[grnog] The new DNS (DoT/DoH)

Wed Sep 18 12:37:09 CEST 2019

ΣΤο παρακάτω draft παρουσιάζονται αναλυτικά οι (περισσότερες) συνέπειες για τα
operator networks.

    https://tools.ietf.org/html/draft-reid-doh-operator-00

Αν ενδιαφέρεστε για το πως βλέπει το θέμα o  Paul Vixie (φαντάζομαι τον ξέρετε)

    https://www.icann.org/sites/default/files/packages/ids-2019/09-vixie-2019-05-benefits-and-hazards-of-non-local-dns-11may19-en.pdf
    https://mailarchive.ietf.org/arch/msg/dnsop/6M0aDlmv9iUaKX_8tI_jZW1-roo

Και αν θέλετε και μια πιο ουδέτερη άποψη, διαβάστε το

    http://www.circleid.com/posts/20190723_recalibrating_the_doh_debate

Συνοπτικά, η άποψή μου είναι ότι το θέμα είναι περισσότερο πολιτικό παρά
τεχνικό. Και όπως λέει και o Vixie, το αποτέλεσμα μπορεί να είναι είναι το
εντελώς αντίθετο απο τις (δημόσια αναφερόμενες) προθέσεις αυτών που
"σπρώχνουν" το DoH.

Σε ενα working group της DT που συμμετέχω, εχουμε προτείνει να προστεθεί
κάποιος μηχανισμός που θα ελέγχει αν ο provider-supplied DNS υποστηρίζει DoH
(or DoT) και τότε να χρησιμοποιεί αυτόν πριν πάει σε άλλα options που κάνουn
break διάφορα πράγματα.

Αυτή τη στιγμή, το Mozilla δεν κάνει αυτό που λέει ο Αντώνης (έχει μόνο αυτό
το "binary" on/off που εστειλε ο Δημήτρης, που μάλλον το πρόσθεσαν πρόσφατα
μετά την κατακραυγή που φάγανε:
https://itsfoss.com/mozilla-internet-villain/), ενώ το Chrome κανει κατι κοντά
σε αυτό που θέλουμε (αν και αυτό μπορεί να αλλάξει silently με κάποιο update).

Επίσης, με το DoH η αλλαγή δεν περιορίζεται μόνο στους browers: Οποιοδηποτε 
application (πχ το facebook, τα web banking apps κλπ) μπορεί να χρησιμοποιεί
τον DNS που γουστάρει, το οποίο ανάλογα με την περιπτωση μπορεί να είναι
θετικό ή αρνητικό.

On 9/18/19 11:32 AM, Dimitris Kalogeras wrote:
> Στις 2019-09-18 10:38, Antonios Chariton (daknob) έγραψε:
>> Καλημέρα σας,
>> Στέλνω εδώ αυτήν την ενδιαφέρουσα
>> παρουσίαση: https://www.youtube.com/watch?v=pjin3nv8jAo
>> από το NLNOG, πάνω στο “νέο” DNS, και πιο
>> συγκεκριμένα το DNS over TLS (DoT), και DNS over
>> HTTPS (DoH). Πιστεύω θα ήταν ενδιαφέρον να
>> δούμε κατά πόσο οι resolvers των ελληνικών
>> παρόχων είναι έτοιμοι και το
>> υποστηρίζουν. Τους επόμενους μήνες
>> (και ήδη γίνεται από κάποιους), οι
>> συσκευές (Firefox, Chrome, Android, …) θα ελέγχουν
>> για υποστήριξη DoT στον DHCP / ISP resolver, και
>> εφ’ όσων δεν υπάρχει, θα
>> χρησιμοποιούν αποκλειστικά τους 1.1.1.1 /
>> 8.8.8.8. Ίσως θα ήταν μια καλή στιγμή, να
>> αρχίσει να σχεδιάζεται κάποιο roll out,
>> για να μην στέλνονται όλα τα DNS queries σε
>> εταιρίες στις ΗΠΑ.. :-)
>>
> Εναλλακτικά από το blog της mozzila ... 
> https://support.mozilla.org/en-US/kb/configuring-networks-disable-dns-over-https
>   Network administrators may configure their networks as follows to 
> signal that their local DNS resolver implemented special features that 
> make the network unsuitable for DoH:
>
> DNS queries for the A and AAAA records for the domain 
> "use-application-dns.net" must respond with NXDOMAIN rather than the IP 
> address retrieved from the authoritative nameserver.
>
> Διαβάστε όλο το κείμενο στο :
>
> Αρα μπορείς κάποιος να χρησιμοποιήσει το use-application-dns.net να 
> απαντάει NXDOMAIN εάν χρειάζεται κάποιος να "χειρίζεται"
> το DoH.
>
> Χαιρετισμούς
> Δημήτρης
>> Προσωπικά κατάφερα να μετατρέψω
>> σχετικά εύκολα τους δικούς μου resolvers
>> σε DoT, βάζοντας μπροστά το DNSDist, απλά
>> δεν μπόρεσα να εκδόσω TLS Certificate για
>> αυτούς, καθώς για να εκδοθεί για IP Address
>> πρέπει να είναι Organization Validation (OV), το
>> οποίο μπορεί να εκδοθεί μόνο σε
>> στοιχεία οργανισμού, και όχι φυσικού
>> προσώπου. Οπότε χρησιμοποιώ ένα με domain
>> name, το οποίο προς το παρόν φαίνεται να
>> δέχονται οι συσκευές.
>> Για το DoH δεν έχω ασχοληθεί ακόμη, αλλά
>> θα είναι φαντάζομαι επίσης κάτι
>> αντίστοιχο. Όσον αφορά τα TLS Session IDs που
>> μειώνουν το latency, λόγω χαμηλού latency στο
>> δίκτυο δεν παρατήρησα διαφορά, είτε με
>> αυτά ενεργά, είτε με αυτά ανενεργά,
>> αλλά φαντάζομαι σε έναν ISP που μπορεί
>> να έχει 10-20 ms από κάποιες συνδέσεις με
>> τους DNS του θα είναι ίσως απαραίτητα.
>>
>> Υπάρχει κάποιος DNS resolver αυτήν την
>> στιγμή που να υποστηρίζει ήδη τα
>> παραπάνω πρωτόκολλα; Θα ήταν
>> ενδιαφέρον να δούμε ίσως το πως
>> υλοποιήθηκε εκεί, είτε σε αυτό το thread,
>> είτε ως παρουσίαση στο επόμενο GRNOG :-)
>>
>> Αντώνης

-- 
Achilles P. Voliotis                          Phone:  +30-210-{6335738,6116295}
OTE Hellenic Communications Organization      Mobile: +30-6977711013
Deputy director Fixed/Mobile Engineering      e-mail: achilles at otenet.gr

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://nogalliance.org/pipermail/grnog-members/attachments/20190918/fd247229/attachment.html>