Miesięcznik informatyków i menedżerów IT sektora publicznego

Artur Pęczak

Czarna owca w rodzinie protokołów

Żaden z pomysłów, jak zabezpieczyć komunikację z serwerem DNS, nie zyskał szerszej adaptacji w internecie. Standard DNS over TLS obsługiwany jest przez demona systemd--resolved w Linuksie, zaś Microsoft ogłasza natywne wsparcie dla DNS over HTTPS.

Kiedy w przeglądarce wpisujemy adres strony, do systemu DNS wysyłane jest zapytanie z żądaniem rozwiązania nazwy domeny na adres IP serwera. Dostawca internetu wie, o jaki adres pytamy, bowiem komunikacja z serwerem DNS odbywa się w formie niezabezpieczonej, nawet jeśli samo połączenie WWW zostało zaszyfrowane w protokole HTTPS. Wbrew pozorom kwestie zachowania prywatności to niejedyna bolączka protokołu DNS. Jest on bardzo podatny na zagrożenia sieciowe. Możliwość przechwycenia i podmiany odpowiedzi DNS, tak aby użytkownik połączył się z fałszywym serwerem, stanowi fundament ataków typu Man-in-the-Middle (MITM).

O ile wszystkie najważniejsze protokoły internetowe (HTTP, POP3, IMAP, SMTP) zabezpieczono poprzez tunelowanie ruchu w szyfrowanym protokole TLS, o tyle zabezpieczenie systemu DNS pozostaje tematem tabu. Choć na przestrzeni lat powstało kilka dobrych pomysłów i mocnych standardów, jak zabezpieczyć komunikację z serwerami DNS, żaden z nich nie doczekał się szerszej adaptacji w internecie. Ktoś powie: mamy przecież DNSSEC. Jest to jednak zestaw rozszerzeń systemu DNS, a nie samodzielny protokół. Pamiętajmy też, że korzystając z mechanizmów kryptografii asymetrycznej i podpisów cyfrowych, DNSSEC potwierdza autentyczność pochodzenia komunikatu DNS, ale nie zabezpiecza komunikacji przed podsłuchaniem. Choć DNSSEC gwarantuje, że odpowiedź z serwera DNS nie została zmieniona w trakcie transmisji (integralność przesłanych danych), to użytkownik nie wie, kiedy ten mechanizm miał zastosowanie. Dodatkowa wtyczka dla przeglądarki może wyświetlać informacje o domenie zabezpieczonej DNSSEC. Problem w tym, że znajomość tego mechanizmu wśród użytkowników końcowych jest żadna.

Zabezpieczone przez szyfrowanie

To nie do końca prawda, że wszyscy jesteśmy skazani na podsłuchiwanie. Świadomy internauta ma dzisiaj do wyboru trzy alternatywne mechanizmy zabezpieczania komunikacji DNS: DNSCrypt (patrz: ramka), DNS over TLS oraz DNS-over-HTTPS. Każdy zwiększa prywatność oraz bezpieczeństwo użytkownika w Sieci, chroniąc przed podsłuchiwaniem oraz atakami typu MITM. DNS over TLS (DoT) oraz DNS over HTTPS (DoH) to dwa konkurencyjne standardy pozwalające zabezpieczyć komunikację między klientem a serwerem DNS. Pierwszy z nich szyfruje zapytania DNS, przesyłając je w protokole TLS w kontrze do przekazywania komunikatów zwykłym tekstem. Z kolei drugi (DoH) tuneluje zapytania DNS w szyfrowanym połączeniu HTTPS. DoT, zamiast klasycznego portu DNS (53), wykorzystuje port 853. To analogia do innych protokołów sieciowych, w których zastosowano identyczne rozróżnienie portu, np. POP3 i jego szyfrowana wersja POP3S, korzystających odpowiednio z portów 110 i 995. Z kolei DoH hołduje zasadzie, że każdy ruch sieciowy można przesłać na porcie 443. Podejście to staje w sprzeczności z klasycznym filtrowaniem ruchu sieciowego opartym na portach na rzecz inspekcji pakietów w warstwie aplikacji.

Implementacje klientów

Protokół DoT jest obsługiwany w demonie systemd-resolved, który odpowiada za rozwiązywanie nazw w nowszych wersjach systemu Linux. Opcja ta jest domyślnie wyłączona. W listopadzie tego roku Microsoft poinformował o chęci włączenia mechanizmów szyfrowania w kliencie DNS systemu Windows. Wybór padł na standard DoH, który według informacji zamieszczonych na blogu (itwa.pl/hl) okazuje się łatwiejszy we wdrożeniu na szerszą skalę, bowiem pozwala wykorzystać posiadaną infrastrukturę HTTPS. Autorzy wpisu nie wykluczają jednak, że w przyszłości w systemie Windows pojawi się również alternatywa w postaci obsługi DoT.

[...]

Autor zawodowo zajmuje się informatyką. Publikuje w magazynach komputerowych i serwisach internetowych.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej