Differenza DoH e DoT

fede00 · 2020-06-30T21:14:43+00:00

Buonasera, ho cercato questa domanda un pò sul web ma non ho trovato risposte molto esaurienti. Che differenza c'è tra il DNS over HTTPS e il DNS over TLS?

x_term

fede00 ah questo non lo so...

Hadx

x_term Su ubiquiti si dovrebbe riuscire a fare, ma non è esattamente comodo.

[cancellato]

fede00 Speriamo in un uso massiccio del DoH allora

Sapete che permette di fare facilmente fingerprinting delle richieste? Quindi permette di identificare in modo univoco un client che fa richiesta anche da dietro un NAT o se cambia l'IP? Certo, chi è in mezzo non vede nulla, ma il server DoH vede tutto...

edofullo

[cancellato] Quindi permette di identificare in modo univoco un client che fa richiesta anche da dietro un NAT o se cambia l'IP?

Infatti è un lavoro che dovrebbero svolgere i router IMO, non i dispositivi singoli.

Cache DNS + DoH/DoT Client

Solo che se le aziende di dipositivi non iniziano a far leva loro finisce come con IPv6

[cancellato]

edofullo In realtà 'ste cose nascono proprio per bypassare tutti i DNS server imposti dalle reti upstream (che sia quella di casa, aziendale o del provider) "per privacy".

[cancellato] Garantito che lo faranno. Il problema è che vi è sempre una linea molto sottile di confine tra ciò che è "lecito" fare con le query in chiaro (vedasi ad esempio i filtri a livello DNS come PiHole per il domestico, parental control e category based in ambito corporate) e ciò che non lo è (redirezioni arbitrarie, come per esempio le pagine pubblicitarie dei provider di anni or sono al posto degli NXDOMAIN, data mining, ...)

[cancellato]

Io temo anche una balcanizzazione dove ogni applicazione tenta di usare il server DoH che preferisce tentando di evitare il più possibile l'impostazione DNS del sistema operativo, consci che la maggior parte degli utenti consumer non andrà a modificare le impostazioni di default.

[cancellato]

Come dice il proverbio, "le vie dell'Inferno sono lastricate di buone intenzioni". Crittografare le query DSN mi va bene. Fornire maggiori informazioni della singola query no, e deve rimanere all'utente la decisione di quale server DNS utilizzare.
Anche perché stiamo passando da un sistema altamente distribuito ad uno estremamente centralizzato, con tutti i rischi del caso.

Tra l'altro manca una regolamentazione perché l'hijacking delle query DNS avrebbe dovuto essere vietato - ma siamo in un periodo dove i regolatori capiscono assai poco di quello che regolano, e sono anche spesso un po' troppo contigui ai regolati.

[cancellato]

[cancellato] Anche perché stiamo passando da un sistema altamente distribuito ad uno estremamente centralizzato, con tutti i rischi del caso.

Non necessariamente.

I resolver DoH/DoT sono comunque gestiti in modo anycast, ed hanno lo stesso livello di centralizzazione che avresti impostando il DNS resolver nel client; a loro volta, la ricorsione è gestita allo stesso identico modo di quando vengono invocati via query DNS ordinarie. Cambia in sostanza solo il primo hop di richieste al resolver ricorsivo prescelto.

E anche con le query DNS plain puoi fornire un botto di informazioni al resolver ricorsivo esterno, finanche l'indirizzo IP privato interno del client che invia la richiesta mediante le estensioni EDNS0.

[cancellato]

Non ci siamo capiti - il sistema DNS era stato pensato come un sistema altamente distribuito senza dei sistemi "centrali" - persino i root server sono più di uno gestiti da organizzazioni diverse.

Poi sono arrivati prima Google e poi Cloudflare che hanno cercato di catturare gran parte del traffico DNS verso i loro sistemi - passando di fatto da un sistema decentralizzato ad uno estremamente centralizzato dove un paio di società vedono e controllano la maggior parte del traffico. DoH è un ulteriore passo con il tentativo anche di spostare la risoluzione DNS dal sistema operativo alle applicazioni e ridurre il controllo dell'utente.

Non è un problema solo del DNS - l'intera internet sta passando da un sistema altamente distribuito ad uno centralizzato dove una manciata di società controlla traffico e contenuti. E acquisisce dati degli utenti per profitto.

edofullo

[cancellato] Basterebbe che quelli che sviluppano i sistemi operativi implementino la funzione e magari ogni applicazione non farebbe per se.
Idem per le aziende che sviluppano i router, almeno un opzione cambiabile dal pannello di controllo dovrebbe esserci.
Speriamo che microsoft e apple si adoperino in questo fronte, magari mettendo in fase di setup un opzione per scegliere se usare i dns del provider o DoT/DoH con una lista di resolver.

Per quanto rigurda l'accentramento: non si potrebbe fare in modo che le richieste vadano a un resolver scelto random ogni volta (o ogni n minuti) in una lista?

matteocontrini

È in piano un articolo della wiki comunque...

[cancellato]

[cancellato] Ma io ti ho capito perfettamente, rileggi la mia risposta... Semplicemente è infattibile per latenze e perché non sfrutteresti le cache dei tuoi "vicini" avere un DNS ricorsivo in ogni macchina, e dover ogni volta partire dai root server.
Semplicemente hai chiesto ad un resolver cache-ricorsivo esterno di gestire la catena per te; il fatto che sia un sistema distribuito vale per l'organizzazione gerarchica di chi mette a disposizione le risorse, non necessariamente di chi ci va a far le query sopra.

edofullo Basterebbe che quelli che sviluppano i sistemi operativi implementino la funzione e magari ogni applicazione non farebbe per se.

E chi mi dice che non ci sia un tracking/data mining nel SO? Stesse considerazioni, solo che vai ogni volta a restringere il perimetro che consideri attendibile, fino ad arrivare al fatto che "ti fidi solo di te stesso". 😉
Ti ricordo la telemetria non disattivabile (ufficialmente) in Windows 10, tanto per dirne una.

edofullo Speriamo che microsoft e apple si adoperino in questo fronte, magari mettendo in fase di setup un opzione per scegliere se usare i dns del provider o DoT/DoH con una lista di resolver.

Ci stanno già lavorando per Windows10 a quanto ho letto... dovrebbe utilizzare i DNS impostati provando dapprima in DoH o DoT, e solo poi in plain.

edofullo non si potrebbe fare in modo che le richieste vadano a un resolver scelto random ogni volta (o ogni n minuti) in una lista?

È esattamente per questo motivo che ne vai ad inserire più di uno nelle config, perché o si distribuisce il carico in round robin, o comunque ne hai uno "di scorta" quando uno va down.

[cancellato]

edofullo

Si può fare tutto, ma tutto dipende da quanto ci guadagni. Se il trend è quello di acquisire sempre più dati degli utenti da ogni fonte possibile perché ti portano un notevole profitto, ognuno agirà in quella direzione - anche quando sono facilmente implementabili soluzioni diverse ma che diminuiscono quei profitti.

I sistemi operativi dovranno inevitabilmente avere funzioni che permettano all'azienda di controllare chi fa richiesta a cosa, ma immagino che i default saranno diversi e magari nelle versioni "home" disabiliteranno pure la possibilità di fare altrimenti. Finché magari non arriverà lo stop da qualche ente regolamentatore.

[cancellato]

[cancellato] . Semplicemente è infattibile per latenze e perché non sfrutteresti le cache dei tuoi "vicini" avere un DNS ricorsivo in ogni macchina,

Ma chissenefrega della latenza della prima richiesta. Il problema è esattamente "hai chiesto ad un resolver cache-ricorsivo esterno di gestire la catena per te" - quello significa che metti tutto nelle mani di pochissime entità che vedono e controllano tutto. Che poi per evidenti questioni di prestazioni quella entità abbia più sistemi che rispondono non cambia nulla, è tutto è accentrato nelle mani di pochissimi, i soli che hanno le risorse per tenere in piedi questi sistemi. Per te magari non è un problema, per me sì.

edofullo

[cancellato] Ti ricordo la telemetria non disattivabile (ufficialmente) in Windows 10, tanto per dirne una.

Ci sarà un motivo per cui sono su Linux (Manjaro/KDE) da 2 anni ormai 😉
Però hai ragione

[cancellato] Ci stanno già lavorando per Windows10 a quanto ho letto... dovrebbe utilizzare i DNS impostati provando dapprima in DoH o DoT, e solo poi in plain.

Secondo me un opzione nel primo setup è la cosa giusta, tanto già ce ne sono 500 per settare windows la prima volta, una in più o una in meno non cambia molto.

Sicuramente comunque se facessero come dici tu sarebbe già un buon primo passo

[cancellato] È esattamente per questo motivo che ne vai ad inserire più di uno nelle config, perché o si distribuisce il carico in round robin, o comunque ne hai uno "di scorta" quando uno va down.

Ok, perchè allora non lo fanno con DoH? Se lo facessero con un buon numero di server cadrebbe l'argomentazione dell'internet centralizzato.

[cancellato]

edofullo Ok, perchè allora non lo fanno con DoH? Se lo facessero con un buon numero di server cadrebbe l'argomentazione dell'internet centralizzato.

Perché costa soldi tenere in piedi la baracca, e perché non è negli scopi del Do*, quantopiù rendere indecifrabili al provider le query stesse.
E alla fine come detto anche adesso vai ad utilizzare uno (o due) server DNS ricorsivi, quindi il concetto non cambia.

Centralizzazione comunque vuol dire un'altra cosa, ovvero se tutti i domini fossero definiti in un unico servizio, ma non è quello che accade con i DNS ricorsivi esterni, questi per voi sono solo una cache.
Stiamo (se vogliamo brevemente filosofare, non troppo altrimenti i mod ci cazziano) già vivendo un epoca di centralizzazione "dell'internet" per come lo conosciamo: sempre più traffico passa per CDN e big Cloud provider, andando a far morire quella pletora di piccoli provider e hosting service che hanno fatto la fortuna di internet nella fine degli anni '90-primi '00.

[cancellato]

[cancellato] quantopiù rendere indecifrabili al provider le query stesse.

Cosa cambia rispetto al fatto che Google o Cloudflare vedano tutto e di più? Ti fidi più di loro che del tuo provider? Mentre quest'ultimo è almeno soggetto alle leggi locali Google ti fa marameo dagli USA - in più entrambe sono soggette al CLOUD Act che permette alle agenzie investigative USA di farsi dare i dati in possesso delle società USA ovunque siano nel mondo.

Difatto se i server che rispondono alle query degli utenti diventano solo pochi che i dati originali siano in un qualche server DNS remoto non cambia nulla. Anzi, aspettati che prima o poi diranno "ma perché gestire i tuoi server DNS? Lascia fare a noi, metti tutto sui nostri server" - anzi, lo fanno già. Come con la posta elettronica.

Il fatto che stiamo vivendo in un'epoca di centralizzazione non significa che dobbiamo chiudere gli occhi e applaudire....

[cancellato]

[cancellato] Il fatto che stiamo vivendo in un'epoca di centralizzazione non significa che dobbiamo chiudere gli occhi e applaudire....

Ma io non sto dicendo questo, e non sto dicendo che tu non abbia ragione sia chiaro.
Sto solo dicendo che chiamare un resolver ricorsivo come 8.8.8.8 in UDP/53, in DoT o DoH, che differenza fa?

Se fai tu le tue query ricorsive di risoluzione non devi nascondere niente a nessuno, e quindi il Do{T,H} non ha senso (tanto tracciano le query out che sono giocoforza plain).

Come avrai capito, io non ho un'opinione così positiva del DoT/DoH, sia perché in ottica enterprise crea più problemi che altro, sia perché come dici tu accentra nelle mani di chi mette in piedi tale servizio tutti i dati di risoluzione, oltre ad appesantire oltremodo un protocollo nato e pensato proprio per essere efficiente e agile sul fronte di una ipotetica maggior privacy da parte degli operatori (ok, nascondi le query... ma il traffico che poi fai verso l'host da dove passa?).

PS: Google, Amazon, Cloudflare e altre aziende, operando sul territorio europeo sono soggette al GDPR.

edofullo

[cancellato] nato e pensato proprio per essere efficiente e agile sul fronte di una ipotetica maggior privacy da parte degli operatori (ok, nascondi le query... ma il traffico che poi fai verso l'host da dove passa?)

Le query DNS sono una delle ultime cose che viaggiano in chiaro su internet, e penso che vadano criptate esattamente come è criptato tutto il resto.

Cosa utilissima anche su reti di Starbucks, Burger King o della biblioteca dove vai a studiare e scrocchi il WiFi pubblico.

In ambito enterprise non so esattamente come funzioni ma son sicuro che se una cosa del genere venisse implemetata a livello di OS verranno di certo aggiunte le Group Policy / MDM per disattivarla.

Se una azienda non ha i computer in dominio allora vuol dire che ha talmente pochi PC per cui può disattivarla a mano.

Le uniche che rimarrebbero fregate sarebbero le aziende BYOD, ma secondo me è relativamente giusto così.

[cancellato]

Perché il diavolo è nei dettagli. Ovviamente se chiami gli stessi server dalle stesse applicazioni nello stesso modo cambia poco, e puoi perfino averne dei vantaggi - tranne che il protocollo HTTP fornisce molte più informazioni sul client invocante di quanto faccia quello DNS, anche quando si sposta fra reti diverse.

Ma al momento è alquanto facile usare il server DNS che vuoi. Da quelli sui router ai PiHole o altro. Ed è molto difficile assegnare le richieste DNS ad uno specifico client.

Ci sono poi i forward condizionali dove un server DNS invia direttamente le query a specifici server DNS, vedi ad esempio come funziona SIP per certi provider - ma quello si usa anche per altri scopi.

Con DoT e specialmente DoH diventa più difficile, mentre diventa più facile per le applicazioni bypassare qualsiasi restrizione l'utente possa mettere in pratica per bloccare richieste non voluta. Se da un lato può servire ad evitare censure, dall'alto permette di bypassare i filtri che bloccano ad esempio tutti i siti di advertising, e raccolta di dati dietro le spalle dell'utente o peggio. Certo, se sei esperto a sufficienza puoi fare qualcosa, ma si alza l'asticella e l'utente meno capace rimane molto più esposto.

Comunque diventa ancora più facile implementare qualsiasi censura a livello di pochissimi servizi DNS che bloccare milioni di server. Pensa come diventa più facile per il primo Pillon che passa....

[cancellato] PS: Google, Amazon, Cloudflare e altre aziende, operando sul territorio europeo sono soggette al GDPR.

Vedremo cosa succederà quando CLOUD Act e GDPR andranno in collisione. Visto che i capoccioni sono cittadini USA, a cosa credi daranno la precedenza?

[cancellato]

edofullo Le query DNS sono una delle ultime cose che viaggiano in chiaro su internet, e penso che vadano criptate esattamente come è criptato tutto il resto.

Opinabile... l'IP di destinazione è necessariamente in chiaro, e anche in caso di connessioni TLS i browser inseriscono gli header SNI in chiaro nell'handshake contenenti il nome host cui ci si vuol connettere (per far scegliere il certificato/profilo giusto in presenza di più siti diversi sullo stesso IP:443), hanno iniziato ad offuscarlo solo a partire dal TLSv1.3, e a memoria ci hanno trovato problemi in questo.

edofullo Cosa utilissima anche su reti di Starbucks, Burger King o della biblioteca dove vai a studiare e scrocchi il WiFi pubblico.

Se vuoi privacy devi passare per una VPN, poco da fare... E sposti il problema privacy al provider scelto per questa (a meno che non ne fai una selfhosted).

edofullo In ambito enterprise non so esattamente come funzioni ma son sicuro che se una cosa del genere venisse implemetata a livello di OS verranno di certo aggiunte le Group Policy / MDM per disattivarla.

Perfetto, ma le app "baHstarde" che applicano DoH in autonomia per risolvere destinazioni che sarebbero filtrate a livello resolver (es. virus/ransomware tanto per dirne due)? Quelli mica rispettano le group policy...

edofullo Le uniche che rimarrebbero fregate sarebbero le aziende BYOD, ma secondo me è relativamente giusto così.

Ma anche no, purtroppo.. e non è "giusto così"...

edofullo

[cancellato] l'IP di destinazione è necessariamente in chiaro

Con CDN, virtual servers e compagni bella dell'IP di destinazione non te ne fai molto, al massimo riesci a capire su che provider si appoggia il server.

[cancellato] in caso di connessioni TLS i browser inseriscono gli header SNI in chiaro nell'handshake contenenti il nome host cui ci si vuol connettere

Altra cosa da fixare, Cloudflare ci sta provando

[cancellato] Se vuoi privacy devi passare per una VPN, poco da fare... E sposti il problema privacy al provider scelto per questa (a meno che non ne fai una selfhosted).

Hai ragione ma vallo a dire ad Average Joe (anche se ormai le compagnie VPN stanno facendo una pubblicità enorme, chissa perchè...)
Una volta che le query DNS sono oscurate difficilmente con gli IP di destinazione riesci a fare un profilo abbastanza dettagliato da vendere a qualche agenzia di marketing mirato.

[cancellato] Perfetto, ma le app "baHstarde" che applicano DoH in autonomia per risolvere destinazioni che sarebbero filtrate a livello resolver (es. virus/ransomware tanto per dirne due)? Quelli mica rispettano le group policy...

Su questo ti do ragione, dovrebbe essere una impostazione a livello di OS e controllabile in modo centralizzato.
Le app potrebbero forzare DoH solo se non è stato esplicitamente escluso da una group policy.

Però qualcuno dovrà ben iniziare, ora che l'ha fatto Mozilla anche MikroTik, Apple, Microsoft ci stanno mettendo le mani.

Quando verrà più diffuso a livello di OS Mozilla potrebbe tornare a usare i classici resolver impostati nell'OS.

[cancellato] Ma anche no, purtroppo.. e non è "giusto così"...

Mi sono spiegato male qui, non intendevo che le aziende BYOD "si attaccano al tram", una soluzione si può trovare.
Firefox ogni volta che parte fa una richiesta al resolver normale per una query specifica, se non riceve risposta abilita DoH altrementi no.

Non so come funzioni questa richiesta nel senso che bisognerebbe trovare il modo di non considerare risposte che arrivano da DNS non locali.
Non so se mi son spiegato, potenzialmente TIM o altri inserendo questa entry nei loro DNS potrebbero bloccare DoH a tutti i clienti, questo non va bene.

D'altra parte però far usare i propri dispositivi per motivi di lavoro e tenerci informazioni riservate non mi sembra una bellissima idea sinceramente, DoH o non DoH.

Disclaimer: non ho mai lavorato nel settore (ma mi piacerebbe molto fare qualche lavoretto) quindi metto comunque le mani in alto e lascio la paola agli esperti

Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile