Харесвания и нехаресвания: DNS през HTTPS

Ние анализираме мнения относно функциите на DNS през HTTPS, които напоследък се превърнаха в „ябълка на раздора“ сред интернет доставчиците и разработчиците на браузъри.

/Изпръскване/ Стив Халама

Същността на несъгласието

Напоследък големи медии и тематични платформи (включително Habr), те често пишат за протокола DNS през HTTPS (DoH). Той криптира заявките към DNS сървъра и отговорите към тях. Този подход ви позволява да скриете имената на хостовете, до които потребителят има достъп. От публикациите можем да заключим, че новият протокол (в IETF одобри го през 2018 г.) раздели ИТ общността на два лагера.

Половината смятат, че новият протокол ще подобри интернет сигурността и го внедряват в своите приложения и услуги. Другата половина е убедена, че технологиите само затрудняват работата на системните администратори. След това ще анализираме аргументите на двете страни.

Как работи DoH

Преди да разберем защо интернет доставчиците и другите участници на пазара са за или против DNS през HTTPS, нека накратко да разгледаме как работи.

В случай на DoH, заявката за определяне на IP адреса е капсулирана в HTTPS трафик. След това отива на HTTP сървъра, където се обработва с помощта на API. Ето примерна заявка от RFC 8484 (страница 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

По този начин DNS трафикът е скрит в HTTPS трафика. Клиентът и сървърът комуникират през стандартния порт 443. В резултат на това заявките към системата за имена на домейни остават анонимни.

Защо не е фаворизиран?

Противници на DNS през HTTPS говорятче новият протокол ще намали сигурността на връзките. от според Пол Викси, член на екипа за разработка на DNS, ще затрудни системните администратори да блокират потенциално злонамерени сайтове. Обикновените потребители ще загубят възможността да настройват условен родителски контрол в браузърите.

Мненията на Пол се споделят от британските интернет доставчици. Държавно законодателство задължава блокирайте ги от ресурси със забранено съдържание. Но поддръжката на DoH в браузърите усложнява задачата за филтриране на трафика. Критиците на новия протокол включват и Центъра за правителствени комуникации в Англия (GCHQ) и фондация Internet Watch (IWF), който поддържа регистър на блокираните ресурси.

В нашия блог на Habré:

• Войната за автоматични разговори в САЩ – кой печели и защо
• Британските телекоми ще плащат на абонатите компенсации за прекъсване на услугата

Експертите отбелязват, че DNS през HTTPS може да се превърне в заплаха за киберсигурността. В началото на юли специалистите по информационна сигурност от Netlab открити първият вирус, който използва новия протокол за извършване на DDoS атаки - Годлуа. Зловредният софтуер е получил достъп до DoH, за да получи текстови записи (TXT) и да извлече URL адреси на команден и контролен сървър.

Шифрованите DoH заявки не бяха разпознати от антивирусния софтуер. Специалисти по информационна сигурност се страхуватче след Godlua ще дойде друг злонамерен софтуер, невидим за пасивно DNS наблюдение.

Но не всички са против

В защита на DNS през HTTPS в неговия блог проговори Инженерът на APNIC Джеф Хюстън. Според него новият протокол ще даде възможност за борба с атаките за отвличане на DNS, които напоследък стават все по-чести. Този факт потвърждава Януарски доклад от компанията за киберсигурност FireEye. Големи IT компании също подкрепиха разработването на протокола.

В началото на миналата година DoH започна да се тества в Google. И преди месец фирмата представени Версия за обща наличност на услугата DoH. В Google надежда, че ще повиши сигурността на личните данни в мрежата и ще предпази от MITM атаки.

Друг разработчик на браузъри - Mozilla - поддържа DNS през HTTPS от миналото лято. В същото време компанията активно промотира нови технологии в ИТ средата. За това Асоциацията на доставчиците на интернет услуги (ISPA) дори номиниран Mozilla за награда за интернет злодей на годината. В отговор представители на фирмата отбеляза, които са разочаровани от нежеланието на телеком операторите да подобрят своята остаряла интернет инфраструктура.

/Изпръскване/ TETrebbien

В подкрепа на Mozilla големи медии говориха и някои интернет доставчици. По-специално в British Telecom помислетече новият протокол няма да повлияе на филтрирането на съдържание и ще подобри сигурността на потребителите в Обединеното кралство. Под обществен натиск ИСПА трябваше да бъде припомнен номинация "злодей".

Облачните доставчици също се застъпиха за въвеждането на DNS през HTTPS, например Cloudflare. Те вече предлагат DNS услуги, базирани на новия протокол. Пълен списък с браузъри и клиенти, които поддържат DoH, е достъпен на GitHub.

Във всеки случай все още не може да се говори за край на противопоставянето между двата лагера. ИТ експертите прогнозират, че ако DNS през HTTPS е предопределено да стане част от масовия набор от интернет технологии, ще отнеме повече от едно десетилетие.

За какво друго пишем в нашия корпоративен блог:

• Как се изгражда мрежата на интернет доставчика
• Основни услуги в мрежите на интернет доставчици
• Конвергенция и унификация – множество задачи на едно устройство

Източник: www.habr.com