[grnog] The new DNS (DoT/DoH)

[Antonios Chariton (daknob)]

> On 18 Sep 2019, at 23:15, Tassos Chatzithomaoglou <achatz at forthnet.gr> wrote:
> 
> Προσωπικά είμαι εντελώς αντίθετος με τον τρόπο που υλοποιείται στο application level και όχι τόσο με τα πρωτόκολλα τα ίδια.
> Θα περίμενα τουλάχιστον να υπάρχει κάτι σε επίπεδο λειτουργικού συστήματος για το ποιες εφαρμογές (μπορούν να) χρησιμοποιούν DoH/DoT και σε ποιους servers (με δυνατότητα αλλαγής).

Από ο, τι φαίνεται προς τα εκεί μας πάει η Google.. Το DoH / DoT είναι ένα πολύ μικρό μέρος. Το βασικότερο είναι το QUIC. Το νέο TCP.. Παίζει πάνω από UDP, με υποχρεωτικό TLS, και είναι σκόπιμα userland. Τώρα αν ήθελε κανείς να κάνει optimizations στο TCP, και αλλαγές δεν γίνονται. Σε ένα μέλλον που κάθε εφαρμογή θα έχει το δικό της “TCP/IP” stack, θα είναι πολύ πιο εύκολο. Βέβαια από άποψη administration & debugging, εκεί να δεις.. :-) 

Έτσι κι αλλιώς αναμένεται και το DNS over QUIC άλλωστε, οπότε έχει μέλλον η υπόθεση .. 

> Επίσης δεν μπορώ να φανταστώ πόσες τρύπες ανοίγουν για hackers/phishers/botnets/etc. (βλ. https://www.proofpoint.com/us/threat-insight/post/psixbot-continues-evolve-updated-dns-infrastructure)
> Αν μη τι άλλο θα ξαναγίνει και το DPI/MITM της μόδας.

Όσον αφορά το MITM, ευτυχώς τα νέα cryptographic standards είναι σχεδιασμένα για να το αποτρέπουν, και στην χειρότερη να το καταλαβαίνουν. Για το DPI τώρα, δυσκολεύουν τα πράγματα.. Η μόνη λύση εκεί είναι απλή.. Κάνε το οικονομικά ασύμφορο για τον “attacker”: απλά αύξησε την κίνηση σου, μέχρι να μην συμφαίρει για αυτόν το DPI :P Όποιος θέλει να κάνει DPI δεν θα μπορεί, και όποιος δεν θέλει, αλλά δεν θέλει να χαλάσει και την εικόνα του, θα αναγκαστεί λόγω κόστους ;-)

Αντώνης 
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://nogalliance.org/pipermail/grnog-members/attachments/20190919/b86a804d/attachment.html>