«Любит и не любит»: DNS over HTTPS

Разбираем мнения относительно особенностей работы DNS over HTTPS, которые за последнее время стали «яблоком раздора» среди интернет-провайдеров и разработчиков браузеров.

/ Unsplash / Steve Halama

Суть разногласий

В последнее время крупные СМИ и тематические площадки (в том числе Хабр), часто пишут о протоколе DNS over HTTPS (DoH). Он шифрует запросы к DNS-серверу и ответы на них. Такой подход позволяет скрыть имена хостов, к которым обращается пользователь. Из публикаций можно сделать вывод, что новый протокол (в IETF одобрили его в 2018 году) разделил ИТ-сообщество на два лагеря.

Половина считает, что новый протокол повысит безопасность интернета, и внедряет его в свои приложения и сервисы. Другая половина убеждена, что технология лишь усложняет работу системных администраторов. Далее, разберем аргументы обеих сторон.

Как работает DoH

Прежде чем перейти к разговору о том, почему интернет-провайдеры и другие участники рынка выступают за или против DNS over HTTPS, кратко разберем принципы его работы.

В случае DoH запрос на определение IP-адреса инкапсулируется в HTTPS-трафик. Затем он идет HTTP-серверу, где обрабатывается при помощи API. Вот пример запроса из RFC 8484 (стр.6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Таким образом, DNS-трафик скрыт в трафике HTTPS. Клиент и сервер общаются по стандартному порту 443. В результате запросы к системе доменных имен остаются анонимными.

Почему его не жалуют

Противники DNS over HTTPS говорят, что новый протокол снизит безопасность подключений. По словам Пола Викси (Paul Vixie), члена команды разработчиков DNS, сисадминам будет сложнее блокировать потенциально вредоносные сайты. Рядовые пользователи при этом потеряют возможность настроить условный родительский контроль в браузерах.

Мнение Пола разделяют интернет-провайдеры Великобритании. Законодательство страны обязывает их блокировать ресурсы с запрещенным контентом. Но поддержка DoH в браузерах усложняет задачу по фильтрации трафика. Среди критиков нового протокола также значатся Центр правительственной связи Англии (GCHQ) и фонд Internet Watch Foundation (IWF), который ведет реестр заблокированных ресурсов.

В нашем блоге на Хабре:

• Война с робо-звонками в США — кто побеждает и почему
• Британские телекомы будут выплачивать абонентам компенсацию за разрывы связи

Эксперты отмечают, что DNS over HTTPS может стать угрозой кибербезопасности. В начале июля ИБ-специалисты из Netlab обнаружили первый вирус, который использовал новый протокол для проведения DDoS-атак — Godlua. Зловред обращался к DoH для получения текстовых записей (TXT) и извлечения URL-адресов управляющих серверов.

Зашифрованные DoH-запросы не распознавались антивирусным программным обеспечением. ИБ-специалисты опасаются, что после Godlua придут другие вредоносы, невидимые для пассивного мониторинга DNS.

Но не все против

В защиту DNS over HTTPS в своем блоге высказался инженер из APNIC Джефф Хьюстон (Geoff Houston). По его словам, новый протокол позволит бороться с атаками DNS hijacking, которые последнее время становятся все более распространенными. Этот факт подтверждает январский отчет ИБ-компании FireEye. Разработку протокола поддержали и крупные ИТ-компании.

Еще в начале прошлого года DoH стали тестировать в Google. И месяц назад компания представила General Availability версию своего DoH-сервиса. В Google надеются, что он повысит безопасность персональных данных в сети и защитит от MITM-атак.

Другой разработчик браузеров — Mozilla — поддерживает DNS over HTTPS с лета прошлого года. При этом компания активно продвигает новую технологию в ИТ-среде. За это ассоциация провайдеров Internet Services Providers Association (ISPA) даже номинировала Mozilla на премию «интернет-злодей года». В ответ представители компании отметили, что разочарованы нежеланием операторов связи совершенствовать устаревшую интернет-инфраструктуру.

/ Unsplash / TETrebbien

В поддержку Mozilla высказались крупные СМИ и некоторые интернет-провайдеры. В частности, в British Telecom считают, что новый протокол не повлияет на фильтрацию контента и повысит безопасность британских пользователей. Под давлением общественности ISPA пришлось отозвать «злодейскую» номинацию.

Также за внедрение DNS over HTTPS выступили облачные провайдеры, например Cloudflare. Они уже предлагают DNS-сервисы на базе нового протокола. Полный список браузеров и клиентов с поддержкой DoH есть на GitHub.

В любом случае говорить об окончании противостояния двух лагерей пока не приходится. ИТ-специалисты прогнозируют, что если DNS over HTTPS все же суждено стать частью массового стека интернет-технологий, на это уйдет не одно десятилетие.

О чем еще мы пишем в нашем корпоративном блоге:

• Как построена сеть интернет-провайдера
• Основные сервисы в сетях интернет-провайдера
• Конвергенция и унификация — несколько задач на одном устройстве

Источник: habr.com