DNS over HTTPS přichází

Do mnoha moderních prohlížečů a také přímo do operačních systémů přichází podpora protokolu DNS over HTTPS. Co to znamená pro firmy, uživatele a jejich bezpečnost?

Jak název napovídá, jedná se zjednodušeně o zavedení překladu běžných doménových jmen na IP adresu (například microsoft.com na 40.113.200.201), díky kterému funguje internet a počítačové sítě, jak je běžně známe, ovšem nyní po zabezpečeném a šifrovaném přenosu, tedy HTTPS.

Na jednu stranu se tato technologie může jevit jako dobrý nápad. Z pohledu bezpečnosti samotných dotazů, které není možné po cestě kompromitovat, možnosti ověřit si server, který na ně odpovídá. Stejně z pohledu ochrany soukromí, neboť jsou dotazy na běžné síti skryté případným narušitelům.

Pokud se ale podíváme na problém z pohledu IT, může to naopak bezpečnost narušit. Co totiž síťová inspekce provozu? Kontrola navštěvovaných stránek uživatelem? Nebo například možnost zamezení úniku informací z prostředí pomocí tohoto protokolu? Už dnes jej útočníci adaptují, protože jsou na tento protokol současná řešení zatím krátká. A vězte, že i právě běžné DNS je často zneužíváno.

Možná si budeme muset počkat na podporu tohoto protokolu ze strany chytrých síťových prvků, možná jej budeme nějakou dobu v operačních systémech a prohlížečích explicitně vypínat, nebo celé toto téma přeskočíme. Třeba díky využití Microsoft Defender ATP na koncovém bodu, který chrání a rozumí síťovému provozu nad tímto protokolem a dokáže zajistit nejen auditní stopu, ale i ochranu a restrikce proti nebezpečnému provozu. Ať se jedná o škodlivé stránky, nebo třeba kategorii webových stránek společností neschválenou.