1 votes

Peter avatar

Comment DNS-over-HTTPS (DoH) fonctionne-t-il à travers un proxy HTTP ?

Demandé el 17 de Décembre, 2019
Quand la question a-t-elle été
1755 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Ouvert
Situation réelle de la question

Plusieurs articles comme celui-ci prétendent que le DoH contourne les politiques de l'entreprise.

Cependant, dans le cas d'un proxy HTTP, toute requête web sera envoyée au proxy par la méthode HTTP CONNECT. La résolution DNS est effectuée par le serveur proxy et non par l'ordinateur personnel qui envoie l'URI complet dans la méthode CONNECT.

En quoi le DoH est-il une préoccupation pour les entreprises dans ce cas ?

Demandé el 17 de Décembre, 2019 par Peter

Réponses

Trop de publicités?

0voto

scuba_mike avatar
scuba_mike Points 358

En général, lorsqu'un proxy est mis en place, les navigateurs et autres dispositifs internet sont configurés pour aller d'abord vers le proxy, puis sortir.

Par exemple, disons que vous avez un LAN avec des adresses IP 192.168.1.0/24 où vous avez un proxy assis sur 192.168.1.2 .

Votre proxy est configuré de telle sorte que le trafic doit d'abord être négocié sur le proxy avant d'atteindre la passerelle. Dans un environnement non DoH, votre communication pourrait ressembler à ceci :

  1. Votre navigateur demande : "Quelle est l'adresse IP de stackoverflow.com ?"
  2. Le serveur DNS de votre réseau dit "C'est 192.168.1.2 "
  3. Votre navigateur envoie alors la requête au proxy
  4. Le proxy va ensuite demander au FAI "Quelle est l'adresse IP de stackoverflow.com ?".
  5. Une fois qu'il a l'adresse IP réelle, il négocie le trafic entre vous et stackoverflow, en faisant ce que font les proxies.

Avec DoH, c'est un peu différent. Si DoH est activé et que vous utilisez Cloudflare comme fournisseur de DoH :

  1. Votre navigateur demande "Quelle est l'adresse IP de cloudflare.com ?".
  2. Votre serveur DNS répondra 192.168.1.2 et négociera ensuite le trafic entre vous et cloudflare.
  3. Votre navigateur demande "Quelle est l'adresse IP de stackoverflow.com ?".
  4. Lorsque Cloudflare répondra avec l'adresse IP, votre navigateur fera l'une des deux choses suivantes : A) il tentera de se connecter directement avec l'adresse IP de Cloudflare, qui peut ne pas être routable depuis votre réseau interne. B) il contournera complètement le proxy, qui a été installé pour protéger le réseau interne des sites Web malveillants.

Les entreprises peuvent avoir des raisons légitimes de ne pas laisser les appareils traverser le proxy, la gestion du contenu étant l'une d'entre elles. Gardez à l'esprit que les entreprises peuvent activer DoH à la périphérie de leur réseau afin que ces requêtes soient cryptées. Mais elles veulent toujours contrôler le trafic à l'intérieur de leur réseau, c'est pourquoi l'activation de DoH au niveau des appareils/utilisateurs n'est pas idéale.

Répondu el 17 de Décembre, 2019 par scuba_mike (358 Points )

1 votes

Avatar de TJJ

Je ne pense pas que cela fonctionne ainsi avec la méthode CONNECT pour un proxy HTTP. Je ne suis pas sûr que DoH puisse fonctionner dans cette configuration, car le DNS n'est pas effectué par l'ordinateur, mais par le serveur proxy. Je ne sais pas si la méthode CONNECT accepte les adresses IP au lieu des noms d'hôtes.

Commenté el 6 de Mai, 2020 par TJJ

-1voto

Final12345 avatar
Final12345 Points 1

DoH ne peut absolument pas fonctionner via un proxy, car le protocole proxy HTTP(S) n'est pas conçu pour la résolution de noms du côté client.

Un "proxy" est un agent de transfert de messages pour HTTP (RFC 7230). Il ne fait que transmettre les messages HTTP de demande et de réponse entre l'agent utilisateur et le serveur.

Répondu el 25 de Septembre, 2020 par Final12345 (1 Points )

0 votes

Avatar de Phillip -Zyan K Lee- Stockmann

Pouvez-vous ajouter des sources et des citations à votre déclaration ? Tout RfC ou documentation officielle serait utile pour valider votre réponse.

Commenté el 25 de Septembre, 2020 par Phillip -Zyan K Lee- Stockmann

0 votes

Avatar de Final12345

@Phillip ok, merci, ajouté.

Commenté el 30 de Septembre, 2020 par Final12345

1 votes

Avatar de dmitry_vk

Si vous affirmez que "http n'est pas conçu pour la résolution de noms", je me demande si vous avez compris ce qu'est DoH.

Commenté el 7 de Mars, 2021 par dmitry_vk

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X