.png){kind=avatar}
Het DNS-protocol werd lang geleden ontwikkeld en in die tijd maakte beveiliging geen deel uit van het proces. Tegenwoordig is beveiliging echter een groot probleem en ontwikkelaars herontwerpen oude protocollen, om er meer beveiliging aan toe te voegen. Voor DNS worden twee verschillende benaderingen voorgesteld: DNS via TLS en DNS via HTTPS. Laten we dieper op deze twee voorstellen ingaan...
Toen DNS-protocol werd ontworpen, in 1983, was er geen sprake van beveiliging. Het werd op dat moment ontwikkeld om verzoeken in klare tekst te gebruiken door middel van TCP/UDP-protocollen. In de huidige realiteit moet echter rekening worden gehouden met beveiliging, die overal waar mogelijk moet worden geïmplementeerd. DNS-verzoeken, die worden gebruikt door iedereen die surft op het internet, kunnen door kwaadwillende gebruikers worden gewijzigd met DNS-kaping of Man In The Middle-aanvallen en leiden tot het verzamelen van gevoelige gegevens en het omleiden van websites...
Op basis van bovengenoemde elementen, vonden onderzoekers een oplossing (DNSSEC) om deze problemen te verminderen. DNSSEC is een beveiligingsprotocol in de vorm van het digitaal ondertekenen van gegevens, om zodanig de geldigheid ervan te helpen waarborgen en te beschermen tegen aanvallen. Toch was deze oplossing nog niet helemaal bevredigend en zijn er andere oplossingen ontwikkeld. DNS via TLS en DNS via HTTPS.
Wat zijn de verschillen?
Beide bovengenoemde standaarden versleutelen DNS-verzoeken, maar:
- DNS via TLS gebruikt TCP-protocol om de verbinding tot stand te brengen en TCP-poort 853, een speciaal voor dit doel aangepaste poort. DNS-pakketten worden niet gewijzigd, ze worden met het TLS-protocol versleuteld, voordat ze worden verzonden.
- DNS via HTTPS gebruikt HTTPS-protocol om de verbinding tot stand te brengen en TCP-poort 443, een standaardpoort. DNS-gegevens worden ingekapseld in HTTP-pakketten, die met het TLS-protocol worden ingekapseld, voordat ze worden verzonden.
Welke implementeren?
Het is op dit moment moeilijk om op deze vraag een juist antwoord te geven, omdat elk bedrijf, of zelfs elke IT-beveiligingsprofessional, hier een eigen mening over zal hebben. Bovendien bevinden deze twee protocollen zich nog steeds in de testfase. Hier zijn echter al enkele feiten die we kunnen vaststellen:
- DOT maakt gebruik van een speciale poort, die op sommige netwerken kan worden geblokkeerd. Enerzijds is dit goed, omdat we beveiligde DNS in bedrijfsnetwerken kunnen beheren, zoals we nu doen met onbeveiligd DNS-verkeer. Aan de andere kant kan beveiligd DNS-verkeer op sommige netwerken worden geblokkeerd, waardoor gebruikers geen toegang hebben tot webbronnen.
- DOH gebruikt HTTPS voor zowel DNS- als webverkeer. In dat geval zou het veel uitdagender zijn om DNS-verkeer te blokkeren zonder de webervaring van gebruikers te beïnvloeden.
Op dit moment weten we nog niet welke van de twee over de hele wereld zal worden geïmplementeerd, maar houd er rekening mee, dat er de komende maanden op DNS-niveau zeker wijzigingen zullen plaatsvinden.
