„Miluje a nemá rád“: DNS přes HTTPS

Analyzujeme názory na vlastnosti DNS přes HTTPS, které se v poslední době staly „kostem sváru“ mezi poskytovateli internetu a vývojáři prohlížečů.

/unsplash/ Steve Halama

Podstata neshody

Nedávno hlavní média и tematické platformy (včetně Habra) se často píše o protokolu DNS over HTTPS (DoH). Šifruje požadavky na server DNS a odpovědi na ně. Tento přístup umožňuje skrýt jména hostitelů, ke kterým uživatel přistupuje. Z publikací můžeme usoudit, že nový protokol (v IETF to schválil v roce 2018) rozdělil IT komunitu na dva tábory.

Polovina věří, že nový protokol zlepší bezpečnost internetu a implementuje jej do svých aplikací a služeb. Druhá polovina je přesvědčena, že technologie jen ztěžují práci systémových administrátorů. Dále budeme analyzovat argumenty obou stran.

Jak funguje DoH

Než se dostaneme k tomu, proč jsou ISP a další účastníci trhu pro nebo proti DNS přes HTTPS, pojďme se krátce podívat, jak to funguje.

V případě DoH je požadavek na určení IP adresy zapouzdřen v HTTPS provozu. Poté jde na HTTP server, kde je zpracován pomocí API. Zde je příklad požadavku z RFC 8484 (stránka 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Provoz DNS je tedy skrytý v provozu HTTPS. Klient a server komunikují přes standardní port 443. V důsledku toho zůstávají požadavky na systém doménových jmen anonymní.

Proč není zvýhodněn?

Odpůrci DNS přes HTTPS говорятže nový protokol sníží bezpečnost připojení. Podle Slova Paul Vixie, člen vývojového týmu DNS, ztíží systémovým administrátorům blokování potenciálně škodlivých stránek. Běžní uživatelé přijdou o možnost nastavit v prohlížečích podmíněnou rodičovskou kontrolu.

Paulovy názory sdílejí britskí poskytovatelé internetu. Legislativa země zavazuje blokovat je od zdrojů se zakázaným obsahem. Podpora DoH v prohlížečích však komplikuje filtrování provozu. Mezi kritiky nového protokolu patří také Government Communications Center v Anglii (GCHQ) a Internet Watch Foundation (IWF), která vede registr blokovaných zdrojů.

V našem blogu na Habré:

• Americká robotická válka – kdo vyhrává a proč
• Britské telekomunikace zaplatí účastníkům kompenzaci za přerušení služby

Odborníci poznamenávají, že DNS přes HTTPS se může stát kybernetickou hrozbou. Začátkem července specialisté na informační bezpečnost z Netlabu objevil první virus, který použil nový protokol k provádění útoků DDoS - Godlua. Malware přistupoval k DoH, aby získal textové záznamy (TXT) a extrahoval adresy URL příkazového a řídicího serveru.

Antivirový software nerozpoznal šifrované požadavky DoH. Specialisté na informační bezpečnost strachže po Godlua přijde další malware, neviditelný pro pasivní sledování DNS.

Ne všichni jsou ale proti

Na obranu DNS přes HTTPS na svém blogu promluvil Inženýr APNIC Geoff Houston. Nový protokol podle něj umožní bojovat s útoky DNS hijacking, které jsou v poslední době stále častější. Tento fakt potvrzuje Lednová zpráva od kybernetické bezpečnostní společnosti FireEye. Vývoj protokolu podpořily i velké IT společnosti.

Začátkem loňského roku se DoH začalo testovat v Googlu. A před měsícem společnost prezentovány Verze General Availability služby DoH. Na Googlu naděje, že zvýší bezpečnost osobních údajů v síti a ochrání před MITM útoky.

Další vývojář prohlížeče - Mozilla - podporuje DNS přes HTTPS od loňského léta. Zároveň společnost aktivně prosazuje nové technologie v IT prostředí. Za tímto účelem Asociace poskytovatelů internetových služeb (ISPA) dokonce nominován Cena Mozilly za internetového padoucha roku. V reakci na to zástupci společnosti poznamenal, kteří jsou frustrovaní neochotou telekomunikačních operátorů zlepšovat svou zastaralou internetovou infrastrukturu.

/unsplash/ TETrebbien

Na podporu Mozilly promluvila velká média a někteří poskytovatelé internetu. Zejména v British Telecom zvážitže nový protokol neovlivní filtrování obsahu a zlepší bezpečnost uživatelů ve Spojeném království. Pod tlakem veřejnosti ISPA musel být odvolán nominace na "padoucha".

Poskytovatelé cloudu také například prosazovali zavedení DNS přes HTTPS Cloudflare. Již nyní nabízejí služby DNS založené na novém protokolu. Kompletní seznam prohlížečů a klientů, které podporují DoH, je k dispozici na GitHub.

O konci konfrontace obou táborů se každopádně zatím mluvit nedá. IT experti předpovídají, že pokud je DNS přes HTTPS předurčeno k tomu, aby se stalo součástí hlavního proudu internetových technologií, bude to trvat ani jedno desetiletí.

O čem dále píšeme na našem firemním blogu:

• Jak je vybudována síť poskytovatelů internetu
• Základní služby v sítích poskytovatelů internetu
• Konvergence a unifikace – více úkolů na jednom zařízení

Zdroj: www.habr.com