Hou van en nie hou nie: DNS oor HTTPS

Ons ontleed menings rakende die kenmerke van DNS oor HTTPS, wat onlangs 'n "twis" geword het onder internetverskaffers en blaaierontwikkelaars.

/Unsplash/ Steve Halama

Die essensie van die onenigheid

Lately groot media и tematiese platforms (insluitend Habr), skryf hulle dikwels oor die DNS oor HTTPS (DoH) protokol. Dit enkripteer versoeke na die DNS-bediener en antwoorde daarop. Hierdie benadering laat jou toe om die name van die gashere waartoe die gebruiker toegang het, te versteek. Uit die publikasies kan ons aflei dat die nuwe protokol (in die IETF dit goedgekeur het in 2018) het die IT-gemeenskap in twee kampe verdeel.

Die helfte glo dat die nuwe protokol internetsekuriteit sal verbeter en implementeer dit in hul toepassings en dienste. Die ander helfte is oortuig daarvan dat tegnologie die werk van stelseladministrateurs net moeiliker maak. Vervolgens gaan ons die argumente van beide kante ontleed.

Hoe DoH werk

Voordat ons ingaan op hoekom ISP's en ander markdeelnemers vir of teen DNS oor HTTPS is, laat ons kortliks kyk hoe dit werk.

In die geval van DoH, is die versoek om die IP-adres te bepaal ingekapsuleer in HTTPS-verkeer. Dit gaan dan na die HTTP-bediener, waar dit met die API verwerk word. Hier is 'n voorbeeldversoek van RFC 8484 (bladsy 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

DNS-verkeer word dus in HTTPS-verkeer versteek. Die kliënt en bediener kommunikeer oor die standaardpoort 443. Gevolglik bly versoeke aan die domeinnaamstelsel anoniem.

Hoekom word hy nie bevoordeel nie?

Teenstanders van DNS oor HTTPS hulle sêdat die nuwe protokol die sekuriteit van verbindings sal verminder. Deur volgens Paul Vixie, 'n lid van die DNS-ontwikkelingspan, sal dit moeiliker maak vir stelseladministrateurs om potensieel kwaadwillige werwe te blokkeer. Gewone gebruikers sal die vermoë verloor om voorwaardelike ouerkontroles in blaaiers op te stel.

Paul se sienings word deur Britse internetverskaffers gedeel. Landelike wetgewing verplig blokkeer hulle van hulpbronne met verbode inhoud. Maar ondersteuning vir DoH in blaaiers bemoeilik die taak om verkeer te filter. Kritici van die nuwe protokol sluit ook die regeringskommunikasiesentrum in Engeland in (GCHQ) en die Internet Watch Foundation (IWF), wat 'n register van geblokkeerde hulpbronne byhou.

In ons blog oor Habré:

• Amerikaanse robocall-oorlog - wie wen en hoekom
• Britse telekommunikasies sal aan intekenare vergoeding betaal vir diensonderbrekings

Kenners merk op dat DNS oor HTTPS 'n bedreiging vir kuberveiligheid kan word. Aan die begin van Julie het inligtingsekuriteitspesialiste van Netlab ontdek die eerste virus wat die nuwe protokol gebruik het om DDoS-aanvalle uit te voer - Godlua. Die wanware het toegang tot DoH verkry om teksrekords (TXT) te verkry en bevel- en beheerbediener-URL's te onttrek.

Geënkripteerde DoH-versoeke is nie deur antivirusprogrammatuur herken nie. Inligting sekuriteit spesialiste is bangdat na Godlua ander wanware sal kom, onsigbaar vir passiewe DNS-monitering.

Maar nie almal is daarteen nie

Ter verdediging van DNS oor HTTPS op sy blog uitgespreek het APNIC ingenieur Geoff Houston. Volgens hom sal die nuwe protokol dit moontlik maak om DNS-kapingsaanvalle, wat onlangs al hoe meer algemeen geword het, te bekamp. Hierdie feit bevestig Januarie-verslag van die kuberveiligheidsmaatskappy FireEye. Groot IT-maatskappye het ook die ontwikkeling van die protokol ondersteun.

Aan die begin van verlede jaar het DoH begin om by Google getoets te word. En 'n maand gelede die maatskappy aangebied Algemene Beskikbaarheid weergawe van sy DoH diens. Op Google hoop, dat dit die sekuriteit van persoonlike data op die netwerk sal verhoog en teen MITM-aanvalle sal beskerm.

Nog 'n blaaier ontwikkelaar - Mozilla - ondersteun DNS oor HTTPS sedert verlede somer. Terselfdertyd bevorder die maatskappy aktief nuwe tegnologie in die IT-omgewing. Hiervoor, die Internet Services Providers Association (ISPA) selfs genomineer Mozilla vir Internetskurk van die Jaar-toekenning. In reaksie, maatskappy verteenwoordigers opgemerk, wat gefrustreerd is deur die onwilligheid van telekommunikasie-operateurs om hul verouderde internetinfrastruktuur te verbeter.

/Unsplash/ TETrebbien

Ter ondersteuning van Mozilla groot media uitgespreek het en sommige internetverskaffers. In die besonder, by British Telecom oorweegdat die nuwe protokol nie inhoudfiltrering sal beïnvloed nie en die veiligheid van Britse gebruikers sal verbeter. Onder openbare druk ISPA herroep moes word "skurk" nominasie.

Wolkverskaffers het byvoorbeeld ook die bekendstelling van DNS oor HTTPS bepleit Cloudflare. Hulle bied reeds DNS-dienste aan gebaseer op die nuwe protokol. 'n Volledige lys blaaiers en kliënte wat DoH ondersteun, is beskikbaar by GitHub.

Daar kan in elk geval nog nie gepraat word oor die einde van die konfrontasie tussen die twee kampe nie. IT-kundiges voorspel dat as DNS oor HTTPS bestem is om deel van die hoofstroom internettegnologiestapel te word, dit meer as een dekade.

Waaroor skryf ons nog in ons korporatiewe blog:

• Hoe die internetverskaffernetwerk gebou word
• Basiese dienste in internetverskaffernetwerke
• Konvergensie en eenwording - veelvuldige take op een toestel

Bron: will.com