DNS sobre HTTPS Oblivioso (ODoH): un intento de mejorar la privacidad del DNS

El Sistema de Nombres de Dominio o DNS es un sistema de nombres descentralizado para todos los diferentes sitios web que existen en internet. Es uno de los bloques de construcción esenciales de internet y ha estado presente durante más de tres décadas. A lo largo de este período, el sistema ha sido objeto de críticas, con argumentos válidos, sobre la implementación y las preocupaciones de privacidad que conlleva. Y como resultado, ha habido algunos intentos de abordar estas preocupaciones.

Uno de esos intentos —y uno muy reciente— es la introducción del protocolo DNS sobre HTTPS (DoH), que promete asegurar la comunicación DNS al transmitirla de manera encriptada. Si bien DoH parece prometedor en teoría y logra solucionar uno de los problemas con el DNS, inadvertidamente trae otra preocupación a la luz. Para solucionar esto, ahora tenemos otro nuevo protocolo, llamado DNS sobre HTTPS Oblivioso (ODoH), que ha sido co-desarrollado por Cloudflare, Apple y Fastly. El DoH Oblivioso es básicamente una extensión del protocolo DoH que desacopla las consultas DNS de las direcciones IP (del usuario) para evitar que el resolvedor DNS conozca los sitios que visita un usuario — un poco [más sobre esto más adelante].

“Lo que ODoH pretende hacer es separar la información sobre quién está haciendo la consulta y qué es lo que se consulta”, dijo Nick Sullivan, jefe de investigación de Cloudflare, en un blog.

DNS sobre HTTPS Oblivioso (o ODoH)

Antes de entrar de lleno en lo que es ODoH, primero entendamos qué es el DNS, y posteriormente, el DNS sobre HTTPS, y las limitaciones que ambos presentan.

DNS (Sistema de Nombres de Dominio)

El Sistema de Nombres de Dominio o DNS es un sistema descentralizado para mantener registros de todos los sitios web en internet. Puedes pensar en él como un repositorio (o directorio telefónico) para números de teléfono que contiene una lista de suscriptores telefónicos y sus números de teléfono correspondientes.

En términos de internet, el DNS es un jugador crítico en el establecimiento de un sistema que te permite acceder a un sitio web simplemente ingresando su nombre de dominio, sin requerir que recuerdes su dirección IP (Protocolo de Internet) asociada. Debido a esto, puedes ingresar techpp.com en el campo de dirección para ver este sitio sin tener que recordar su dirección IP, que podría verse algo así como 103.24.1.167 [no nuestra IP]. Como puedes ver, es la dirección IP la que se requiere para establecer una conexión entre tu dispositivo y el sitio web que intentas acceder. Pero dado que una dirección IP no es tan fácil de recordar como un nombre de dominio, hay una necesidad de un resolvedor DNS para resolver nombres de dominio en sus direcciones IP asociadas y devolver la página web solicitada.

Problema con el DNS

Aunque el DNS simplifica el acceso a internet, tiene algunas deficiencias — la más grande de las cuales es la falta de privacidad (y seguridad), lo que representa un riesgo para los datos del usuario y los deja expuestos a ser vistos por el ISP o escuchados por algún malintencionado en internet. La razón por la que esto es posible se debe al hecho de que la comunicación DNS (solicitud/query y respuesta) no está encriptada, lo que significa que ocurre en texto plano, y por lo tanto puede ser interceptada por cualquiera en el medio (entre el usuario y el ISP).

DoH (DNS sobre HTTPS)

Como se mencionó inicialmente, se ha introducido el protocolo DNS sobre HTTPS (DoH) para abordar esta preocupación (de seguridad) del DNS. Básicamente, lo que hace el protocolo es, en lugar de permitir que la comunicación DNS — entre el cliente DoH y el resolvedor basado en DoH — ocurra en texto plano, utiliza encriptación para asegurar la comunicación. Al hacerlo, logra asegurar el acceso de los usuarios a internet y reducir los riesgos de ataques de hombre en el medio — hasta cierto punto.

Problema con DoH

Si bien DoH aborda el problema de la comunicación no encriptada a través del DNS, plantea una preocupación de privacidad — sobre poner al proveedor del servicio DNS en control total de tus datos de red. Dado que el proveedor de DNS actúa como un intermediario entre tú y el sitio web que accedes, mantiene un registro de tu dirección IP y los mensajes DNS. De alguna manera, eso plantea dos preocupaciones. Una, deja a una sola entidad con acceso a tus datos de red — permitiendo que el resolvedor vincule todas tus consultas con tu dirección IP, y segundo, debido a la primera preocupación, deja la comunicación propensa a un único punto de fallo (ataque).

Protocolo ODoH y su funcionamiento

El último protocolo, ODoH, co-desarrollado por Cloudflare, Apple y Fastly, tiene como objetivo resolver el problema de centralización con el protocolo DoH. Para esto, Cloudflare sugiere que el nuevo sistema separe las direcciones IP de las consultas DNS para que ninguna entidad, excepto el usuario, pueda ver ambas piezas de información al mismo tiempo.

ODoH aborda este problema implementando dos cambios. Agrega una capa de encriptación de clave pública y un proxy de red entre el cliente (usuario) y el servidor DoH. Al hacerlo, afirma garantizar que solo el usuario tenga acceso tanto a los mensajes DNS como a las direcciones IP al mismo tiempo.

En resumen, ODoH actúa como una extensión del protocolo DoH que busca lograr lo siguiente:

i. prevenir que el resolvedor DoH sepa qué cliente solicitó qué nombres de dominio canalizando las solicitudes a través de un proxy para eliminar las direcciones de los clientes,

ii. prevenir que el proxy conozca el contenido de las consultas y respuestas, y mantener al resolvedor sin conocer las direcciones de los clientes encriptando la conexión en capas.

Flujo de mensajes con ODoH

Para entender el flujo de mensajes con ODoH, considera la figura anterior, donde un servidor proxy se sitúa entre el cliente y el objetivo. Como puedes ver, cuando el cliente solicita una consulta (digamos example.com), la misma va al servidor proxy, que luego la reenvía al objetivo. El objetivo recibe esta consulta, la desencripta y genera una respuesta enviando la solicitud al (recursivo) resolvedor. En su camino de regreso, el objetivo encripta la respuesta y la reenvía al servidor proxy, que luego la envía de vuelta al cliente. Finalmente, el cliente desencripta la respuesta y termina con una respuesta contra su consulta solicitada.

En esta configuración, la comunicación — entre el cliente y el proxy y el proxy y el objetivo — se lleva a cabo a través de HTTPS, lo que añade seguridad a la comunicación. No solo eso, toda la comunicación DNS que tiene lugar a través de ambas conexiones HTTPS — cliente-proxy y proxy-objetivo — está encriptada de extremo a extremo para que el proxy no tenga acceso al contenido del mensaje. Sin embargo, dicho esto, si bien tanto la privacidad del usuario como la seguridad están atendidas en este enfoque, la garantía de que todo funcione como se sugiere se reduce a una condición última: el proxy y el servidor objetivo no coluden. Y por lo tanto, la empresa sugiere que “mientras no haya colusión, un atacante tiene éxito solo si tanto el proxy como el objetivo están comprometidos.”

Según un blog de Cloudflare, esto es lo que garantiza la encriptación y el proxy:

i. El objetivo ve solo la consulta y la dirección IP del proxy.

ii. El proxy no tiene visibilidad sobre los mensajes DNS, sin capacidad para identificar, leer o modificar ya sea la consulta enviada por el cliente o la respuesta devuelta por el objetivo.

iii. Solo el objetivo previsto puede leer el contenido de la consulta y producir una respuesta.

Disponibilidad de ODoH

El DNS sobre HTTPS Oblivioso (ODoH) es solo un protocolo propuesto hasta ahora y necesita ser aprobado por el IETF (Grupo de Trabajo de Ingeniería de Internet) antes de ser adoptado en la web. A pesar de que Cloudflare sugiere que, hasta ahora, ha conseguido empresas como PCCW, SURF y Equinix como sus socios proxy para ayudar con el lanzamiento del protocolo y que ha añadido la capacidad de aceptar solicitudes ODoH en su servicio DNS 1.1.1.1, la verdad es que, a menos que los navegadores web añadan soporte nativo para el protocolo, no puedes usarlo. Porque el protocolo aún está en fase de desarrollo y se está probando para rendimiento a través de diferentes proxies, niveles de latencia y objetivos. Por esta razón, puede que no sea una buena idea arbitrar el destino de ODoH de inmediato.

Basado en la información y datos disponibles, el protocolo parece prometedor para el futuro del DNS — siempre que logre alcanzar el tipo de privacidad que promete sin comprometer el rendimiento. Dado que es muy evidente hasta ahora que el DNS, responsable de jugar un papel crítico en el funcionamiento de internet, aún sufre de problemas de privacidad y seguridad. Y a pesar de la reciente adición del protocolo DoH que promete añadir al aspecto de seguridad del DNS, la adopción aún parece lejana debido a las preocupaciones de privacidad que plantea.

Pero, si ODoH logra cumplir con sus afirmaciones en términos de privacidad y rendimiento, su combinación con DoH, mientras trabaja en conjunto, puede abordar tanto las preocupaciones de privacidad como de seguridad del DNS. Y a su vez, hacerlo mucho más privado y seguro de lo que es hoy.