LMi-MAG 8 Juillet 2021 - Flipbook - Page 61
les requêtes DNS. Cela peut être particulièrement utile
lorsque les professionnels de la sécurité veulent bloquer
le trafic DNS malveillant et les indicateurs de compromission (IOC) de leur réseau. DoH offre une plus grande
confidentialité pour l’utilisateur final, car les requêtes
DNS de l’utilisateur sont désormais mélangées à d’autres
trafics HTTPS, et l’administrateur réseau ne peut plus
vérifier quels domaines sont résolus ou quelles réponses
DNS sont renvoyées. Malheureusement, cela signifie
également qu’il est beaucoup plus difficile pour les administrateurs de réseau de bloquer DoH sans affecter les
communications professionnelles légitimes.
d’une solution de contournement telle qu’un proxy MitM
d’entreprise annule de nombreuses protections offertes
par le DoH en matière de confidentialité et de vie privée.
Par conséquent, l’utilisation de n’importe quel protocole
DNS, qu’il s’agisse de DoT ou de DoH, dépend des besoins
de votre organisation et de ce qui constitue un compromis acceptable entre la confidentialité des utilisateurs et
une surveillance raisonnable du réseau.
Par exemple, les pare-feux d’entreprise peuvent facilement être configurés pour ajouter une politique qui
filtre universellement le trafic circulant sur le port 853
(pour bloquer DoT), mais le filtrage du port 443 (pour
DoH) n’est tout simplement pas une option pratique car
il bloquerait la plupart du trafic Web légitime. Autre
point à noter, DoT est un peu plus léger car il vit sur la
couche transport, alors que DoH a HTTPS vivant sur la
couche application. Le nombre réduit de couches impliquées se traduit forcément par une taille plus petite des
paquets DoT et peut-être un petit gain de performance
(latence plus faible) par rapport à DoH.
DNS sur Tor, DNS sur Telegram
ou DNS sur e-mail
La bataille ne s’arrête pas à DoT contre DoH. D’autres
développements dans l’espace par des sociétés d’infrastructure réseau comme Cloudflare ont également
étendu la suite DNS pour inclure de nouveaux protocoles
« amusants », tels que DNS sur Twitter, DNS sur Tor, DNS
sur Telegram ou DNS sur e-mail. Cloudflare propose
un service Onion qui permet aux visiteurs des sites de
ses clients d’utiliser le réseau Tor. Le résolveur 1.1.1.1 de
Cloudflare prend en charge à la fois DoH et DoT, et est disponible via son service Onion. « Nous l’appelons DNS over
Tor. Nous exploitons également un Twitterbot qui écoute
les tweets spécifiquement formatés vers @1111Resolver,
les convertit en requêtes DNS, résout les requêtes avec
1.1.1.1, et renvoie le résultat par tweets », explique Nick
Sullivan, responsable de la recherche chez Cloudflare.
Les nouveaux protocoles, dont beaucoup utilisent des
canaux cryptés tels que HTTPS ou SOCKS (Tor), offrent
des options à l’utilisateur final mais pourraient poser
davantage de problèmes aux professionnels de la sécurité lorsqu’il s’agit de filtrer le trafic. Par exemple, le
blocage des DNS sur Twitter pourrait signifier le blocage
total de Twitter, à moins qu’une solution de contournement plus sophistiquée ne soit adoptée. Mais l’utilisation
DoT chiffre les requêtes DNS sur le protocole TLS
(au niveau de la couche transport).
APPROFONDIR
ÉCOUTER EN LIGNE
Podcast
cutt.ly/podcast-DoH-DoT-DNS
LIRE EN LIGNE
Article
cutt.ly/article-DoH-DoT-DNS
61