DoH es un protocolo para realizar la resolución remota del Sistema de Nombres de Dominio (DNS)
La Agencia de Seguridad Nacional de EE. UU. (NSA) dijo el viernes que DNS sobre HTTPS (DoH), si se configura adecuadamente en entornos empresariales, puede ayudar a prevenir "numerosas" técnicas iniciales de acceso, comando y control y exfiltración utilizadas por los actores de amenazas.
"DNS sobre Hypertext Transfer Protocol over Transport Layer Security (HTTPS), a menudo denominado DNS sobre HTTPS (DoH), cifra las solicitudes de DNS mediante HTTPS para proporcionar privacidad, integridad, y autenticación de origen de 'última milla (bucle de abonado)' con el sistema de resolución de DNS de un cliente", según la nueva guía de la NSA.
Propuesto en 2018, DoH es un protocolo para realizar la resolución remota del Sistema de Nombres de Dominio (DNS) a través del protocolo HTTPS.
Una de las principales deficiencias de las búsquedas de DNS actuales es que incluso cuando alguien visita un sitio que utiliza HTTPS, la consulta de DNS y su respuesta se envían a través de una conexión no cifrada, permitiendo así la escucha de terceros en la red para rastrear cada sitio web que visita un usuario.
Peor aún, la configuración está lista para llevar a cabo ataques man-in-the-middle (MiTM) simplemente cambiando las respuestas de DNS para redirigir a los desprevenidos visitantes a un sitio con malware que elija el adversario.
Por lo tanto, al utilizar HTTPS para cifrar los datos entre el cliente de DoH y el solucionador (o resolutor) de DNS basado en DoH, DoH tiene como objetivo aumentar la privacidad y seguridad del usuario al evitar la interceptación y la manipulación de datos de DNS por ataques MiTM.
A tal efecto, la NSA recomienda usar solo resolutores de DNS empresariales designados para lograr la defensa de ciberseguridad deseada, al tiempo que advierte que las aplicaciones de cliente individuales que habilitan DoH utilizando resolutores de DoH de terceros pueden eludir por completo el servicio de DNS empresarial.
Una consecuencia es que "el malware también puede aprovechar DoH para realizar búsquedas de DNS que eluden los solucionadores de DNS empresariales y las herramientas de monitoreo de red, a menudo con fines de comando y control o exfiltración".
La puerta de enlace, que se utiliza para reenviar la consulta a servidores DNS autorizados externos en caso de que el sistema de resolución de DNS empresarial no tenga la respuesta de DNS almacenada en caché, debe diseñarse para bloquear DNS, DoH, y solicitudes de DNS sobre TLS (DoT) a resolutores externos y servidores DNS que no son del resolutor empresarial, agregó la agencia.
DoH no es una panacea
Aunque el Departamento de Salud protege las transacciones de DNS de modificaciones no autorizadas, la NSA advirtió que la tecnología "no es una panacea" y puede traer "una falsa sensación de seguridad".
"DoH no garantiza la protección de los actores de las amenazas cibernéticas y su capacidad para ver a dónde va un cliente en la web", dijo. "DoH está diseñado específicamente para cifrar solo la transacción de DNS entre el cliente y el solucionador, no cualquier otro tráfico que ocurra después de que se satisfaga la consulta".
Además, el cifrado no hace nada para evitar que el proveedor de DNS vea tanto las solicitudes de búsqueda como la dirección IP del cliente que las realiza, lo que socava efectivamente las protecciones de privacidad y posibilita que un proveedor de DNS cree perfiles detallados basados en los hábitos de navegación de los usuarios.
Oblivious DNS-over-HTTPS (ODoH), anunciado el mes pasado por ingenieros de Apple, Cloudflare y Fastly, tiene como objetivo abordar este problema. Evita que el solucionador de DoH sepa qué cliente solicitó qué nombres de dominio omitiendo todas las solicitudes a través de un proxy que separa las direcciones IP de las consultas, "para que ninguna entidad pueda ver ambas al mismo tiempo".
Dicho de otra manera, esto significa que el proxy no conoce el contenido de las consultas y respuestas, y el resolutor no conoce las direcciones IP de los clientes.
En segundo lugar, el uso de DoH tampoco niega la posibilidad de que los resolutores que se comunican con servidores maliciosos en sentido ascendente aún puedan ser susceptibles al envenenamiento de la caché de DNS.
"Las empresas que permiten DoH sin un enfoque estratégico y exhaustivo pueden terminar interfiriendo con las herramientas de monitoreo de red, evitando que detecten actividad de amenazas maliciosas dentro de la red y permitiendo que los actores de amenazas cibernéticas y el malware eludan los resolutores de DNS empresariales designados".