Bəyənmə və bəyənməmə: HTTPS üzərindən DNS

Biz son vaxtlar internet provayderləri və brauzer tərtibatçıları arasında “mübahisə sümüyünə” çevrilən HTTPS üzərindən DNS xüsusiyyətləri ilə bağlı fikirləri təhlil edirik.

/Açıq/ Stiv Halama

Anlaşmazlığın mahiyyəti

Son vaxtlar əsas media и tematik platformalar (Habr daxil olmaqla) tez-tez HTTPS (DoH) protokolu üzərindən DNS haqqında yazırlar. DNS serverinə edilən sorğuları və onlara cavabları şifrələyir. Bu yanaşma istifadəçinin daxil olduğu hostların adlarını gizlətməyə imkan verir. Nəşrlərdən belə nəticəyə gələ bilərik ki, yeni protokol (IETF-də təsdiq etdi 2018-ci ildə) İT icmasını iki düşərgəyə ayırdı.

Yarı yeni protokolun İnternet təhlükəsizliyini yaxşılaşdıracağına inanır və onu öz proqram və xidmətlərində tətbiq edir. Digər yarısı texnologiyanın yalnız sistem administratorlarının işini çətinləşdirdiyinə əmindir. Sonra hər iki tərəfin arqumentlərini təhlil edəcəyik.

DoH necə işləyir

ISP-lərin və digər bazar iştirakçılarının niyə HTTPS üzərindən DNS-in tərəfdarı və ya əleyhinə olduqlarına başlamazdan əvvəl onun necə işlədiyinə qısaca nəzər salaq.

DoH vəziyyətində, IP ünvanını təyin etmək sorğusu HTTPS trafikində əhatə olunur. Daha sonra HTTP serverinə keçir və burada API istifadə edərək işlənir. Budur RFC 8484-dən nümunə sorğu (səhifə 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Beləliklə, DNS trafiki HTTPS trafikində gizlənir. Müştəri və server standart port 443 vasitəsilə əlaqə saxlayır. Nəticədə, domen adı sisteminə sorğular anonim qalır.

Niyə ona üstünlük verilmir?

HTTPS üzərindən DNS əleyhdarları govorятyeni protokol əlaqələrin təhlükəsizliyini azaldacaq. By görə DNS inkişaf komandasının üzvü Paul Vixie, sistem administratorlarının potensial zərərli saytları bloklamasını çətinləşdirəcək. Adi istifadəçilər brauzerlərdə şərti valideyn nəzarəti qurmaq imkanını itirəcəklər.

Paulun fikirləri Böyük Britaniyanın internet provayderləri tərəfindən paylaşılır. Ölkə qanunvericiliyi məcbur edir onları qadağan olunmuş məzmunlu resurslardan bloklayın. Lakin brauzerlərdə DoH dəstəyi trafikin süzülməsi işini çətinləşdirir. Yeni protokolun tənqidçiləri arasında İngiltərədəki Hökumət Kommunikasiya Mərkəzi də var (GCHQ) və İnternet İzləmə Fondu (IWF), bloklanmış resursların reyestrini aparan.

Habré-dəki bloqumuzda:

• ABŞ robocall müharibəsi - kim qalib gəlir və niyə
• Britaniya telekommunikasiya şirkəti abunəçilərə xidmətin dayandırılmasına görə kompensasiya ödəyəcək

Mütəxəssislər qeyd edirlər ki, HTTPS üzərindən DNS kibertəhlükəsizlik təhlükəsinə çevrilə bilər. İyulun əvvəlində Netlab-dan informasiya təhlükəsizliyi mütəxəssisləri aşkar etdi DDoS hücumlarını həyata keçirmək üçün yeni protokoldan istifadə edən ilk virus - Godlua. Zərərli proqram mətn qeydlərini (TXT) əldə etmək və komanda və idarəetmə serverinin URL-lərini çıxarmaq üçün DoH-ə daxil olub.

Şifrələnmiş DoH sorğuları antivirus proqramı tərəfindən tanınmadı. İnformasiya təhlükəsizliyi üzrə mütəxəssislər qorxuGodlua-dan sonra passiv DNS monitorinqi üçün görünməyən digər zərərli proqram gələcək.

Amma hamı buna qarşı deyil

Bloqunda HTTPS üzərindən DNS-in müdafiəsi üçün çıxış etdi APNIC mühəndisi Geoff Houston. Onun sözlərinə görə, yeni protokol son vaxtlar daha çox yayılmış DNS oğurluğu hücumları ilə mübarizə aparmağa kömək edəcək. Bu fakt təsdiqləyir FireEye kibertəhlükəsizlik şirkətinin yanvar hesabatı. Protokolun hazırlanmasına iri İT şirkətləri də dəstək verib.

Ötən ilin əvvəlində DoH Google-da sınaqdan keçirilməyə başladı. Və bir ay əvvəl şirkət təqdim DoH xidmətinin Ümumi Əlçatanlıq versiyası. Google-da ümid, o, şəbəkədəki şəxsi məlumatların təhlükəsizliyini artıracaq və MITM hücumlarından qoruyacaq.

Başqa bir brauzer inkişaf etdiricisi - Mozilla - dəstəkləyir Keçən yaydan bəri HTTPS üzərindən DNS. Eyni zamanda, şirkət İT mühitində yeni texnologiyanı fəal şəkildə təbliğ edir. Bunun üçün İnternet Xidmətləri Provayderləri Assosiasiyası (ISPA) hətta namizəd göstərilib Mozilla İlin İnternet Canisi Mükafatına görə. Cavab olaraq şirkət nümayəndələri qeyd etdi, rabitə operatorlarının köhnəlmiş internet infrastrukturunu təkmilləşdirmək istəməməsindən məyus olanlar.

/Açıq/ TETrebbien

Mozilla-ya dəstək əsas media çıxış etdi və bəzi İnternet provayderləri. Xüsusilə, British Telecom-da düşünməkyeni protokolun məzmunun filtrlənməsinə təsir etməyəcəyini və Böyük Britaniya istifadəçilərinin təhlükəsizliyini artıracağını bildirib. ISPA ictimai təzyiqi altında yada salmaq lazım idi "caddar" nominasiyası.

Bulud provayderləri, məsələn, HTTPS üzərindən DNS-in tətbiqini də müdafiə etdilər Cloudflare. Onlar artıq yeni protokol əsasında DNS xidmətləri təklif edirlər. DoH-ni dəstəkləyən brauzerlərin və müştərilərin tam siyahısı burada mövcuddur Github.

Hər halda iki düşərgənin qarşıdurmasının bitməsindən hələlik danışmaq mümkün deyil. İT mütəxəssisləri proqnozlaşdırırlar ki, əgər HTTPS üzərindən DNS əsas İnternet texnologiyaları yığınının bir hissəsi olmaq niyyətindədirsə, bu, vaxt aparacaq. on ildən artıqdır.

Korporativ bloqumuzda başqa nələr yazırıq:

• İnternet provayder şəbəkəsi necə qurulur
• İnternet provayder şəbəkələrində əsas xidmətlər
• Konvergensiya və birləşmə - bir cihazda birdən çox tapşırıq

Mənbə: www.habr.com