Pruebenos

DNS over HTTPS: seguridad o complejidad en el funcionamiento

February 20, 2020
Telecomunicación
DNS over HTTPS: seguridad o complejidad en el funcionamiento
En 2018, el IETF aprobó el nuevo protocolo DNS over HTTPS, pero sólo recientemente se ha convertido en un tema muy debatido en los medios de comunicación y en las comunidades de TI, y no sólo de forma positiva: existen debates acalorados entre los ISP y los desarrolladores de navegadores sobre sus características y beneficios.

El DNS over HTTPS (DoH) funciona encriptando las peticiones y respuestas del servidor DNS. Los nombres de los servidores remotos a los que accede el usuario mediante DoH están ocultos.

El motivo de la controversia es que una parte de la comunidad considera que el protocolo mejora la seguridad en Internet y ya lo está implementando en aplicaciones y servicios, pero otros dicen que creará una complejidad adicional para los administradores de sistemas.

Para entender el conflicto, es necesario comprender cómo funciona el DNS over HTTPS. Mientras que en el DNS normal el nombre del host y la dirección se transmiten de forma abierta, el protocolo DoH encapsula la solicitud de una dirección IP en el tráfico HTTPS cifrado. A continuación, se envía al servidor HTTP y se procesa mediante comandos de la API.

He aquí un ejemplo de este tipo de solicitud del RFC 8484 (pag. 4):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Como puede ver en el ejemplo, las solicitudes al DNS parecen ser anónimas porque están ocultas en el tráfico HTTPS.

El anonimato es bueno, pero ¿cuál es el problema?

Se dice que la primera razón para abandonar el DNS over HTTPS es la reducción de la seguridad en Internet. A los administradores de sistemas les resultará más difícil bloquear los sitios maliciosos porque sus nombres no pueden extraerse del tráfico HTTPS, y los usuarios normales perderán el control parental en los navegadores de sus dispositivos.

La legislación en el Reino Unido, así como en Rusia, exige a los proveedores de servicios de Internet que bloqueen los sitios prohibidos. El uso del protocolo DoH hace prácticamente imposible filtrar el tráfico. El protocolo cuenta con la oposición del Centro de Comunicaciones del Gobierno Británico (GCHQ) y la Fundación de Vigilancia de Internet (IWF), cuya tarea es mantener un registro de recursos bloqueados.

Incluso los sistemas modernos de filtrado de tráfico, como el Stingray Service Gateway, no pueden realizar un análisis completo del tráfico HTTPS. Utilizan métodos de clasificación por nombre de servicio en el certificado SSL/TLS (Common Name) o el Server Name Indication (SNI), así como el análisis de firmas del flujo de tráfico.

El segundo problema que plantea el uso de DNS over HTTPS es la aparición de nuevos programas maliciosos que se aprovechan de las características del protocolo. Por ejemplo, en julio de este año, los expertos en seguridad de Netlab descubrieron un nuevo virus llamado Godlua que utiliza el DoH para realizar ataques DDoS. El malware DoH obtiene registros de texto DNS (TXT) y URLs de servidores de control.

La amenaza para la ciberseguridad es que las soluciones antivirus más conocidas no pueden reconocer las solicitudes de DoH encriptadas. Surgirán más virus nuevos y la situación empezará a empeorar.

También hay ventajas

El nuevo protocolo también puede mejorar la ciberseguridad al luchar contra los ataques de secuestro de DNS, cada vez más frecuentes. Un informe de la empresa de seguridad FireEye lo confirma, y el protocolo también es apoyado por otras grandes empresas de TI.

Google lleva probando el DoH desde el año pasado, y más recientemente General Availability presentó su servicio de DoH. Google considera que la distribución de DoH aumentará la seguridad de los datos personales y proporcionará protección contra los ataques MITM.

Por su parte, Mozilla ha apoyado el funcionamiento integral del DNS over HTTPS desde el verano pasado y ha estado apoyando activamente el protocolo. La Asociación de proveedores Internet Services Providers Association (ISPA) nominó a Mozilla como «villano de Internet del año» por este motivo; los representantes del navegador respondieron que estaban decepcionados por la tendencia de los proveedores de servicios a negarse a actualizar la infraestructura y «mantenerse al día». Sin embargo, la candidatura fue retirada cuando los principales medios de comunicación y algunos proveedores de servicios de Internet se posicionaron a favor de Mozilla, con British Telecom diciendo que el nuevo protocolo sólo mejoraría la seguridad de los usuarios británicos y no afectaría a la calidad del filtrado de contenidos.

DoH-FireFox-Mozilla

Los proveedores de la nube tampoco han quedado exentos, y Cloudflare ya ofrece servicios basados en DNS over HTTPS.

Los debates no se calmarán durante mucho tiempo; las nuevas tecnologías siempre son recibidas con hostilidad y muchas discusiones. Y podemos hablar de una aplicación generalizada del nuevo protocolo en las próximas décadas. Por ahora, la lista de navegadores y clientes que soportan DNS over HTTPS se puede encontrar en GitHub[subscription id="2844"]Suscríbase a nuestro boletín y manténgase actualizado sobre los últimos avances y ofertas especiales.[/subscription]

Vota:
5 de 5
Valoración media : 5
Valorado por: 2
Las direcciones IPv4 se están terminando: cronología del agotamiento La gestión del QoS ayuda a los Operadores durante la Pandemia
Utilizamos cookies para optimizar la funcionalidad del sitio y ofrecerle la mejor experiencia posible. Para saber más sobre las cookies que utilizamos, visite nuestra Política de Cookies. Al hacer clic en "Aceptar", aceptas el uso que hacemos de las cookies. Más información