Atsegin dut eta ez: DNS HTTPS bidez

DNS-ren HTTPS-en ezaugarriei buruzko iritziak aztertzen ditugu, azkenaldian Interneteko hornitzaileen eta arakatzaileen garatzaileen artean "eztabaida-hezurra" bihurtu direnak.

/Desagerrarazi/ Steve Halama

Desadostasunaren funtsa

Azkenaldian komunikabide nagusiak и plataforma tematikoak (Habr barne), askotan DNS HTTPS (DoH) protokoloari buruz idazten dute. DNS zerbitzariari eskaerak eta haiei erantzunak zifratzen ditu. Ikuspegi honek erabiltzaileak sartzen dituen ostalarien izenak ezkutatzeko aukera ematen du. Argitalpenetatik ondorioztatu dezakegu protokolo berria (IETF-n onartu zuen 2018an) IT komunitatea bi esparrutan banatu zuen.

Erdiek uste dute protokolo berriak Interneteko segurtasuna hobetuko duela eta aplikazio eta zerbitzuetan ezartzen ari dira. Beste erdia konbentzituta dago teknologiak sistema-administratzaileen lana zailtzen duela soilik. Jarraian, bi aldeen argudioak aztertuko ditugu.

DoH nola funtzionatzen duen

ISPak eta beste merkatuko parte-hartzaileak zergatik dauden DNS HTTPS bidezko alde edo kontrako arrazoiak azaldu aurretik, ikus dezagun laburki nola funtzionatzen duen.

DoH-ren kasuan, IP helbidea zehazteko eskaera HTTPS trafikoan sartzen da. Ondoren HTTP zerbitzarira doa, non APIa erabiliz prozesatzen den. Hona hemen RFC 8484-ren eskaera adibide bat (6 orria):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Horrela, DNS trafikoa HTTPS trafikoan ezkutatuta dago. Bezeroa eta zerbitzaria 443 ataka estandarraren bidez komunikatzen dira. Ondorioz, domeinu-izen sistemarako eskaerak anonimoak izaten jarraitzen dute.

Zergatik ez du mesederik?

HTTPS bidez DNSren aurkakoak esaten duteprotokolo berriak konexioen segurtasuna murriztuko duela. Nork arabera Paul Vixie, DNS garapen taldeko kideak, zaildu egingo die sistema-administratzaileei gaiztoak izan daitezkeen guneak blokeatzea. Erabiltzaile arruntek arakatzaileetan gurasoen baldintzapeko kontrolak konfiguratzeko gaitasuna galduko dute.

Paulen iritziak Erresuma Batuko Interneteko hornitzaileek partekatzen dituzte. Herrialdeko legedia behartzen du blokeatu debekatutako edukia duten baliabideetatik. Baina DoH-rako laguntza arakatzaileetan trafikoa iragazteko lana zailtzen du. Protokolo berriaren kritiken artean Ingalaterrako Gobernuaren Komunikazio Zentroa ere sartzen da (GCHQ) eta Internet Watch Fundazioa (IWF), blokeatutako baliabideen erregistroa mantentzen duena.

Habré-ri buruzko gure blogean:

• AEBetako robocall gerra - nork irabazten duen eta zergatik
• Telekomunikazio britainiarrek harpidedunei kalte-ordaina ordainduko diete zerbitzua etenengatik

Adituek diote HTTPS bidezko DNS zibersegurtasun mehatxu bat bihur daitekeela. Uztailaren hasieran, Netlab-eko informazioaren segurtasuneko espezialistak aurkitu DDoS erasoak egiteko protokolo berria erabili zuen lehen birusa - Godlua. Malwarea DoHra sartu zen testu-erregistroak (TXT) lortzeko eta komando eta kontrol zerbitzariaren URLak ateratzeko.

Enkriptatutako DoH eskaerak ez zituen birusen aurkako softwareak ezagutzen. Informazioaren segurtasuneko espezialistak beldur diraGodluaren ondoren beste malware bat etorriko dela, DNS monitorizazio pasiborako ikusezina.

Baina denak ez daude kontra

HTTPS bidez DNSren defentsan bere blogean hitz egin zuen Geoff Houston APNICeko ingeniaria. Haren esanetan, protokolo berriak DNS bahiketaren erasoei aurre egitea ahalbidetuko du, azkenaldian gero eta ohikoagoak direnak. Gertaera hau baieztatzen FireEye zibersegurtasun konpainiaren urtarrileko txostena. Informatika-enpresa handiek ere lagundu zuten protokoloaren garapena.

Joan den urte hasieran, DoH Googlen probatzen hasi zen. Eta duela hilabete bat enpresa aurkeztu Bere DoH zerbitzuaren erabilgarritasun orokorraren bertsioa. Googlen itxaropena, sareko datu pertsonalen segurtasuna areagotuko duela eta MITM erasoetatik babestuko duela.

Beste arakatzaileen garatzaile bat - Mozilla - euskarriak DNS HTTPS bidez joan den udatik. Aldi berean, konpainia aktiboki sustatzen ari da teknologia berriak IT ingurunean. Horretarako, Interneteko Zerbitzu Hornitzaileen Elkarteak (ISPA) izendatua ere Mozillaren urteko gaiztoaren saria. Horren harira, enpresako ordezkariak adieraziTelekomunikazio-operadoreek Internet azpiegitura zaharkitua hobetzeko duten errezeloak zapuztuta daude.

/Desagerrarazi/ TETrebbien

Mozillaren alde komunikabide nagusiek hitz egin zuten eta Interneteko hornitzaile batzuk. Batez ere, British Telecom-en kontuanprotokolo berriak ez duela edukien iragazketan eragingo eta Erresuma Batuko erabiltzaileen segurtasuna hobetuko duela. Publikoaren presiopean ISPA erretiratu behar izan zuen "gaiztoa" izendapena.

Hodeiko hornitzaileek HTTPS bidez DNS sartzea ere defendatu zuten, adibidez CloudFlare. Dagoeneko DNS zerbitzuak eskaintzen dituzte protokolo berrian oinarrituta. DoH onartzen duten arakatzaileen eta bezeroen zerrenda osoa eskuragarri dago hemen GitHub.

Nolanahi ere, oraindik ezin da bi kanpamenduen arteko liskarren amaieraz hitz egin. IT adituek aurreikusten dutenez, HTTPS bidezko DNS Interneteko teknologia nagusien pila izatera iritsiko bada, beharrezkoa izango da. hamarkada bat baino gehiago.

Zer gehiago idazten dugu gure blog korporatiboan:

• Internet hornitzaileen sarea nola eraikitzen den
• Internet hornitzaileen sareetako oinarrizko zerbitzuak
• Konbergentzia eta bateratzea: hainbat zeregin gailu bakarrean

Iturria: www.habr.com