"Кахае і не кахае": DNS over HTTPS

Разбіраны меркаванні адносна асаблівасцяў працы DNS over HTTPS, якія за апошні час сталі "яблыкам разладу" сярод інтэрнэт-правайдэраў і распрацоўшчыкаў браўзэраў.

/ Unsplash / Steve Halama

Сутнасць рознагалоссяў

У апошні час буйныя СМІ и тэматычныя пляцоўкі (у тым ліку Хабр), часта пішуць аб пратаколе DNS over HTTPS (DoH). Ён шыфруе запыты да DNS-серверу і адказы на іх. Такі падыход дазваляе схаваць імёны хастоў, да якіх звяртаецца карыстач. З публікацый можна зрабіць выснову, што новы пратакол (у IETF адобрылі яго у 2018 годзе) падзяліў ІТ-супольнасць на два лагеры.

Палова лічыць, што новы пратакол павысіць бяспеку інтэрнэту, і ўкараняе яго ў свае прыкладанні і сэрвісы. Іншая палова пераканана, што тэхналогія толькі ўскладняе працу сістэмных адміністратараў. Далей, разбяром аргументы абодвух бакоў.

Як працуе DoH

Перш чым перайсці да размовы аб тым, чаму інтэрнэт-правайдэры і іншыя ўдзельнікі рынку выступаюць за або супраць DNS over HTTPS, коратка разбяром прынцыпы яго працы.

У выпадку DoH запыт на вызначэнне IP-адрасы інкапсулюецца ў HTTPS-трафік. Затым ён ідзе HTTP-серверу, дзе апрацоўваецца пры дапамозе API. Вось прыклад запыту з RFC 8484 (стр.6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Такім чынам, DNS-трафік утоены ў трафіку HTTPS. Кліент і сервер маюць зносіны па стандартным порце 443. У выніку запыты да сістэмы даменных імёнаў застаюцца ананімнымі.

Чаму яго не шануюць

Праціўнікі DNS over HTTPS кажуць, Што новы пратакол знізіць бяспеку падлучэнняў. Па слоў Падлогі Віксі (Paul Vixie), чальца каманды распрацоўнікаў DNS, сісадмінам будзе складаней блакаваць патэнцыйна шкоднасныя сайты. Шараговыя карыстачы пры гэтым страцяць магчымасць наладзіць умоўны бацькоўскі кантроль у браўзэрах.

Меркаванне Пола падзяляюць інтэрнэт-правайдэры Вялікабрытаніі. Заканадаўства краіны абавязвае іх блакаваць рэсурсы з забароненым кантэнтам. Але падтрымка DoH у браўзэрах ускладняе задачу па фільтраванні трафіку. Сярод крытыкаў новага пратакола таксама значацца Цэнтр урадавай сувязі Англіі (ЦПС) і фонд Internet Watch Foundation (IWF), які вядзе рэестр заблакаваных рэсурсаў.

У нашым блогу на Хабры:

• Вайна з роба-званкамі ў ЗША - хто перамагае і чаму
• Брытанскія тэлекомы будуць выплачваць абанентам кампенсацыю за разрывы сувязі

Эксперты адзначаюць, што DNS over HTTPS можа стаць пагрозай для кібербяспекі. У пачатку ліпеня ИБ-адмыслоўцы з Netlab выявілі першы вірус, які выкарыстаў новы пратакол для правядзення DDoS-атак Godlua. Зловред звяртаўся да DoH для атрымання тэкставых запісаў (TXT) і вымання URL-адрасоў кіравальных сервераў.

Зашыфраваныя DoH-запыты не распазнаваліся антывірусным праграмным забеспячэннем. ИБ-спецыялісты асцерагаюцца, Што пасля Godlua прыйдуць іншыя шкоднасы, нябачныя для пасіўнага маніторынгу DNS.

Але не ўсё супраць

У абарону DNS over HTTPS у сваім блогу выказаўся інжынер з APNIC Джэф Х'юстан (Geoff Houston). Паводле яго слоў, новы пратакол дазволіць змагацца з атакамі DNS hijacking, якія ў апошні час становяцца ўсё больш распаўсюджанымі. Гэты факт пацвярджае студзеньская справаздача ИБ-кампаніі FireEye. Распрацоўку пратакола падтрымалі і буйныя ІТ-кампаніі.

Яшчэ ў пачатку мінулага гады DoH сталі тэставаць у Google. І месяц таму кампанія прадставіла General Availability - версію свайго DoH-сэрвісу. У Google спадзяюцца, Што ён павысіць бяспеку персанальных дадзеных у сетцы і абароніць ад MITM-нападаў.

Іншы распрацоўшчык браўзэраў - Mozilla - падтрымлівае DNS over HTTPS з лета мінулага гады. Пры гэтым кампанія актыўна прасоўвае новую тэхналогію ў ІТ-асяроддзі. За гэта асацыяцыя правайдэраў Internet Services Providers Association (ISPA) нават намінавала Mozilla на прэмію "інтэрнэт-злыдзень года". У адказ прадстаўнікі кампаніі адзначылі, што расчараваныя нежаданнем аператараў сувязі ўдасканальваць састарэлую інтэрнет-інфраструктуру.

/ Unsplash / TETrebbien

У падтрымку Mozilla выказаліся буйныя СМІ і некаторыя інтэрнэт-правайдэры. У прыватнасці, у British Telecom лічаць, Што новы пратакол не паўплывае на фільтраванне кантэнту і павысіць бяспеку брытанскіх карыстальнікаў. Пад ціскам грамадскасці ISPA прыйшлося адклікаць «зладзейскую» намінацыю.

Таксама за ўкараненне DNS over HTTPS выступілі хмарныя правайдэры, напрыклад Cloudflare. Яны ўжо прапануюць DNS-сэрвісы на базе новага пратакола. Поўны спіс браўзэраў і кліентаў з падтрымкай DoH ёсць на GitHub.

У любым выпадку казаць аб канчатку супрацьстаяння двух лагераў пакуль не прыходзіцца. ІТ-адмыслоўцы прагназуюць, што калі DNS over HTTPS усё ж наканавана стаць часткай масавага стэка інтэрнэт-тэхналогій, на гэта сыдзе не адно дзесяцігоддзе.

Пра што яшчэ мы пішам у нашым карпаратыўным блогу:

• Як пабудавана сетка інтэрнэт-правайдэра
• Асноўныя сэрвісы ў сетках інтэрнэт-правайдэра
• Канвергенцыя і ўніфікацыя - некалькі задач на адным прыладзе

Крыніца: habr.com