Press "Enter" to skip to content

DNS over HTTPS (DoH) sikkerhedsproblem

Standard DNS trafik er ukrypteret og ofte anvendt sårbarhede ved udnyttelse af en man-in-the-middle sårbarhed. For at bekæmpe dette, gik de store browser-udviklere i gang med at finde på løsninger på denne sikkerheds udfordring. Mozilla var først på markedet med DNS-over-HTTPS (DoH) som de meget snart vil have enablet default, når deres browser installeres.

Hvis jeg kort skal forklare hvad DNS-over-HTTPS (DoH) er; så afvikles DNS foresprøgselen over HTTPS, der derved sikre det er TLS kryptering’s protokollen. Det betyder at det kun er browser sessionen der ved hvilket domæne der requestes.

Problem:

  • Hvis du kører split-brain DNS internt, vil den resolve til den offentlige IP, da det kun er eksterne DNS server der resolver.
  • Har du blokeret for sites som FaceBook/Netflix/Dropbox via. DNS, så virker det ikke længere, da de spørger eksternt.
  • Logger du trafik i din firewall/router kræver det reverse-dns opslag for at se hvor trafikken router til.

Anbefaling:
Indtil videre vil min anbefaling til erhverv være at formulere en strategi for sikker DNS (Cisco Umbrella er et godt produkt) og efterfølgende disable muligheden for at brugerne selv enabler DNS over HTTPS (DoH).

Sådan ser i om DNS over HTTPS (DoH) er enablet på klienten.

Google Chrome:
Dette er tilføjet start-genvejen:

--enable-features="dns-over-https<DoHTrial" --force-fieldtrials="DoHTrial/Group1" --force-fieldtrial-params="DoHTrial.Group1:server/https%3A%2F%2F1.1.1.1%2Fdns-query/method/POST

Google Chrome DoH

Mozilla Firefox
Under: Tools -> Preferences -> General -> Network Settings -> Tryk Settings
firefox doh