Hoffterau a Cas bethau: DNS dros HTTPS

Rydym yn dadansoddi barn am nodweddion DNS dros HTTPS, sydd wedi dod yn “asgwrn y gynnen” yn ddiweddar ymhlith darparwyr Rhyngrwyd a datblygwyr porwr.

/Tad-sblash/ Steve Halama

Hanfod yr anghytundeb

Yn ddiweddar cyfryngau mawr и llwyfannau thematig (gan gynnwys Habr), maent yn aml yn ysgrifennu am y DNS dros brotocol HTTPS (DoH). Mae'n amgryptio ceisiadau i'r gweinydd DNS ac ymatebion iddynt. Mae'r dull hwn yn caniatáu ichi guddio enwau'r gwesteiwyr y mae'r defnyddiwr yn eu cyrchu. O'r cyhoeddiadau gallwn ddod i'r casgliad bod y protocol newydd (yn yr IETF ei gymeradwyo yn 2018) rhannu'r gymuned TG yn ddau wersyll.

Mae hanner yn credu y bydd y protocol newydd yn gwella diogelwch Rhyngrwyd ac yn ei roi ar waith yn eu cymwysiadau a'u gwasanaethau. Mae'r hanner arall yn argyhoeddedig bod technoleg yn gwneud gwaith gweinyddwyr system yn fwy anodd yn unig. Nesaf, byddwn yn dadansoddi dadleuon y ddwy ochr.

Sut mae'r Adran Iechyd yn gweithio

Cyn i ni fynd i mewn i pam mae ISPs a chyfranogwyr eraill y farchnad o blaid neu yn erbyn DNS dros HTTPS, gadewch i ni edrych yn fyr ar sut mae'n gweithio.

Yn achos yr Adran Iechyd, mae'r cais i bennu'r cyfeiriad IP wedi'i grynhoi mewn traffig HTTPS. Yna mae'n mynd i'r gweinydd HTTP, lle caiff ei brosesu gan ddefnyddio'r API. Dyma enghraifft o gais gan RFC 8484 (tudalen 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Felly, mae traffig DNS wedi'i guddio mewn traffig HTTPS. Mae'r cleient a'r gweinydd yn cyfathrebu dros y porthladd safonol 443. O ganlyniad, mae ceisiadau i'r system enw parth yn aros yn ddienw.

Pam nad yw'n cael ei ffafrio?

Gwrthwynebwyr DNS dros HTTPS dywedanty bydd y protocol newydd yn lleihau diogelwch cysylltiadau. Gan yn ôl Bydd Paul Vixie, aelod o dîm datblygu DNS, yn ei gwneud hi'n anoddach i weinyddwyr system rwystro safleoedd a allai fod yn faleisus. Bydd defnyddwyr cyffredin yn colli'r gallu i sefydlu rheolaethau rhieni amodol mewn porwyr.

Mae darparwyr rhyngrwyd y DU yn rhannu barn Paul. Deddfwriaeth gwlad rhwymau eu rhwystro rhag adnoddau gyda chynnwys gwaharddedig. Ond mae cefnogaeth i Adran Iechyd mewn porwyr yn cymhlethu'r dasg o hidlo traffig. Mae beirniaid y protocol newydd hefyd yn cynnwys Canolfan Gyfathrebu’r Llywodraeth yn Lloegr (GCHQ) a'r Internet Watch Foundation (IWF), sy'n cadw cofrestr o adnoddau sydd wedi'u blocio.

Yn ein blog ar Habré:

• Rhyfel robocall yr Unol Daleithiau - pwy sy'n ennill a pham
• Bydd telathrebu Prydain yn talu iawndal i danysgrifwyr am doriadau i wasanaethau

Mae arbenigwyr yn nodi y gall DNS dros HTTPS ddod yn fygythiad seiberddiogelwch. Ar ddechrau mis Gorffennaf, arbenigwyr diogelwch gwybodaeth o Netlab darganfod y firws cyntaf a ddefnyddiodd y protocol newydd i gynnal ymosodiadau DDoS - Godlua. Cyrchodd y meddalwedd maleisus yr Adran Iechyd i gael cofnodion testun (TXT) a thynnu URLau gweinydd gorchymyn a rheoli.

Ni chafodd ceisiadau Adran Iechyd wedi'u hamgryptio eu cydnabod gan feddalwedd gwrthfeirws. Arbenigwyr diogelwch gwybodaeth ofnbod ar ôl Godlua bydd malware eraill yn dod, anweledig i fonitro DNS goddefol.

Ond nid yw pawb yn ei erbyn

Er mwyn amddiffyn DNS dros HTTPS ar ei flog siaradodd allan peiriannydd APNIC Geoff Houston. Yn ôl iddo, bydd y protocol newydd yn ei gwneud hi'n bosibl brwydro yn erbyn ymosodiadau herwgipio DNS, sydd wedi dod yn fwyfwy cyffredin yn ddiweddar. Y ffaith hon yn cadarnhau Adroddiad mis Ionawr gan y cwmni seiberddiogelwch FireEye. Roedd cwmnïau TG mawr hefyd yn cefnogi datblygiad y protocol.

Ar ddechrau'r llynedd, dechreuodd yr Adran Iechyd gael ei phrofi yn Google. A mis yn ôl y cwmni wedi'i gyflwyno Fersiwn Argaeledd Cyffredinol o'i wasanaeth Adran Iechyd. Ar Google gobaith, y bydd yn cynyddu diogelwch data personol ar y rhwydwaith ac yn amddiffyn rhag ymosodiadau MITM.

Datblygwr porwr arall - Mozilla - yn cefnogi DNS dros HTTPS ers yr haf diwethaf. Ar yr un pryd, mae'r cwmni wrthi'n hyrwyddo technoleg newydd yn yr amgylchedd TG. Ar gyfer hyn, mae Cymdeithas Darparwyr Gwasanaethau Rhyngrwyd (ISPA) hyd yn oed wedi'i enwebu Mozilla ar gyfer Gwobr Dihiryn Rhyngrwyd y Flwyddyn. Mewn ymateb, cynrychiolwyr y cwmni nodwyd, sy'n rhwystredig oherwydd amharodrwydd gweithredwyr telathrebu i wella eu seilwaith Rhyngrwyd hen ffasiwn.

/Tad-sblash/ TETrebbien

I gefnogi Mozilla siaradodd y prif gyfryngau a rhai darparwyr Rhyngrwyd. Yn benodol, yn British Telecom ystyriedna fydd y protocol newydd yn effeithio ar hidlo cynnwys ac y bydd yn gwella diogelwch defnyddwyr y DU. O dan bwysau cyhoeddus ISPA roedd yn rhaid ei alw'n ôl "dihiryn" enwebiad.

Roedd darparwyr cwmwl hefyd yn argymell cyflwyno DNS dros HTTPS, er enghraifft Cloudflare. Maent eisoes yn cynnig gwasanaethau DNS yn seiliedig ar y protocol newydd. Mae rhestr gyflawn o borwyr a chleientiaid sy'n cefnogi'r Adran Iechyd ar gael yn GitHub.

Beth bynnag, nid yw'n bosibl siarad eto am ddiwedd y gwrthdaro rhwng y ddau wersyll. Mae arbenigwyr TG yn rhagweld, os bydd DNS dros HTTPS yn dod yn rhan o'r pentwr technoleg Rhyngrwyd prif ffrwd, y bydd yn cymryd mwy nag un degawd.

Beth arall rydyn ni'n ysgrifennu amdano yn ein blog corfforaethol:

• Sut mae rhwydwaith darparwr y Rhyngrwyd yn cael ei adeiladu
• Gwasanaethau sylfaenol mewn rhwydweithiau darparwyr Rhyngrwyd
• Cydgyfeirio ac uno - tasgau lluosog ar un ddyfais

Ffynhonnell: hab.com