- Liittynyt
- 07.07.2019
- Viestejä
- 1 402
Satuin juttelemaan tästä DNSSEC / DNS / DoH / DoT asiasta täällä toisaalla tietoturva aiheisessa langassa.
Niin tuli vaan mieleen, että tämä lanka olisi paljon oikeampi paikka.
Samalla itsekseni totesin, että tuo selaimem DoH / DoT tuki muuten voi rikkoa jotain järjestelmiä, koska DNS kyselyihin ei tule enää odotettuja vastauksia. mm. DNS tietueet jotka on konfiguroitu vain organisaation sisäiseen DNS proxyyn.
Toisaalta, mikään ei estä ajamasta organisaation sisäistä DNS proxyä DoH / DoT protokollatuella, sekä sisäisesti, että ulkoisesti. Sehän tuossa onkin kätevää, että kun laittaa organisaation DNS proxyn käyttämään DoH / DoT:ia, niin silloin kyselyt menee eteenpäin salattuna, eikä konfiguraatiota tarvitse tehdä kuin yhteen koneeseen tai kahteen, jos haluaa hieman redundanssia.
Samalla oli tapetilla tuo että DNSSEC recordit voi tietysti validoida paikallisesti. Jos DNS resolveri koittaakin väärentää niitä välissä, vaikka DoH / DoT:nkin yli, niin silloinkin tuo paikallinen DNSSEC validoindi hylkää ne.
Viimeisenä kysymyksenä tästä DoH / DoT tuesta tulee se, että mikä on uhka mitä vastaan sillä oikeasti suojaudutaan. Millaistan uhkamallinnusta vastaan tarve on todettu? Aika samanlainen kysymys kuin se, että ratkaiseeko VPN netin tietoturvaongelmat.
Niin tuli vaan mieleen, että tämä lanka olisi paljon oikeampi paikka.
Samalla itsekseni totesin, että tuo selaimem DoH / DoT tuki muuten voi rikkoa jotain järjestelmiä, koska DNS kyselyihin ei tule enää odotettuja vastauksia. mm. DNS tietueet jotka on konfiguroitu vain organisaation sisäiseen DNS proxyyn.
Toisaalta, mikään ei estä ajamasta organisaation sisäistä DNS proxyä DoH / DoT protokollatuella, sekä sisäisesti, että ulkoisesti. Sehän tuossa onkin kätevää, että kun laittaa organisaation DNS proxyn käyttämään DoH / DoT:ia, niin silloin kyselyt menee eteenpäin salattuna, eikä konfiguraatiota tarvitse tehdä kuin yhteen koneeseen tai kahteen, jos haluaa hieman redundanssia.
Samalla oli tapetilla tuo että DNSSEC recordit voi tietysti validoida paikallisesti. Jos DNS resolveri koittaakin väärentää niitä välissä, vaikka DoH / DoT:nkin yli, niin silloinkin tuo paikallinen DNSSEC validoindi hylkää ne.
Viimeisenä kysymyksenä tästä DoH / DoT tuesta tulee se, että mikä on uhka mitä vastaan sillä oikeasti suojaudutaan. Millaistan uhkamallinnusta vastaan tarve on todettu? Aika samanlainen kysymys kuin se, että ratkaiseeko VPN netin tietoturvaongelmat.