Μου αρέσει και δεν μου αρέσει: DNS μέσω HTTPS

Αναλύουμε απόψεις σχετικά με τις δυνατότητες του DNS μέσω HTTPS, οι οποίες έχουν γίνει πρόσφατα «μήκος της έριδος» μεταξύ των παρόχων Διαδικτύου και των προγραμματιστών προγραμμάτων περιήγησης.

/Unsplash/ Steve Halama

Η ουσία της διαφωνίας

Τον τελευταίο καιρό μεγάλα μέσα ενημέρωσης и θεματικές πλατφόρμες (συμπεριλαμβανομένου του Habr), συχνά γράφουν για το πρωτόκολλο DNS μέσω HTTPS (DoH). Κρυπτογραφεί αιτήματα στον διακομιστή DNS και απαντήσεις σε αυτά. Αυτή η προσέγγιση σάς επιτρέπει να αποκρύψετε τα ονόματα των κεντρικών υπολογιστών στους οποίους έχει πρόσβαση ο χρήστης. Από τις δημοσιεύσεις μπορούμε να συμπεράνουμε ότι το νέο πρωτόκολλο (στο IETF το ενέκρινε το 2018) χώρισε την κοινότητα της πληροφορικής σε δύο στρατόπεδα.

Οι μισοί πιστεύουν ότι το νέο πρωτόκολλο θα βελτιώσει την ασφάλεια του Διαδικτύου και το εφαρμόζουν στις εφαρμογές και τις υπηρεσίες τους. Το άλλο μισό είναι πεπεισμένο ότι η τεχνολογία δυσκολεύει μόνο τη δουλειά των διαχειριστών συστημάτων. Στη συνέχεια, θα αναλύσουμε τα επιχειρήματα και των δύο πλευρών.

Πώς λειτουργεί το DoH

Προτού εξετάσουμε γιατί οι ISP και άλλοι συμμετέχοντες στην αγορά είναι υπέρ ή κατά του DNS μέσω HTTPS, ας δούμε εν συντομία πώς λειτουργεί.

Στην περίπτωση DoH, το αίτημα για τον προσδιορισμό της διεύθυνσης IP ενσωματώνεται στην κίνηση HTTPS. Στη συνέχεια πηγαίνει στον διακομιστή HTTP, όπου υποβάλλεται σε επεξεργασία χρησιμοποιώντας το API. Ακολουθεί ένα παράδειγμα αιτήματος από το RFC 8484 (σελίδα 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Έτσι, η κίνηση DNS είναι κρυμμένη στην κίνηση HTTPS. Ο πελάτης και ο διακομιστής επικοινωνούν μέσω της τυπικής θύρας 443. Ως αποτέλεσμα, τα αιτήματα στο σύστημα ονομάτων τομέα παραμένουν ανώνυμα.

Γιατί δεν ευνοείται;

Αντίπαλοι του DNS μέσω HTTPS λένεότι το νέο πρωτόκολλο θα μειώσει την ασφάλεια των συνδέσεων. Με λόγια Ο Paul Vixie, μέλος της ομάδας ανάπτυξης DNS, θα καταστήσει πιο δύσκολο για τους διαχειριστές συστήματος να αποκλείσουν πιθανούς κακόβουλους ιστότοπους. Οι απλοί χρήστες θα χάσουν τη δυνατότητα ρύθμισης γονικών ελέγχων υπό όρους σε προγράμματα περιήγησης.

Οι απόψεις του Paul συμμερίζονται οι βρετανικοί πάροχοι διαδικτύου. Νομοθεσία της χώρας υποχρεώνει αποκλείστε τους από πόρους με απαγορευμένο περιεχόμενο. Αλλά η υποστήριξη για DoH σε προγράμματα περιήγησης περιπλέκει το έργο του φιλτραρίσματος της κυκλοφορίας. Οι επικριτές του νέου πρωτοκόλλου περιλαμβάνουν επίσης το Κυβερνητικό Κέντρο Επικοινωνιών στην Αγγλία (GCHQ) και το Internet Watch Foundation (IWF), το οποίο διατηρεί μητρώο αποκλεισμένων πόρων.

Στο ιστολόγιό μας στο Habré:

• Ρομποτικό πόλεμο στις ΗΠΑ - ποιος κερδίζει και γιατί
• Οι βρετανικές τηλεπικοινωνίες θα καταβάλλουν αποζημίωση στους συνδρομητές για διακοπές υπηρεσιών

Οι ειδικοί σημειώνουν ότι το DNS μέσω HTTPS μπορεί να γίνει απειλή για την ασφάλεια στον κυβερνοχώρο. Στις αρχές Ιουλίου, ειδικοί ασφάλειας πληροφοριών από το Netlab ανακαλύφθηκε ο πρώτος ιός που χρησιμοποίησε το νέο πρωτόκολλο για να πραγματοποιήσει επιθέσεις DDoS - Γκοντλούα. Το κακόβουλο λογισμικό είχε πρόσβαση στο DoH για να αποκτήσει εγγραφές κειμένου (TXT) και να εξαγάγει διευθύνσεις URL διακομιστή εντολών και ελέγχου.

Τα κρυπτογραφημένα αιτήματα DoH δεν αναγνωρίστηκαν από λογισμικό προστασίας από ιούς. Ειδικοί σε θέματα ασφάλειας πληροφοριών φόβοςότι μετά το Godlua θα έρθει άλλο κακόβουλο λογισμικό, αόρατο στην παθητική παρακολούθηση DNS.

Αλλά δεν είναι όλοι εναντίον

Προς υπεράσπιση του DNS μέσω HTTPS στο ιστολόγιό του μίλησε Μηχανικός APNIC Geoff Houston. Σύμφωνα με τον ίδιο, το νέο πρωτόκολλο θα καταστήσει δυνατή την καταπολέμηση των επιθέσεων πειρατείας DNS, οι οποίες έχουν γίνει ολοένα και πιο συχνές πρόσφατα. Αυτό το γεγονός επιβεβαιώνει Έκθεση Ιανουαρίου από την εταιρεία κυβερνοασφάλειας FireEye. Μεγάλες εταιρείες πληροφορικής υποστήριξαν επίσης την ανάπτυξη του πρωτοκόλλου.

Στις αρχές του περασμένου έτους, το DoH άρχισε να δοκιμάζεται στην Google. Και πριν ένα μήνα η εταιρεία παρουσιάζονται Έκδοση γενικής διαθεσιμότητας της υπηρεσίας DoH. Στο Google Ελπίζω, ότι θα αυξήσει την ασφάλεια των προσωπικών δεδομένων στο δίκτυο και θα προστατεύσει από επιθέσεις MITM.

Ένας άλλος προγραμματιστής προγράμματος περιήγησης - Mozilla - υποστηρίζει DNS μέσω HTTPS από το περασμένο καλοκαίρι. Παράλληλα, η εταιρεία προωθεί ενεργά τη νέα τεχνολογία στο περιβάλλον της πληροφορικής. Για αυτό, η Ένωση Παρόχων Υπηρεσιών Διαδικτύου (ISPA) ακόμη και υποψήφια Mozilla για το βραβείο Internet Villain of the Year. Σε απάντηση, εκπρόσωποι της εταιρείας διάσημος, οι οποίοι είναι απογοητευμένοι από την απροθυμία των τηλεπικοινωνιακών φορέων να βελτιώσουν την απαρχαιωμένη υποδομή τους στο Διαδίκτυο.

/Unsplash/ TETrebbien

Για την υποστήριξη του Mozilla μίλησαν μεγάλα ΜΜΕ και ορισμένους παρόχους Διαδικτύου. Ειδικότερα, στη British Telecom σκεφτείτεότι το νέο πρωτόκολλο δεν θα επηρεάσει το φιλτράρισμα περιεχομένου και θα βελτιώσει την ασφάλεια των χρηστών του Ηνωμένου Βασιλείου. Υπό την πίεση του κοινού ISPA έπρεπε να ανακληθεί υποψηφιότητα "κακός".

Οι πάροχοι cloud υποστήριξαν επίσης την εισαγωγή του DNS μέσω HTTPS, για παράδειγμα Cloudflare. Ήδη προσφέρουν υπηρεσίες DNS με βάση το νέο πρωτόκολλο. Μια πλήρης λίστα προγραμμάτων περιήγησης και πελατών που υποστηρίζουν DoH είναι διαθέσιμη στη διεύθυνση GitHub.

Σε κάθε περίπτωση, δεν γίνεται ακόμη να μιλήσουμε για το τέλος της αντιπαράθεσης των δύο στρατοπέδων. Οι ειδικοί πληροφορικής προβλέπουν ότι εάν το DNS μέσω HTTPS προορίζεται να γίνει μέρος της κύριας στοίβας τεχνολογίας του Διαδικτύου, θα χρειαστεί ούτε μια δεκαετία.

Τι άλλο γράφουμε στο εταιρικό μας blog:

• Πώς δημιουργείται το δίκτυο παρόχων Διαδικτύου
• Βασικές υπηρεσίες σε δίκτυα παρόχων Διαδικτύου
• Σύγκλιση και ενοποίηση - πολλαπλές εργασίες σε μία συσκευή

Πηγή: www.habr.com