Me gusta y no me gusta: DNS sobre HTTPS

Analizamos opiniones sobre las características de DNS sobre HTTPS, que recientemente se han convertido en "la manzana de la discordia" entre los proveedores de Internet y los desarrolladores de navegadores.

/Unsplash/ steve halama

La esencia del desacuerdo.

Últimamente principales medios de comunicación и plataformas temáticas (incluido Habr), a menudo escriben sobre el protocolo DNS sobre HTTPS (DoH). Cifra las solicitudes al servidor DNS y las respuestas a ellas. Este enfoque le permite ocultar los nombres de los hosts a los que accede el usuario. De las publicaciones podemos concluir que el nuevo protocolo (en el IETF lo aprobó en 2018) dividió a la comunidad de TI en dos bandos.

La mitad cree que el nuevo protocolo mejorará la seguridad de Internet y lo está implementando en sus aplicaciones y servicios. La otra mitad está convencida de que la tecnología sólo complica el trabajo de los administradores de sistemas. A continuación analizaremos los argumentos de ambas partes.

Cómo funciona el Departamento de Salud

Antes de analizar por qué los ISP y otros participantes del mercado están a favor o en contra de DNS sobre HTTPS, veamos brevemente cómo funciona.

En el caso de DoH, la solicitud para determinar la dirección IP se encapsula en tráfico HTTPS. Luego va al servidor HTTP, donde se procesa mediante la API. A continuación se muestra una solicitud de ejemplo de RFC 8484 (página 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Por tanto, el tráfico DNS queda oculto en el tráfico HTTPS. El cliente y el servidor se comunican a través del puerto estándar 443. Como resultado, las solicitudes al sistema de nombres de dominio permanecen anónimas.

¿Por qué no es favorecido?

Opositores del DNS sobre HTTPS ellos dicenque el nuevo protocolo reducirá la seguridad de las conexiones. Por de acuerdo a Paul Vixie, miembro del equipo de desarrollo de DNS, hará más difícil para los administradores de sistemas bloquear sitios potencialmente maliciosos. Los usuarios normales perderán la posibilidad de configurar controles parentales condicionales en los navegadores.

Los proveedores de Internet del Reino Unido comparten las opiniones de Paul. Legislación del país obliga bloquearlos de recursos con contenido prohibido. Pero la compatibilidad con DoH en los navegadores complica la tarea de filtrar el tráfico. Entre los críticos del nuevo protocolo también se encuentra el Centro de Comunicaciones del Gobierno de Inglaterra (GCHQ) y la Fundación Internet Watch (IWF), que mantiene un registro de recursos bloqueados.

En nuestro blog sobre Habré:

• Guerra de llamadas automáticas en EE. UU.: quién está ganando y por qué
• Las telecomunicaciones británicas pagarán a sus suscriptores una compensación por las interrupciones del servicio

Los expertos señalan que DNS sobre HTTPS puede convertirse en una amenaza para la ciberseguridad. A principios de julio, los especialistas en seguridad de la información de Netlab he descubierto el primer virus que utilizó el nuevo protocolo para realizar ataques DDoS - Godlua. El malware accedió al DoH para obtener registros de texto (TXT) y extraer las URL del servidor de comando y control.

El software antivirus no reconoció las solicitudes DoH cifradas. Especialistas en seguridad de la información. miedoque después de Godlua vendrá otro malware, invisible para la monitorización pasiva de DNS.

Pero no todo el mundo está en contra.

En defensa del DNS sobre HTTPS en su blog habló Geoff Houston, ingeniero de APNIC. Según él, el nuevo protocolo permitirá combatir los ataques de secuestro de DNS, que últimamente se han vuelto cada vez más comunes. Este hecho confirma Informe de enero de la empresa de ciberseguridad FireEye. Las grandes empresas de TI también apoyaron el desarrollo del protocolo.

A principios del año pasado, DoH comenzó a probarse en Google. Y hace un mes la empresa presentado Versión de disponibilidad general de su servicio DoH. En Google esperanza, que aumentará la seguridad de los datos personales en la red y protegerá contra ataques MITM.

Otro desarrollador de navegadores, Mozilla, apoyo DNS sobre HTTPS desde el verano pasado. Al mismo tiempo, la empresa promueve activamente nuevas tecnologías en el entorno de TI. Para ello, la Asociación de Proveedores de Servicios de Internet (ISPA) incluso nominado Premio Mozilla al villano de Internet del año. En respuesta, los representantes de la empresa señaló, que están frustrados por la renuencia de los operadores de telecomunicaciones a mejorar su obsoleta infraestructura de Internet.

/Unsplash/ TETrebbien

En apoyo de Mozilla los principales medios se pronunciaron y algunos proveedores de Internet. En particular, en British Telecom considerarque el nuevo protocolo no afectará el filtrado de contenidos y mejorará la seguridad de los usuarios del Reino Unido. Bajo presión pública ISPA tuvo que ser recordado Nominación de "villano".

Los proveedores de la nube también abogaron por la introducción de DNS sobre HTTPS, por ejemplo Cloudflare. Ya ofrecen servicios DNS basados ​​en el nuevo protocolo. Una lista completa de navegadores y clientes compatibles con DoH está disponible en GitHub.

En cualquier caso, todavía no es posible hablar del fin del enfrentamiento entre ambos bandos. Los expertos en TI predicen que si DNS sobre HTTPS está destinado a convertirse en parte de la tecnología principal de Internet, será necesario ni una década.

Sobre qué más escribimos en nuestro blog corporativo:

• Cómo se construye la red de proveedores de Internet
• Servicios básicos en redes de proveedores de Internet
• Convergencia y unificación: múltiples tareas en un dispositivo

Fuente: habr.com