Kan lide og ikke lide: DNS over HTTPS

Vi analyserer meninger om funktionerne i DNS over HTTPS, som for nylig er blevet en "stridighed" blandt internetudbydere og browserudviklere.

/Unsplash/ Steve Halama

Essensen af ​​uenigheden

Sidst store medier и tematiske platforme (inklusive Habr), skriver de ofte om DNS over HTTPS (DoH) protokollen. Den krypterer anmodninger til DNS-serveren og svar på dem. Denne tilgang giver dig mulighed for at skjule navnene på de værter, som brugeren får adgang til. Fra publikationerne kan vi konkludere, at den nye protokol (i IETF godkendte det i 2018) delte it-miljøet i to lejre.

Halvdelen mener, at den nye protokol vil forbedre internetsikkerheden og implementerer den i deres applikationer og tjenester. Den anden halvdel er overbevist om, at teknologien kun gør jobbet som systemadministratorer vanskeligere. Dernæst vil vi analysere argumenterne fra begge sider.

Sådan fungerer DoH

Inden vi kommer ind på, hvorfor internetudbydere og andre markedsdeltagere er for eller imod DNS over HTTPS, så lad os kort se på, hvordan det fungerer.

I tilfælde af DoH er anmodningen om at bestemme IP-adressen indkapslet i HTTPS-trafik. Det går derefter til HTTP-serveren, hvor det behandles ved hjælp af API'en. Her er et eksempel på anmodning fra RFC 8484 (side 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

DNS-trafik er således skjult i HTTPS-trafik. Klienten og serveren kommunikerer over standardporten 443. Som følge heraf forbliver anmodninger til domænenavnesystemet anonyme.

Hvorfor er han ikke begunstiget?

Modstandere af DNS over HTTPS de sigerat den nye protokol vil reducere sikkerheden ved forbindelser. Ved ifølge Paul Vixie, et medlem af DNS-udviklingsteamet, vil gøre det sværere for systemadministratorer at blokere potentielt ondsindede websteder. Almindelige brugere vil miste muligheden for at opsætte betinget forældrekontrol i browsere.

Pauls synspunkter deles af britiske internetudbydere. Landelovgivning forpligter blokere dem fra ressourcer med forbudt indhold. Men understøttelse af DoH i browsere komplicerer opgaven med at filtrere trafik. Kritikere af den nye protokol omfatter også Government Communications Center i England (GCHQ) og Internet Watch Foundation (IWF), som vedligeholder et register over blokerede ressourcer.

I vores blog om Habré:

• Krigen mod robocalls i USA - hvem vinder og hvorfor
• Britiske teleselskaber vil betale abonnenter kompensation for tjenesteafbrydelser

Eksperter bemærker, at DNS over HTTPS kan blive en cybersikkerhedstrussel. I starten af ​​juli startede informationssikkerhedsspecialister fra Netlab opdaget den første virus, der brugte den nye protokol til at udføre DDoS-angreb - Godlua. Malwaren fik adgang til DoH for at få tekstposter (TXT) og udtrække kommando- og kontrolserver-URL'er.

Krypterede DoH-anmodninger blev ikke genkendt af antivirussoftware. Informationssikkerhedsspecialister frygtat der efter Godlua kommer anden malware, usynlig for passiv DNS-overvågning.

Men ikke alle er imod det

Til forsvar for DNS over HTTPS på hans blog talte ud APNIC-ingeniør Geoff Houston. Ifølge ham vil den nye protokol gøre det muligt at bekæmpe DNS-kapringangreb, som på det seneste er blevet stadig mere almindelige. Dette faktum bekræfter Januar-rapport fra cybersikkerhedsfirmaet FireEye. Store it-virksomheder støttede også udviklingen af ​​protokollen.

I begyndelsen af ​​sidste år begyndte DoH at blive testet hos Google. Og for en måned siden virksomheden fremlagde Generel tilgængelig version af sin DoH-tjeneste. På Google håber, at det vil øge sikkerheden for personlige data på netværket og beskytte mod MITM-angreb.

En anden browserudvikler - Mozilla - bakker op DNS over HTTPS siden sidste sommer. Samtidig arbejder virksomheden aktivt med at fremme ny teknologi i it-miljøet. Til dette, Internet Services Providers Association (ISPA) endda nomineret Mozilla for prisen for årets internetskurk. Som svar, virksomhedens repræsentanter noteret, som er frustrerede over teleoperatørernes modvilje mod at forbedre deres forældede internetinfrastruktur.

/Unsplash/ TETrebbien

Til støtte for Mozilla store medier udtalte sig og nogle internetudbydere. Især hos British Telecom overvejeat den nye protokol ikke vil påvirke indholdsfiltrering og vil forbedre sikkerheden for britiske brugere. Under offentligt pres ISPA måtte tilbagekaldes "skurk" nominering.

Cloud-udbydere gik også ind for indførelsen af ​​DNS over HTTPS, for eksempel CloudFlare. De tilbyder allerede DNS-tjenester baseret på den nye protokol. En komplet liste over browsere og klienter, der understøtter DoH er tilgængelig på GitHub.

I hvert fald er det endnu ikke muligt at tale om afslutningen på konfrontationen mellem de to lejre. IT-eksperter forudsiger, at hvis DNS over HTTPS er bestemt til at blive en del af den almindelige internetteknologistack, vil det tage mere end et årti.

Hvad skriver vi ellers om i vores virksomhedsblog:

• Hvordan internetudbyderens netværk er opbygget
• Grundlæggende tjenester i internetudbydernetværk
• Konvergens og forening - flere opgaver på én enhed

Kilde: www.habr.com