DNS ajeno a través de HTTPS (ODoH): un intento de mejorar la privacidad de DNS

El Sistema de nombres de dominio o DNS es un sistema de nombres descentralizado para todos los diferentes sitios web que existen en Internet. Es uno de los componentes esenciales de Internet y existe desde hace más de tres décadas. En el transcurso de este período, el sistema ha sido objeto de críticas, con argumentos válidos, sobre la implementación y las preocupaciones de privacidad que conlleva. Y como resultado, ha habido algunos intentos de abordar estas preocupaciones.

Una de esas ofertas, y muy reciente, es la introducción del protocolo DNS sobre HTTPS (DoH), que promete asegurar la comunicación DNS transmitiéndola de manera encriptada. Si bien DoH parece prometedor en teoría y logra solucionar uno de los problemas con el DNS, sin darse cuenta saca a la luz otra preocupación. Para solucionar esto, ahora tenemos otro protocolo nuevo, llamado Oblivious DNS over HTTPS (ODoH), que fue desarrollado conjuntamente por Cloudflare, Apple y Fastly. Oblivious DoH es básicamente una extensión del protocolo DoH que desacopla las consultas de DNS de las direcciones IP (del usuario) para evitar que la resolución de DNS conozca los sitios que visita un usuario, algo así como [más sobre esto más adelante].

“ Lo que se supone que debe hacer ODoH es separar la información sobre quién realiza la consulta y cuál es la consulta ”, dijo Nick Sullivan, jefe de investigación de Cloudflare, en un blog.

DNS ajeno a través de HTTPS (o ODoH)

Antes de pasar directamente a lo que es ODoH, primero comprendamos qué es DNS y, posteriormente, DNS sobre HTTPS, y las limitaciones que presentan los dos.

DNS (Sistema de nombres de dominio)

El Sistema de nombres de dominio o DNS es un sistema descentralizado para mantener registros de todos los sitios web en Internet. Puede considerarlo como un depósito (o directorio telefónico) de números de teléfono que contiene una lista de suscriptores telefónicos y sus números de teléfono correspondientes.

En términos de Internet, el DNS es un actor fundamental para establecer un sistema que le permita acceder a un sitio web simplemente ingresando su nombre de dominio, sin necesidad de recordar su dirección IP (Protocolo de Internet) asociada. Por lo tanto, puede ingresar techpp.com en el campo de dirección para ver este sitio sin tener que recordar su dirección IP, que podría parecerse a 103.24.1.167 [no nuestra IP]. Verá, es la dirección IP que se requiere para establecer una conexión entre su dispositivo y el sitio web al que intenta acceder. Pero dado que una dirección IP no es tan fácil de recordar como un nombre de dominio, se necesita una resolución de DNS para resolver los nombres de dominio en sus direcciones IP asociadas y devolver la página web solicitada.

Problema con DNS

Aunque el DNS simplifica el acceso a Internet, tiene algunas deficiencias, la mayor de las cuales es la falta de privacidad (y seguridad), lo que representa un riesgo para los datos del usuario y los deja expuestos para que los vea el ISP o para que algunos los espíen. chico malo en internet. La razón por la que esto es posible se debe al hecho de que la comunicación DNS (solicitud/consulta y respuesta DNS) no está cifrada, lo que significa que ocurre en texto sin formato y, por lo tanto, puede ser interceptada por cualquier persona en el medio (entre el usuario y el ISP) .

DoH (DNS sobre HTTPS)

Como se mencionó inicialmente, el protocolo DNS sobre HTTPS (DoH) se ha introducido para abordar este problema de DNS (de seguridad). Básicamente, lo que hace el protocolo es, en lugar de permitir que la comunicación DNS, entre el cliente DoH y el resolutor basado en DoH, ocurra en texto sin formato, utiliza cifrado para asegurar la comunicación. Al hacerlo, logra asegurar el acceso de los usuarios a Internet y reduce los riesgos de ataques de intermediarios, hasta cierto punto.

Problema con DoH

Si bien DoH aborda el problema de la comunicación sin cifrar a través de DNS, plantea un problema de privacidad: poner al proveedor de servicios DNS en control total de los datos de su red. Ya que, dado que el proveedor de DNS actúa como intermediario entre usted y el sitio web al que accede, mantiene un registro de su dirección IP y los mensajes de DNS. En cierto modo, eso plantea dos preocupaciones. Primero, deja una sola entidad con acceso a los datos de su red, lo que permite que el resolutor vincule todas sus consultas con su dirección IP, y segundo, debido a la primera preocupación, deja la comunicación propensa a un único punto de falla (ataque) .

Protocolo ODoH y su funcionamiento.

El último protocolo, ODoH, desarrollado conjuntamente por Cloudflare, Apple y Fastly, tiene como objetivo resolver el problema de centralización con el protocolo DoH. Para esto, Cloudflare sugiere que el nuevo sistema separe las direcciones IP de las consultas de DNS para que ninguna entidad, excepto el usuario, pueda ver ambas piezas de información al mismo tiempo.

ODoH aborda este problema implementando dos cambios. Agrega una capa de cifrado de clave pública y un proxy de red entre el cliente (usuario) y el servidor DoH. Al hacerlo, afirma garantizar que solo el usuario tiene acceso a los mensajes DNS y las direcciones IP a la vez.

En pocas palabras, ODoH actúa como una extensión del protocolo DoH que tiene como objetivo lograr lo siguiente:

i. evitar que la resolución de DoH sepa qué cliente solicitó qué nombres de dominio canalizando las solicitudes a través de un proxy para eliminar las direcciones de los clientes,

ii. evitar que el proxy conozca el contenido de las consultas y respuestas, y evitar que el resolutor conozca las direcciones de los clientes cifrando la conexión en capas.

Flujo de mensajes con ODoH

Para comprender el flujo de mensajes con ODoH, considere la figura anterior, en la que un servidor proxy se encuentra entre el cliente y el objetivo. Como puede ver, cuando el cliente solicita una consulta (por ejemplo, example.com), la misma va al servidor proxy, que luego la reenvía al destino. El objetivo recibe esta consulta, la descifra y genera una respuesta enviando la solicitud al resolutor (recursivo). En su camino de regreso, el objetivo cifra la respuesta y la reenvía al servidor proxy, que luego la envía de vuelta al cliente. Finalmente, el cliente descifra la respuesta y termina con una respuesta a su consulta solicitada.

En esta configuración, la comunicación, entre el cliente y el proxy y el proxy y el destino, se realiza a través de HTTPS, lo que aumenta la seguridad de la comunicación. No solo eso, toda la comunicación DNS que se lleva a cabo a través de ambas conexiones HTTPS (cliente-proxy y proxy-objetivo) está encriptada de extremo a extremo para que el proxy no tenga acceso al contenido del mensaje. Sin embargo, dicho esto, si bien este enfoque se ocupa tanto de la privacidad como de la seguridad del usuario, la garantía de que todo funcione como se sugiere se reduce a una condición final: el proxy y el servidor de destino no se confabulan. Y, por lo tanto, la compañía sugiere que “siempre que no haya colusión, un atacante solo tiene éxito si tanto el proxy como el objetivo están comprometidos”.

Según un blog de Cloudflare, esto es lo que garantizan el cifrado y el proxy:

i. El destino solo ve la consulta y la dirección IP del proxy.

ii. El proxy no tiene visibilidad de los mensajes DNS, sin capacidad para identificar, leer o modificar la consulta que envía el cliente o la respuesta que devuelve el objetivo.

iii. Solo el objetivo deseado puede leer el contenido de la consulta y producir una respuesta.

Disponibilidad de ODoH

El DNS olvidado a través de HTTPS (ODoH) es solo un protocolo propuesto a partir de ahora y debe ser aprobado por el IETF (Grupo de trabajo de ingeniería de Internet) antes de que se adopte en la web. Aunque Cloudflare sugiere que, hasta el momento, tiene empresas como PCCW, SURF y Equinix como sus socios proxy para ayudar con el lanzamiento del protocolo y que ha agregado la capacidad de aceptar solicitudes ODoH en su servicio DNS 1.1.1.1. , la verdad del asunto es que, a menos que los navegadores web agreguen de forma nativa soporte para el protocolo, no puede usarlo. Porque el protocolo aún se encuentra en la fase de desarrollo y se está probando el rendimiento en diferentes proxies, niveles de latencia y objetivos. Como razón, puede que no sea un acierto arbitrar el destino de ODoH de inmediato.

Con base en la información y los datos disponibles, el protocolo parece ser prometedor para el futuro del DNS; por supuesto, logra lograr el tipo de privacidad que promete sin comprometer el rendimiento. Dado que ahora es muy evidente que el DNS, responsable de desempeñar un papel fundamental en el funcionamiento de Internet, todavía sufre problemas de privacidad y seguridad. Y a pesar de la reciente incorporación del protocolo DoH que promete aumentar el aspecto de seguridad del DNS, la adopción aún parece lejana debido a las preocupaciones de privacidad que plantea.

Pero, si ODoH logra estar a la altura de sus afirmaciones en términos de privacidad y rendimiento, su combinación con DoH, mientras trabaja en tándem, puede abordar las preocupaciones de privacidad y seguridad del DNS. Y, a su vez, hacerlo mucho más privado y seguro de lo que es hoy.