Sviđa mi se i ne sviđa: DNS preko HTTPS-a

Analiziramo mišljenja o karakteristikama DNS-a preko HTTPS-a, koje su nedavno postale „kost sporenja“ među internet provajderima i programerima pretraživača.

/Unsplash/ Steve Halama

Suština neslaganja

Nedavno, glavni mediji и tematske platforme (uključujući Habr), često pišu o DNS preko HTTPS (DoH) protokolu. On šifrira zahtjeve prema DNS serveru i odgovore na njih. Ovaj pristup vam omogućava da sakrijete imena hostova kojima korisnik pristupa. Iz publikacija možemo zaključiti da je novi protokol (u IETF odobrio 2018. godine) podijelio je IT zajednicu u dva tabora.

Polovina vjeruje da će novi protokol poboljšati sigurnost na Internetu i implementiraju ga u svoje aplikacije i usluge. Druga polovina je uvjerena da tehnologija samo otežava posao sistem administratorima. Zatim ćemo analizirati argumente obje strane.

Kako funkcioniše DoH

Prije nego što uđemo u to zašto su ISP-ovi i drugi učesnici na tržištu za ili protiv DNS-a preko HTTPS-a, pogledajmo ukratko kako to funkcionira.

U slučaju DoH-a, zahtjev za određivanje IP adrese je enkapsuliran u HTTPS promet. Zatim ide na HTTP server, gdje se obrađuje pomoću API-ja. Evo primjera zahtjeva iz RFC 8484 (stranica 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Dakle, DNS saobraćaj je skriven u HTTPS saobraćaju. Klijent i server komuniciraju preko standardnog porta 443. Kao rezultat, zahtjevi prema sistemu imena domena ostaju anonimni.

Zašto nije omiljen?

Protivnici DNS-a preko HTTPS-a kažuda će novi protokol smanjiti sigurnost veza. By prema Paul Vixie, član tima za razvoj DNS-a, otežaće administratorima sistema da blokiraju potencijalno zlonamjerne stranice. Obični korisnici će izgubiti mogućnost postavljanja uslovne roditeljske kontrole u pretraživačima.

Paulove stavove dijele i britanski internet provajderi. Državno zakonodavstvo obavezuje blokirajte ih od resursa sa zabranjenim sadržajem. Ali podrška za DoH u pretraživačima komplikuje zadatak filtriranja prometa. Kritičari novog protokola uključuju i Vladin komunikacioni centar u Engleskoj (GCHQ) i Internet Watch Foundation (MMF), koji vodi registar blokiranih resursa.

U našem blogu na Habréu:

• Američki rat robotskih poziva - ko pobjeđuje i zašto
• Britanski telekomi će platiti pretplatnicima kompenzaciju za prekide usluge

Stručnjaci primjećuju da DNS preko HTTPS-a može postati prijetnja cyber sigurnosti. Početkom jula stručnjaci za informacijsku sigurnost iz Netlaba otkrio prvi virus koji je koristio novi protokol za izvođenje DDoS napada - Godlua. Zlonamjerni softver je pristupio DoH-u kako bi dobio tekstualne zapise (TXT) i izdvojio URL-ove komandnog i kontrolnog servera.

Antivirusni softver nije prepoznao šifrirane DoH zahtjeve. Stručnjaci za sigurnost informacija strahda će nakon Godlue doći drugi zlonamjerni softver, nevidljiv za pasivno praćenje DNS-a.

Ali nisu svi protiv toga

U odbranu DNS-a preko HTTPS-a na svom blogu progovorio APNIC inženjer Geoff Houston. Prema njegovim riječima, novi protokol će omogućiti suzbijanje napada DNS otmice, koji su u posljednje vrijeme sve češći. Ova činjenica potvrđuje Januarski izvještaj kompanije za sajber sigurnost FireEye. Velike IT kompanije su takođe podržale razvoj protokola.

Početkom prošle godine DoH je počeo da se testira u Googleu. I prije mjesec dana kompanija predstavljen Opća dostupnost verzije svoje DoH usluge. Na Googleu nadam se, da će povećati sigurnost ličnih podataka na mreži i zaštititi od MITM napada.

Još jedan programer pretraživača - Mozilla - podržava DNS preko HTTPS-a od prošlog ljeta. Istovremeno, kompanija aktivno promoviše nove tehnologije u IT okruženju. Za to je Udruženje pružalaca internetskih usluga (ISPA) čak i nominovan Mozilla za nagradu Internet negativac godine. Kao odgovor, predstavnici kompanije zabeleženo, koji su frustrirani nevoljnošću telekom operatera da poboljšaju svoju zastarjelu internet infrastrukturu.

/Unsplash/ TETrebbien

Kao podrška Mozili oglasili su se glavni mediji i neki Internet provajderi. Konkretno, u British Telecomu uzeti u obzirda novi protokol neće uticati na filtriranje sadržaja i da će poboljšati sigurnost korisnika u Velikoj Britaniji. Pod pritiskom javnosti ISPA morao biti opozvan nominacija "zlikovac".

Provajderi u oblaku su također zagovarali uvođenje DNS-a preko HTTPS-a, na primjer Cloudflare. Oni već nude DNS usluge zasnovane na novom protokolu. Kompletna lista pretraživača i klijenata koji podržavaju DoH dostupna je na adresi GitHub.

U svakom slučaju, još se ne može govoriti o završetku obračuna dva tabora. IT stručnjaci predviđaju da će, ako je DNS preko HTTPS-a predodređen da postane dio glavne internetske tehnologije, potrebno više od jedne decenije.

O čemu još pišemo na našem korporativnom blogu:

• Kako je izgrađena mreža internet provajdera
• Osnovne usluge u mrežama internet provajdera
• Konvergencija i ujedinjenje - više zadataka na jednom uređaju

izvor: www.habr.com