Vlákno názorů k článku DNS-over-TLS (DoT) vs. DNS-over-HTTPS (DoH) a šifrování DNS v Knot Resolveru od Libor Peltan - Rozdíl v režii mezi DoT a Do53 není...
-
Rozdíl v režii mezi DoT a Do53 není ani tak o dvou bajtech 'message length', to je skutečně prknotina. Zásadní rozdíl je v jednom roundtripu navíc při navazování spojení, což se nezdá strašné, ale docela je.
Resolverem, kterému myslím stojí za to obecně věřit, je CZ.NIC ODVR. Dá se k němu připojit bezpečně pomocí DoH a tuším snad i DoT. Ať už jste doma, nebo v čínském hotelu :-D
-
Problém DoH je, že jeho implementace se nejvíc nabízí v rámci prohlížečů, obecněji v rámci knihoven na zpracování HTTP. Otevřela se tím jednoduchá cesta, aby vendor každého software preferoval, nebo dokonce vynutil používání resolveru, který mu vyhovuje. Ano, i tradiční DNS (udp/tcp) se dalo takto implementovat, ale nikdo k tomu necítil potřebu, vždy bylo považováno za lepší řídit se nastavením systému, potažmo místní sítě či místního ISP. Z tradičních DNS požadavků se nedalo nic moc cenného vyčíst, z DoH už ano.
Uživatel, který se chtěl rozhodovat, komu důvěřuje, ten se mohl rozhodnout právě tím, jak si nastaví DNS v systému, případně administrátor sítě, jak ho nastaví v LAN. Většina to nedělala a nebude to dělat ani nadále.
Nebezpečí nečíhá v samotném DoH, ale v tom, že se nabízí prohlížečům (a nejen těm), aby preferovali takový resolver, kde který vznik indentifikovatelných statistik ocení (může to být jeho vlastní, nebo třetí strany). Zde pochybuji, že nějaká významná řada uživatelů bude vyhodnocovat rizika (jak je správně zmíněno v článku), ale vydá se všanc tomu, co přednastaví software. Vůbec není zaručeno, že výběr resolveru bude moci uživatel ovlivnit.
Domnívám se, že hlavní motivací pro tlak na DoH je "vyhovění" GDPR. DNS provoz je technicky nutná součást internetové komunikace. Proti současnému stavu přináší zlepšení na úrovni šifrování dat - tedy neoddiskutovatelný posun. Koncentrace informací ve vybraných uzlech internetu se bude označovat za "pouhý" technický důsledek.
-
Filip JirsákStříbrný podporovatelTo, co píšete, nijak nesouvisí s DoH. Nespoléhat se na systémový resolver mohou všechny aplikace odjakživa. Mnohé aplikace tu možnost skutečně mají, akorát o tom asi nevíte.
DoH vzniklo z jednoduchého důvodu – z krátkozrakého pohledu správců mnohých sítí. Ze spousty sítí se lze dostat do internetu jen protokolem TCP na porty 80 a 443, přičemž se uvnitř přenáší protokoly HTTP nebo HTTPS a v komunikaci čmuchá nějaké zařízení (v HTTPS s pomocí falešných certifikátů).
Reakce na to je logická a přirozená, máme dnes prakticky Internet-over-HTTPS – všechno se tuneluje přes HTTPS. DoH je jen jeden z moha takových protokolů. Platí, že máte, co jste chtěli – správci chtěli, aby veškerý provoz do internetu bylo jen HTTP(S), tak je veškerý provoz do internetu jen HTTP(S)…
-
@Filip Jirsák
Vše, co píšete, je mi jasné. Komentuji, že je to postup z bláta do louže. Zatímco dřív mohla poptávka zákazníků korigovat poskytovatele / správce, aby neblbnul, nyní se "transparentně" dáváme všanc někomu neznámému, se kterým žádný přímý vztah nemáme.
Proti HTTPS mám drobné výhrady vůči způsobu vynucování ze strany nezúčastněných stran (např. prohlížeče), ale ano, je to na správcích, jestli ho chtějí podporovat (dnes už na výběr de facto nemají). Jako jiný, ale související problém vidím, že neexistují možnosti legitimní inspekce provozu - což např. firmy opravdu potřebují. Tady je to taky ode zdi ke zdi. Od nulové ochrany (nešifrováním) jdeme až k nemožnosti ochrany (nemožnosti inspekce provozu).
Mně vadí nejvíc ta disproporce, a ta je podle mě hnaná (logicky a přirozeně) velkými hráči. Z témat si vybrali k prosazení jen ty části, které jim v globálu přinesou nerušitelný přístup k informacím o uživateli. Bez toho nefunguje ekonomika internetu (aspoň nyní ne).
Zarážející je ta starost o to, aby nikdo neviděl s kým komunikuji a zároveň se vybrané informace koncentrovaly na správných místech. Na druhé straně, ty nejcitilvější informace přenášíme elektronickou poštou - a na tomto poli je vývoj prakticky ustrnulý. Kraviny na zdi facebooku máme chráněné tak, že ani NSA do nich nevidí (nadsázka), zatímco osobní nebo obchodní mail může jít nešifrovaně přes půlu světa. Nerad bývám paranoidní, nejsem příznivec konspiračních teorií, ale na tomto poli jsou trendy už tak viditelné, že je nelze přehlédnout.
Jako jednu z mála cest vidím to aspoň komentovat (nemám sílu, přiznávám, ani motivaci to měnit). Možná si část veřejnosti urovná rizika, to, že vždy někomu důvěřujete - a že je pouze na konsensu komu, a jestli to bude více, či méně centralizované. Z mnohých komentářů mám (a myslím, že správný) pocit, že si laikové myslí, že zavedením HTTPS, DoH etc. jsou všechny problémy vyřešeny. A jen málo z nás si připouští, že vyřešením jednoho problému možná / asi zaděláváme na jiný, hlubší a ještě hůře řešitelný. To nijak nevylučuje Vaše postřehy o tom, že se jedná o přirozenou reakci trhu - o tom se nepřu.
-
Filip JirsákStříbrný podporovatel
Problém je, že vycházíte z předpokladu, že DoH provoz je směrován na jakési „velké hráče“. Což neodpovídá realitě. Např. Chrome má v ČR na výběr ODVR od CZ.NICu – to je podle vás velký globální hráč?
Mimochodem, inspekce provozu ve firmách je nesmysl – je to jen hotfix. Vir nebo malware opravdu nezajímá, jestli se do sítě dostane z prohlížeče, z e-mailu nebo třeba na flash disku. Ta inspekce se má provádět až na koncovém počítači, buď v okamžiku zápisu souboru na disk nebo v okamžiku jeho spuštění. Pak nezáleží na tom, odkud ten soubor přišel. Případně pokud chtějí provádět inspekci i kódu přímo v prohlížeči (JavaScript, WebAssembly apod.), má se to provádět až v prohlížeči.
To, že detekce v rámci HTTPS spojení má dnes nějaký význam, je dané jenom tím, že i útočníci jsou většinou líní používat nějaké sofistikovanější techniky. Ale pořád je to jen obrana proti těm nejhloupějším možným útokům.
-
Např. Chrome má v ČR na výběr
Kolik lidí si změní default? Jak je zajištěno, že do budoucna nevyhodnotí, že jejich vlastní DoH servery jsou ty nejspolehlivější v širém světě?
Mimochodem, inspekce provozu ve firmách je nesmysl – je to jen hotfix. Vir nebo malware opravdu nezajímá, jestli se do sítě dostane z prohlížeče, z e-mailu nebo třeba na flash disku.
Nejde jen o viry, ale i o to, jak smí zaměstnanec trávit svoji dobu, nebo jako zvýšená prevence úniku dat (i záměrného).
Ta inspekce se má provádět až na koncovém počítači, buď v okamžiku zápisu souboru na disk nebo v okamžiku jeho spuštění.
To platí možná pro viry, ale stejně chcete mít centrálně aspoň statistiky provozu a vidět, jestli nevzniká nějaká anomálie. To nezasahuje do soukromí a je to legitimní důvod.
Ano, jsou to možná "hotfixy", ačkoliv moc alternativních způsobů neexistuje, nebo jsou pro svoji náročnost a cenu nedostupné.
-
Kolik lidí si změní default?
A kolik lidí si změnilo default resolveru pro operační systém, když se připojili k hotelové síti?
Prostě platí, že ti, kdo si default nezmění, nebudou zabezpečeni proti všemu, neboť jak se v článku správně píše, žádná volba není nejlepší ve všech případech. Někdy je potřeba se bránit proti provozovateli místního resolveru protunelováním se jinam zkrz HTTPS, jindy je potřeba bránit se proti velkému korporátu použitím resolveru svého důvěryhodného poskytovatele připojení.
No a kdo si default změnit chce, ten to může udělat, jediná nevýhoda je, že to bude muset udělat na více místech (OS, prohlížeče) a vědět kterých.
-
A kolik lidí si změnilo default resolveru pro operační systém, když se připojili k hotelové síti?
Tam je tamní správce, a ten je ve službách hotelu (přímo či nepřímo). Když dojde např. ke zneužití, je možné se s někým konkrétním přít o náhradu škody, ... Když to by default odstrčíte někam "neznámo" (ve smyslu - k někomu, s kým nemáte žádný vztah), ztratí se jakákoliv možnost domoci se práva, nebo aby se prostředí lokálně vyvíjelo tak, jak je v daném místě a čase příslušné.
-
Filip JirsákStříbrný podporovatel
Kolik lidí si změní default?
Default je DNS server nakonfigurovaný v operačním systému.Vy to nemáte jednoduché. Když se používá konfigurace převzatá ze sítě, je to špatně. Když má uživatel na výběr, je to špatně. Kdyby uživatel neměl na výběr, také to bude špatně. Zkrátka vycházíte z předpokladu, že je všechno špatně – a jak to je vás ani nezajímá.
Jak je zajištěno, že do budoucna nevyhodnotí, že jejich vlastní DoH servery jsou ty nejspolehlivější v širém světě?
Stále nechápete, jak nesmyslné je tohle tvrzení? Jak je zajištěno, že do budoucna nevyhodnotí tvůrci operačního systému, že budou DNS resolvovat přes svoje vlastní servery proprietárním protokolem?Nejde jen o viry, ale i o to, jak smí zaměstnanec trávit svoji dobu, nebo jako zvýšená prevence úniku dat (i záměrného).
Přičemž nic z toho (ani tu ochranu proti virům) inspekce TLS nezajistí.To platí možná pro viry, ale stejně chcete mít centrálně aspoň statistiky provozu a vidět, jestli nevzniká nějaká anomálie. To nezasahuje do soukromí a je to legitimní důvod.
Kvůli statistikám ovšem nepotřebujete vidět do komunikace.Mně na tom netrápí zasahování do soukromí, to stejně musí být ošetřené. Mně vadí, že komunikaci rozbíjí, a že to popírá celý princip TLS. Na jednu stranu děláme spoustu opatření proti MitM, a pak řekneme, že MitM je vlastně v pohodě? Ti, kteří by se měli starat o bezpečnost komunikaci, na ní naopak útočí?
-
@Filip Jirsák
Teď překrucujete. Máme stav, který trvá desítky let a nepřinesl žádné velké hrozby z toho, že by nastavení DNS zneužil operační systém (ostatně, k čemu by mu to bylo - OS má přehled o i významnějších informacích a víc do detailu). Najednou se prosazuje něco, co otevírá dveře k novým problémům, o kterých víme, že jsou taky nežádoucí. Vyměňujeme jeden blbý stav za druhý blbý stav. V takovém případě je lepší nedělat nic, než to dělat zase špatně.
Jak je zajištěno, že do budoucna nevyhodnotí tvůrci operačního systému, že budou DNS resolvovat přes svoje vlastní servery proprietárním protokolem?
V motivaci - OS nemá důvod zasahovat do DNS, když k ještě detailnějším informacím přístup má. A kdyby to nastalo, budu psát i proti tomu.
Kvůli statistikám ovšem nepotřebujete vidět do komunikace.
Do komunikace ne, na obálku ano.
Mně na tom netrápí zasahování do soukromí, to stejně musí být ošetřené. Mně vadí, že komunikaci rozbíjí, a že to popírá celý princip TLS. Na jednu stranu děláme spoustu opatření proti MitM, a pak řekneme, že MitM je vlastně v pohodě? Ti, kteří by se měli starat o bezpečnost komunikaci, na ní naopak útočí?
Však taky tyto kroky proti MitM považuji za blbé. Jeden problém řeší, druhý otevírají. Zatímco parlamenty se nejsou s to shodnout, jak velký zásah do soukromí komunikace je přípustný, tak velké firmy nelení, a zavedou to ve svůj prospěch dřív, než poslanci dožvaní. (A následně parlamenty začnou "řešit" novou situaci, kterou než dožvaní, bude zase jiná).
-
Filip JirsákStříbrný podporovatel
Miroslav Šilhavý, 15:31: Nic nepřekrucuju. Současný stav ohledně fungování DNS v operačních systémech netrvá desítky let. Před desítkami let se DNS servery v operačním systému konfigurovaly ručně. Pak přišla konfigurace přes BOOTP, později DHCP, pak RA. Později přibyla podpora DNSSEC. Všechno to byly ve vašem pojetí světa první kroky na cestě do pekel.
To, jestli se prohlížeč dotazuje DNS serveru protokolem DNS-over-UDP nebo DNS-over-HTTPS, neotevírá dveře vůbec nikam.
V motivaci - OS nemá důvod zasahovat do DNS, když k ještě detailnějším informacím přístup má.
Zato prohlížeč – má také přístup k ještě detailnějším informacím.Do komunikace ne, na obálku ano.
Proti koukání na obálku nic nemám. Ono by bez koukání na informace na obálce jaksi nefungovalo ani doručování paketů.Jeden problém řeší, druhý otevírají. Zatímco parlamenty se nejsou s to shodnout, jak velký zásah do soukromí komunikace je přípustný, tak velké firmy nelení, a zavedou to ve svůj prospěch dřív, než poslanci dožvaní.
To není zdaleka jen záležitost velkých firem. Dnes je to bohužel běžná součást síťových firewallů pro podnikové nasazení. -
J ouda (neregistrovaný)
V tom prohlížeči na který se pravidelně objevují každoměsíčně kritická CVE, a stejně tak jak vyřadit danou endpoint protection?
Proboha neděláte náhodou bezpečnost v Temelíně, že ne. To by tam mohli rovnou zbourat plot, přs areál vést chodník na procházky a řešit až reaktorovnu, to přece stačí.
FYI https://en.wikipedia.org/wiki/Defense_in_depth_(computing)
ČLÁNKY DO MAILU