Blog, Cultura e normative, Tecnologie

DNSSEC e DoH – Sicurezza da punti di vista differenti

Nel nostro proseguo nel viaggio con DNS non potevamo non incappare in due acronimi arcinoti: DNSSEC e DoH.
Proveremo in questo articolo a farvi cogliere differenze e principi di entrambe le tecnologie che sì, hanno in comune il protocollo DNS, ma che di fatto si occupano di due cose molto diverse tra di loro.

Partiamo con DNSSEC: cosa è ?

DNSSEC (DNS SECurity) rappresenta un insieme di estensioni progettate per contrastare le vulnerabilità del sistema DNS tradizionale. Al centro della sua funzionalità c’è la garanzia dell’integrità dei record DNS mediante l’utilizzo di firme digitali. Con DNSSEC, è possibile verificare l’autenticità dei record DNS, fornendo così una protezione essenziale contro attacchi di spoofing e manipolazioni delle risposte DNS. L’implementazione del DNSSEC richiede una pianificazione oculata e una configurazione attenta dei server DNS, ma i benefici in termini di sicurezza e autenticità delle comunicazioni online sono innegabili.

Come funziona DNSSEC ?

Il DNSSEC si basa su una catena di trust simile a quella utilizzata nei certificati SSL/TLS. Le autorità di certificazione o certification authority (CA) emettono chiavi pubbliche per i record DNS e firmano i record con le proprie chiavi private. Gli utenti possono quindi verificare l’autenticità dei record DNS seguendo la catena di trust fino alla root DNSSEC. Risulta chiaro che l’implementazione del DNSSEC comporta diverse fasi, tra cui la generazione delle chiavi pubbliche e private, la firma dei record DNS con le chiavi private e la pubblicazione delle firme digitali nel DNS.
L’implementazione del DNSSEC offre numerosi vantaggi, tra cui una maggiore sicurezza e autenticità dei record DNS e una protezione più efficace contro attacchi di spoofing e manipolazione dei dati.

Controversie

E’ bene ricordare anche che DNSSEC ha generato parecchie controverse, alcune delle quali sostenute anche dalla comunità Internet. E’ corretto ricordarne alcune.
  1. Complessità: indubbiamente è più complesso gestire una CA, le chiavi, le scadenze e il software DNS, inoltre c’è lapossibilità che solo grandi operatori possano mettere questo effort, in sostanza piccole società non riuscirebbero ad adeguarsi ai nuovi standard.
  2. Diffusione: effettivamente non c’è ancora una tale diffusione lato pubblico e questo fa sì che la maggioranza delle query avvengano in modalità retro compatibile (cioè senza DNSSEC).
  3. Problemi di security: le richieste con DNSSEC , generano risposte “grandi”. Gli attaccanti possono sfruttare i pacchetti DNSSEC per generare un traffico amplificato, causando sovraccarichi di rete e interruzioni del servizio. (nella RFC è esplicitato che DNSSEC non nasce per avere protezioni per attacchi DDOS o simili)
  4. Lunghezza della chiave: DNSSEC, per questioni di lunghezza del messaggio e di performance difficilmente viene gestito con chiavi più lunghe di 1024 bit, rendendo di fatto “obsoleto” il keyset di presunta prozione.
  5. Retrocompatibilità: ci vuole software nuovo, che interagisca con chiavi, cache, performance.
  6. Fragilità di implementazione: accetto o non accetto le chiavi scadute ? Sembrano questioni assurde ma sono di implementazione non da poco.
In breve, sebbene DNSSEC offra vantaggi significativi in termini di sicurezza del DNS, le critiche che riguardano principalmente la complessità e i costi associati alla sua implementazione e gestione, nonché le sfide tecniche che presenta per i provider di servizi DNS, hanno frenato di parecchio la sua adozione.

E il DoH ?

Il Domain Name System (DNS) over HTTPS (DoH) sta guadagnando sempre più popolarità come una tecnologia che promette di rafforzare la privacy e la sicurezza delle comunicazioni online.

Cos’è il DNS over HTTPS (DoH)?

Il DNS over HTTPS è un protocollo progettato per crittografare le query DNS e inviarle attraverso una connessione HTTPS anziché attraverso il tradizionale canale non crittografato. Questo significa che le richieste DNS vengono inviate attraverso la stessa connessione sicura utilizzata per navigare su siti web protetti da HTTPS.

Benefici del DNS over HTTPS

Crittografando le richieste DNS, il DNS over HTTPS protegge la privacy degli utenti, impedendo a terze parti di monitorare le loro attività di navigazione e di raccogliere informazioni sensibili sulle loro abitudini online. Questo è il vantaggio più grosso per gli utenti finali, che possono “salvaguardare” la loro privacy quando usufruiscono di servizi DNS.
Non passando per il protocollo DNS, ovviamente si mitigano tutti gli attacchi legati in senso stretto al protocollo.

Considerazioni

L’Adozione del DNS over HTTPS nel contesto attuale tuttavia fa anche nascere delle considerazioni molto importanti.
Ne ricordiamo alcune:
  1. Centralizzazione del Controllo: DoH sposta il controllo delle query DNS dai server DNS locali, agli endpoint HTTPS forniti da grandi aziende tecnologiche, come Google o Cloudflare. Questo solleva preoccupazioni riguardo alla centralizzazione del controllo delle comunicazioni Internet e al potenziale per la raccolta e il monitoraggio dei dati da parte di queste aziende.
  2. Opacità e Privacy: Sebbene DoH offra una crittografia end-to-end delle query DNS, ciò può rendere più difficile per le organizzazioni o i provider di servizi Internet monitorare e filtrare il traffico DNS per scopi di sicurezza e protezione della privacy. Ciò solleva preoccupazioni riguardo alla trasparenza e alla visibilità delle attività di rete, leggi: ma chi fa cosa ?
  3. Interferenza con le Policy di Sicurezza Aziendali: L’implementazione di DoH può interferire con le policy di sicurezza aziendali, specialmente per le organizzazioni che dipendono dal monitoraggio e dal controllo del traffico DNS per proteggere le loro reti da minacce informatiche. Questo può rendere più difficile l’applicazione di politiche di sicurezza coerenti e la risoluzione dei problemi di rete.
  4. Difficoltà nella Gestione del Traffico di Rete: La crittografia delle query DNS con DoH rende più difficile per le organizzazioni gestire e ottimizzare il traffico di rete. Questo può complicare il troubleshooting delle problematiche di rete e ridurre l’efficacia di strumenti di monitoraggio e controllo del traffico.
  5. Conformità alle Normative sulla Protezione dei Dati: L’adozione di DoH può sollevare preoccupazioni riguardo alla conformità alle normative sulla protezione dei dati, poiché la crittografia delle query DNS può rendere più difficile per le organizzazioni rispettare gli obblighi di conservazione e protezione dei dati.
  6. Impatto sui Servizi di Sicurezza Web: Gli strumenti di sicurezza web, come i filtri di contenuti dannosi o le soluzioni di filtraggio DNS, potrebbero essere meno efficaci con l’implementazione di DoH, poiché la crittografia delle query DNS può eludere tali controlli di sicurezza

Conclusioni

In questo articolo abbiamo parlato di DNSSEC e di DoH:
Provando a tirare le somme, sia DNSSEC che DoH rappresentano importanti sforzi per migliorare la sicurezza e la privacy online, ma entrambi affrontano sfide significative che devono essere affrontate per garantire una protezione efficace delle reti e dei dati degli utenti. (complessità e sicurezza)
Proprio la nostra comprensione delle differenze e dei principi di entrambe le tecnologie ci aiuta a prendere decisioni informate per proteggere le nostre comunicazioni online.

Hai bisogno di rendere la tua rete più sicura?
Richiedi una consulenza