'Beheernachtmerrie dreigt door DNS-over-HTTPS'

Een browser zoekt bij het opzetten van een beveiligde HTTPS-verbinding eerst naar het IP-adres van de server waarop de HTTPS-website wordt gehost. Dat IP-adres vindt het door te zoeken in het Domain Name System (DNS), wat de vertaalslag verzorgt van domeinnaam naar cijfermatig adres. Deze communicatie voor het opzetten van een beveiligde verbinding verloopt nu nog via een onversleutelde verbinding (HTTP). Dat onbeveiligde 'begin' betekent dat kwaadwillenden het verzoek kunnen onderscheppen of voor een omleiding kunnen zorgen.

DoH moet de oplossing voor dit 'beveiligingsgebrek' brengen. Dit protocol zorgt ervoor dat het opvragen van een IP-adres - de zogeheten DNS query - ook via een HTTPS-verbinding loopt. Het verzoek kan zo niet langer in openlijk leesbare toestand onderschept worden.

Nachtmerrie voor beheerders

DoH moet dus veiliger zijn, maar volgens beveiligingsexperts is dat niet helemaal het geval, schrijft ZDNet. Voor bijvoorbeeld grootzakelijke organisaties kan het protocol een hoop problemen met zich meebrengen. DoH creëert namelijk een mechanisme waarmee centraal opgezette DNS-instellingen overschreven worden.

DNS-servers die nu in gebruik zijn, ondersteunen namelijk geen DoH-verzoeken. Om dat gemis aan functionaliteit te ondervangen, zijn apps die DoH wél ondersteunen voorzien van een ingebouwde (hardcoded) lijst DoH-servers. Hierdoor wordt het zo beveiligde DNS-verkeer afgescheiden van de reguliere DNS-instellingen die een besturingssysteem van pc's en andere devices. Dezelfde afscheiding kan gelden voor eigen DNS-instellingen voor de netwerkomgeving binnen bedrijven. 

Systeembeheerders moeten hierdoor goed letten op welke DNS-instellingen er zijn voor diverse besturingssystemen, om te voorkomen dat er DNS kapingsaanvallen worden uitgevoerd. Zijn er honderden apps met ieder hun eigen DoH-instellingen, dan wordt het monitoren op dergelijke aanvallen vrijwel onmogelijk.

Gaten in de beveiliging

Een ander probleem met het beter beveiligen van DNS-verkeer door middel van HTTPS draait om de filters die bedrijven instellen om hun werknemers te beschermen. Bedrijven kunnen met DNS-gebaseerde software voorkomen dat gebruikers op websites komen met bijvoorbeeld malware. Die filters werken met DoH echter niet meer, waardoor gebruikers alsnog op dergelijke sites terecht kunnen komen. 

Dergelijke securitytools kunnen door DoH namelijk niet meer zien wat een gebruiker allemaal doet op internet. Omdat het daarbij gebruikte DNS-verkeer versleuteld is, kan een organisatie niet langer data uit een DNS query gebruiken om op te filteren en bepaald verkeer te blokkeren. De hierbij normaliter gebruikte data betreft bijvoorbeeld het soort query, de reactie daarop en het IP-adres waar de DNS-bevraging vandaan komt.

Daardoor is het niet mogelijk om te zien of een gebruiker op een malafide domein komt, of dat hij/zij wordt omgeleid via een legitieme of legitiem lijkende site. Eenzelfde detectieblindheid geldt voor uitgaand verkeer naar aansturingsservers (zogeheten command and control-servers) - die door cybercriminelen worden gebruikt bij diverse hacks. Enkele honderden cybersecurity-oplossingen worden zo nutteloos, waarschuwen experts die zich nu tegen DoH uiten.

'Waardevol en risicovol'

In Nederland heeft ook het cyberbeveiligingsorgaan van de Nederlandse overheid een waarschuwing hierover uit laten gaan. Het Nationaal Cyber Security Centrum (NCSC) stelt in de factsheet 'DNS-monitoring wordt moeilijker' dat nieuwe DNS-transportprotocollen zoals DoH en DoT (DNS-over-TLS) het lastiger maken om DNS-verzoeken in de gaten te houden, of aan te passen. Deze bescherming is waardevol, zo merkt het NCSC op, "omdat netwerken vaak niet te vertrouwen zijn".

Daarbij maakt het Nederlandse beveiligingsorgaan de kanttekening dat dit tegelijkertijd bestaande beveiligingsmaatregelen ineffectief kan maken. Andere risico's van beveiligingstechnieken als DoH zijn dat die interne naamgeving kunnen onthullen, of connectiviteit kunnen onderbreken. "Deze negatieve bijverschijnselen zijn nauwelijks te mitigeren op netwerkniveau. Ze vereisen mitigatie in DNS-infrastructuur en op individuele apparaten", wijst het NCSC op de dreigende beheercomplicaties.

En de privacy dan?

Een voordeel van DoH dat veel wordt aangehaald door voorstanders is dat internetproviders dankzij die DNS-beveiliging niet langer kunnen volgen welke websites mensen bezoeken. Maar dat argument vóór DoH blijkt niet helemaal waar te zijn. Een HTTPS-verbinding bevat volgens experts namelijk ook delen die niet versleuteld zijn, en een provider kan die delen nog altijd uitlezen.

Daarnaast kan een provider zien met welk IP-adres een gebruiker verbinding maakt als een gebruiker een website bezoekt. Dat IP-adres kan niet verborgen worden en zo is nog altijd te achterhalen waar een gebruiker heen surft, werpen de kritische experts tegen.

Toch ook positief advies

De diverse DoH-criticasters geven echter ook positief advies. Zo raadt het SANS Institute - een grote organisatie die cybersecurity-trainingen geeft - aan om voor netwerksecurity over te gaan op oplossingen die niet alleen op DNS-data vertrouwen. Daarbij wijst SANS er op dat hier financiële gevolgen aan zitten en dat het tijd kost om systemen te updaten.

Enkele andere experts zien liever dat een ander protocol dan DoH omarmd wordt: DNS-over-TLS (DoT). Dat protocol is vergelijkbaar met DoH, maar versleutelt de eigenlijke DNS-verbinding. DoH heeft een andere aanpake: het verpakt DNS-verkeer in HTTPS en versleutelt de DNS-verbinding zelf dus niet.

DoT lijdt wel onder enkele van dezelfde nadelen van DoH, maar beveiligingsonderzoekers geven dit alternatieve beveiligingsprotocol toch de voorkeur. Reden is dat DoT werkt bovenop de bestaande DNS-infrastructuur, in tegenstelling tot DoH.