Ŝati kaj Malŝatoj: DNS per HTTPS

Ni analizas opiniojn pri la funkcioj de DNS super HTTPS, kiuj lastatempe fariĝis "osto de disputo" inter interretaj provizantoj kaj retumiloj.

/Malŝprucigi/ Steve Halama

La esenco de la malkonsento

Ĵus, ĉefaj amaskomunikiloj и temaj platformoj (inkluzive de Habr), ili ofte skribas pri la protokolo DNS super HTTPS (DoH). Ĝi ĉifras petojn al la DNS-servilo kaj respondojn al ili. Ĉi tiu aliro permesas al vi kaŝi la nomojn de la gastigantoj, kiujn la uzanto aliras. El la publikaĵoj ni povas konkludi, ke la nova protokolo (en la IETF aprobis ĝin en 2018) dividis la IT-komunumon en du tendarojn.

Duono kredas, ke la nova protokolo plibonigos interretan sekurecon kaj efektivigas ĝin en siaj aplikoj kaj servoj. La alia duono estas konvinkita, ke teknologio nur malfaciligas la laboron de sistemadministrantoj. Poste, ni analizos la argumentojn de ambaŭ flankoj.

Kiel DoH funkcias

Antaŭ ol ni ekkomprenos kial ISP-oj kaj aliaj merkatpartoprenantoj estas por aŭ kontraŭ DNS per HTTPS, ni mallonge rigardu kiel ĝi funkcias.

En la kazo de DoH, la peto por determini la IP-adreson estas enkapsuligita en HTTPS-trafiko. Ĝi tiam iras al la HTTP-servilo, kie ĝi estas procesita per la API. Jen ekzempla peto de RFC 8484 (paĝo 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Tiel, DNS-trafiko estas kaŝita en HTTPS-trafiko. La kliento kaj servilo komunikas per la norma haveno 443. Kiel rezulto, petoj al la domajna nomsistemo restas anonimaj.

Kial li ne estas favorata?

Kontraŭuloj de DNS super HTTPS diruke la nova protokolo reduktos la sekurecon de konektoj. De laŭ Paul Vixie, membro de la DNS-disvolva teamo, malfaciligos al administrantoj de la sistemo bloki eble malicajn retejojn. Ordinaraj uzantoj perdos la kapablon agordi kondiĉajn gepatrajn kontrolojn en retumiloj.

La opinioj de Paul estas kunhavataj de britaj interretaj provizantoj. Landa leĝaro devigas bloki ilin de rimedoj kun malpermesita enhavo. Sed subteno por DoH en retumiloj malfaciligas la taskon filtri trafikon. Kritikistoj de la nova protokolo ankaŭ inkludas la Government Communications Center en Anglio (GCHQ) kaj la Internet Watch Foundation (IMF), kiu konservas registron de blokitaj rimedoj.

En nia blogo pri Habré:

• La milito kontraŭ robotvokoj en Usono - kiu gajnas kaj kial
• Britaj teleentreprenoj pagos al abonantoj kompenson por servointerrompoj

Fakuloj rimarkas, ke DNS super HTTPS povas fariĝi cibersekureca minaco. Komence de julio, specialistoj pri informa sekureco de Netlab malkovrita la unua viruso, kiu uzis la novan protokolon por fari DDoS-atakojn - Godlua. La malbon-varo aliris DoH por akiri tekstajn registrojn (TXT) kaj ĉerpi komandon kaj kontroli servilojn URL.

Ĉifritaj DoH-petoj ne estis rekonitaj per antivirusa programaro. Specialistoj pri informa sekureco timaske post Godlua venos alia malware, nevidebla al pasiva DNS-monitorado.

Sed ne ĉiuj estas kontraŭ ĝi

En defendo de DNS super HTTPS en lia blogo elparolis APNIC-inĝeniero Geoff Houston. Laŭ li, la nova protokolo ebligos kontraŭbatali atakojn pri DNS-kaptado, kiuj lastatempe fariĝis ĉiam pli oftaj. Ĉi tiu fakto konfirmas Januara raporto de cibersekureca firmao FireEye. Grandaj IT-kompanioj ankaŭ apogis la evoluon de la protokolo.

Komence de la pasinta jaro, DoH komencis esti provita ĉe Google. Kaj antaŭ unu monato la kompanio prezentita Ĝenerala Havebleca versio de ĝia DoH-servo. En Guglo espero, ke ĝi pliigos la sekurecon de personaj datumoj en la reto kaj protektos kontraŭ MITM-atakoj.

Alia programisto de retumilo - Mozilla - subtenoj DNS per HTTPS ekde la pasinta somero. Samtempe, la kompanio aktive antaŭenigas novan teknologion en la IT-medio. Por tio, la Asocio de Provizantoj de Interretaj Servoj (ISPA) eĉ nomumita Mozilo por Interreta Fiulo de la Jara Premio. En respondo, firmaaj reprezentantoj notis, kiuj estas frustritaj pro la malemo de teleentreprenistoj plibonigi sian malmodernan Interretan infrastrukturon.

/Malŝprucigi/ TETrebbien

En subteno de Mozilo elparolis ĉefaj amaskomunikiloj kaj iuj interretaj provizantoj. Aparte, ĉe British Telecom pripensuke la nova protokolo ne influos enhavan filtradon kaj plibonigos la sekurecon de UK-uzantoj. Sub publika premo ISPA devis esti revokita "fiulo" nomumo.

Nubaj provizantoj ankaŭ rekomendis la enkondukon de DNS super HTTPS, ekzemple cloudflare. Ili jam ofertas DNS-servojn bazitajn sur la nova protokolo. Kompleta listo de retumiloj kaj klientoj kiuj subtenas DoH estas havebla ĉe GitHub.

Ĉiukaze ankoraŭ ne eblas paroli pri la fino de la konfrontiĝo inter la du tendaroj. IT-fakuloj antaŭdiras, ke se DNS super HTTPS estas destinita fariĝi parto de la ĉefa interreta teknologia stako, ĝi bezonos. pli ol unu jardeko.

Pri kio alia ni skribas en nia kompania blogo:

• Kiel la reto de interreta provizanto estas konstruita
• Bazaj servoj en interretaj provizantaj retoj
• Konverĝo kaj unuiĝo - multoblaj taskoj sur unu aparato

fonto: www.habr.com