Meeldimised ja mittemeeldimised: DNS HTTPS-i kaudu

Analüüsime arvamusi HTTPS-i kaudu kasutatava DNS-i funktsioonide kohta, mis on viimasel ajal muutunud Interneti-pakkujate ja brauseri arendajate seas "tüliõunaks".

/Unsplash/ Steve Halama

Lahkarvamuse olemus

Viimasel ajal suur meedia и temaatilised platvormid (sealhulgas Habr) kirjutavad nad sageli DNS-i üle HTTPS-i (DoH) protokollist. See krüpteerib DNS-serveri päringud ja neile vastused. See lähenemine võimaldab peita nende hostide nimed, millele kasutaja juurde pääseb. Väljaannetest võime järeldada, et uus protokoll (IETF-is kiitis selle heaks aastal 2018) jagas IT-kogukonna kahte leeri.

Pooled usuvad, et uus protokoll parandab Interneti-turvalisust ja juurutavad seda oma rakendustes ja teenustes. Teine pool on veendunud, et tehnoloogia teeb süsteemiadministraatorite töö ainult raskemaks. Järgmisena analüüsime mõlema poole argumente.

Kuidas DoH töötab

Enne kui jõuame sellesse, miks Interneti-teenuse pakkujad ja teised turuosalised on HTTPS-i kaudu DNS-i poolt või vastu, vaatame lühidalt selle toimimist.

DoH puhul on IP-aadressi määramise taotlus kapseldatud HTTPS-i liiklusesse. Seejärel läheb see HTTP serverisse, kus seda API abil töödeldakse. Siin on näidistaotlus RFC 8484 (leht 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Seega on DNS-liiklus HTTPS-liikluses peidetud. Klient ja server suhtlevad standardse pordi 443 kaudu. Selle tulemusena jäävad domeeninimesüsteemi päringud anonüümseks.

Miks teda ei soosita?

DNS-i vastased HTTPS-i kaudu ütlemaet uus protokoll vähendab ühenduste turvalisust. Kõrval sõnad DNS-i arendusmeeskonna liige Paul Vixie muudab süsteemiadministraatorite jaoks potentsiaalselt pahatahtlike saitide blokeerimise keerulisemaks. Tavakasutajad kaotavad võimaluse seadistada brauserites tingimuslikku vanemlikku järelevalvet.

Pauli seisukohti jagavad Ühendkuningriigi internetiteenuse pakkujad. Riigi seadusandlus kohustab blokeerige need keelatud sisuga ressurssidest. Kuid DoH-i tugi brauserites muudab liikluse filtreerimise keerulisemaks. Uue protokolli kriitikute hulka kuulub ka Inglismaa valitsuse kommunikatsioonikeskus (GCHQ) ja Internet Watch Foundation (IWF), mis peab blokeeritud ressursside registrit.

Meie blogis Habré kohta:

• Sõda robotkõnede vastu USA-s – kes võidab ja miks
• Briti telekommunikatsioon maksab abonentidele teenuse katkestuste eest hüvitist

Eksperdid märgivad, et HTTPS-i kaudu töötav DNS võib muutuda küberturvalisuse ohuks. Juuli alguses infoturbe spetsialistid Netlabist avastatud esimene viirus, mis kasutas uut protokolli DDoS-i rünnakute läbiviimiseks - Godlua. Pahavara pöördus DoH-i, et hankida tekstikirjeid (TXT) ning ekstraktida käsu- ja juhtimisserveri URL-e.

Viirusetõrjetarkvara ei tuvastanud krüptitud DoH taotlusi. Infoturbe spetsialistid kardavadet pärast Godluat tuleb mõni muu pahavara, mis on passiivse DNS-i jälgimise jaoks nähtamatu.

Kuid mitte kõik pole selle vastu

DNS-i kaitseks HTTPS-i kaudu oma ajaveebis rääkis välja APNIC insener Geoff Houston. Tema sõnul võimaldab uus protokoll võidelda viimasel ajal järjest enam levinud DNS-i kaaperdamise rünnakutega. See asjaolu kinnitab Küberjulgeolekufirma FireEye jaanuari aruanne. Protokolli väljatöötamist toetasid ka suured IT-ettevõtted.

Eelmise aasta alguses hakati DoH-d Google'is testima. Ja kuu aega tagasi firma esitatakse DoH-teenuse üldine saadavuse versioon. Google'is lootust, et see suurendab võrgus olevate isikuandmete turvalisust ja kaitseb MITM-i rünnakute eest.

Teine brauseri arendaja - Mozilla - toetab DNS HTTPS-i kaudu eelmisest suvest. Samal ajal tegeleb ettevõte aktiivselt uue tehnoloogia propageerimisega IT-keskkonnas. Selleks on Interneti-teenuste pakkujate ühendus (ISPA) isegi nomineeritud Mozilla aasta Interneti pahalase auhinnaks. Vastuseks firma esindajad märkis, kes on pettunud telekommunikatsioonioperaatorite vastumeelsusest oma vananenud Interneti-taristut parandada.

/Unsplash/ TETrebbien

Mozilla toetuseks rääkis suur meedia ja mõned Interneti-pakkujad. Eelkõige British Telecomis arvestamaet uus protokoll ei mõjuta sisu filtreerimist ja parandab Ühendkuningriigi kasutajate turvalisust. Avalikkuse survel ISPA tuli tagasi kutsuda "kurikaela" nominatsioon.

Pilvepakkujad pooldasid ka näiteks DNS-i kasutuselevõttu HTTPS-i kaudu CloudFlare. Nad pakuvad juba uuel protokollil põhinevaid DNS-teenuseid. DoH-d toetavate brauserite ja klientide täielik loend on saadaval aadressil GitHub.

Igatahes ei saa veel rääkida kahe leeri vastasseisu lõpust. IT-eksperdid ennustavad, et kui DNS-i üle HTTPS-i on määratud saama osaks peavoolu Interneti-tehnoloogiavirnast, võtab see aega rohkem kui üks kümnend.

Millest veel oma ettevõtte ajaveebis kirjutame:

• Kuidas Interneti-pakkuja võrk on üles ehitatud
• Põhiteenused Interneti-pakkuja võrkudes
• Konvergents ja ühendamine – mitu ülesannet ühes seadmes

Allikas: www.habr.com