas de privacidad, o al menos parte de ellos, como se esperaba. Informan además que pueden causar más problemas que soluciones. Han criticado este método y no lo ven como viable realmente para preservar la privacidad.

Como solución proponen que se debería cifrar el tráfico DNS a través de TLS en lugar de HTTPS.

DNS es uno de los protocolos más antiguos de la red, y siempre ha sido un dolor de cabeza de de la seguridad (desde el ataque cumpleaños, hasta el problema de Kaminsky). Todo en claro, con posibilidad de UDP (más fácil aún de inyectar paquetes falsos…). Un desastre incluso sin necesidad de ataques, porque los servidores pueden estar controlados por gobiernos y así redirigir o bloquear peticiones, y todo de forma absolutamente transparente y sin privacidad ni integridad (porque DNSSEC no está tan instaurado como debería).

Hemos confiado los cimientos de Internet a un protocolo que no ha sabido protegerse tecnológicamente como para que se adoptaran masivamente las soluciones (o no se ha querido, precisamente por esa misma razón) y al que se le han aplicado todo tipo de parches y cataplasmas para no romper con el legado.

Tanto, que al final la propuesta para conseguir seguridad ha sido rompedora: pasar la resolución al plano de los datos. Y por si fuera poco, DoH hace que la resolución no confíe en el DNS global del sistema, sino que podrá ignorar a ese servidor DNS que habitualmente se te proporciona por DHCP… de forma que cada aplicación podrá resolver a través de HTTPS de forma estándar. Esto es como si cada programa (navegador como estandarte) realizara sus resoluciones de dominio de forma individual, privada e inaccesible para el resto del sistema operativo o aplicaciones.

Paul Vixie (uno de los padres del DNS) está radicalmente en contra, y promueve el uso de DNS sobre TLS en vez de sobre HTTPS. Una de las razones que argumenta es que (a pesar de sonar aguafiestas) se ha permitido finalmente abrir una especie de caja de Pandora, los analistas perderán control sobre la red, la capacidad de monitorizar, se confunden protocolos de señalización y datos… Pero tampoco lo dice Vixie solamente, sino que muchas voces siguen pensando que es un error. Tanto, que la asociación de ISP en UK nombraron a Mozilla "villano del año". Finalmente en ese país no se activará pero ya lo están haciendo selectivamente en USA y el plan es que sea el comportamiento por defecto.

Mozilla está en el punto de mira porque es la más beligerante y agresiva en su política de DoH por defecto. Por otro lado, Chrome usará otra estrategia. Se trata de una tabla propia donde se mapeará DNS con sus respectivos servidores DoH. Si los DNS de sistema tienen asociado un DoH, resolverá por el DoH de ese DNS. Esta es una aproximación a medio camino interesante. Si un servidor DNS dispone de versión DoH, se pueden seguir aplicando las políticas de seguridad necesarias, con lo que se alivian buena parte de los problemas, manteniendo los beneficios. Como la tabla es insostenible a largo plazo, ya existe una propuesta RFC para incluir tu DoH en tu DNS a través de un registro TXT o del propio HTTPS.
Continuar leyendo en fuente original Blog Think Big

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!