پسندیدن و نپسندیدن: DNS از طریق HTTPS

ما نظرات مربوط به ویژگی‌های DNS از طریق HTTPS را تجزیه و تحلیل می‌کنیم، که اخیراً به یک "استخوان مناقشه" در بین ارائه‌دهندگان اینترنت و توسعه‌دهندگان مرورگر تبدیل شده‌اند.

/Unsplash/ استیو هالاما

اصل اختلاف

اخیرا رسانه های اصلی и پلتفرم های موضوعی (از جمله Habr)، آنها اغلب در مورد DNS از طریق پروتکل HTTPS (DoH) می نویسند. این درخواست ها را به سرور DNS رمزگذاری می کند و به آنها پاسخ می دهد. این رویکرد به شما امکان می دهد نام هاست هایی را که کاربر به آنها دسترسی دارد پنهان کنید. از انتشارات می توان نتیجه گرفت که پروتکل جدید (در IETF آن را تایید کرد در سال 2018) جامعه فناوری اطلاعات را به دو اردو تقسیم کرد.

نیمی از آنها معتقدند که پروتکل جدید امنیت اینترنت را بهبود می بخشد و در حال پیاده سازی آن در برنامه ها و خدمات خود هستند. نیمی دیگر متقاعد شده اند که فناوری فقط کار مدیران سیستم را دشوارتر می کند. در ادامه به تحلیل استدلال های دو طرف می پردازیم.

DoH چگونه کار می کند

قبل از اینکه به این موضوع بپردازیم که چرا ISP ها و سایر فعالان بازار موافق یا مخالف DNS از طریق HTTPS هستند، اجازه دهید به طور خلاصه به نحوه عملکرد آن نگاه کنیم.

در مورد DoH، درخواست تعیین آدرس IP در ترافیک HTTPS کپسوله می شود. سپس به سرور HTTP می رود، جایی که با استفاده از API پردازش می شود. در اینجا یک نمونه درخواست از RFC 8484 (صفحه 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

بنابراین، ترافیک DNS در ترافیک HTTPS پنهان می شود. مشتری و سرور از طریق پورت استاندارد 443 ارتباط برقرار می کنند. در نتیجه، درخواست ها به سیستم نام دامنه ناشناس باقی می مانند.

چرا او مورد لطف قرار نمی گیرد؟

مخالفان DNS از طریق HTTPS آنها می گویندکه پروتکل جدید امنیت اتصالات را کاهش خواهد داد. توسط طبق Paul Vixie، یکی از اعضای تیم توسعه DNS، مسدود کردن سایت‌های بالقوه مخرب را برای مدیران سیستم دشوارتر می‌کند. کاربران عادی توانایی تنظیم کنترل‌های والدین مشروط در مرورگرها را از دست خواهند داد.

نظرات پل توسط ارائه دهندگان اینترنت بریتانیا به اشتراک گذاشته می شود. قانون کشور را ملزم می کند آنها را از منابعی با محتوای ممنوعه مسدود کنید. اما پشتیبانی از DoH در مرورگرها کار فیلتر کردن ترافیک را پیچیده می کند. منتقدان پروتکل جدید همچنین شامل مرکز ارتباطات دولتی در انگلستان (GCHQ) و بنیاد تماشای اینترنت (IWF) که یک رجیستر منابع مسدود شده را نگهداری می کند.

در وبلاگ ما در Habré:

• جنگ با تماس های رباتیک در ایالات متحده - چه کسی برنده است و چرا
• مخابرات بریتانیا برای قطع خدمات غرامت به مشترکان پرداخت خواهد کرد

کارشناسان خاطرنشان می کنند که DNS از طریق HTTPS می تواند به یک تهدید امنیت سایبری تبدیل شود. در ابتدای ماه جولای، متخصصان امنیت اطلاعات از Netlab کشف شده اولین ویروسی که از پروتکل جدید برای انجام حملات DDoS استفاده کرد - گودلوا. این بدافزار برای به دست آوردن سوابق متنی (TXT) و استخراج URL های سرور فرمان و کنترل به DoH دسترسی پیدا کرد.

درخواست های DoH رمزگذاری شده توسط نرم افزار آنتی ویروس شناسایی نشد. متخصصان امنیت اطلاعات ترسکه پس از Godlua بدافزارهای دیگری می آیند که برای نظارت غیرفعال DNS نامرئی هستند.

اما همه مخالف آن نیستند

در دفاع از DNS بر روی HTTPS در وبلاگ خود صحبت کرد مهندس APNIC جف هیوستون. به گفته وی، پروتکل جدید مبارزه با حملات ربودن DNS را که اخیراً به طور فزاینده ای رایج شده است، ممکن می کند. این حقیقت تأیید می کند گزارش ژانویه از شرکت امنیت سایبری FireEye. شرکت های بزرگ فناوری اطلاعات نیز از توسعه این پروتکل حمایت کردند.

در ابتدای سال گذشته، DoH در گوگل آزمایش شد. و یک ماه پیش شرکت ارایه شده نسخه عمومی در دسترس بودن سرویس DoH آن. در گوگل امید، که باعث افزایش امنیت داده های شخصی در شبکه و محافظت در برابر حملات MITM می شود.

یکی دیگر از توسعه دهندگان مرورگر - موزیلا - پشتیبانی می کند DNS از تابستان گذشته از طریق HTTPS. در عین حال، این شرکت به طور فعال در حال ترویج فناوری جدید در محیط IT است. برای این منظور، انجمن ارائه دهندگان خدمات اینترنتی (ISPA) حتی نامزد شده است موزیلا برای جایزه بهترین شرور اینترنتی سال. در پاسخ، نمایندگان شرکت اشاره شد، که از بی میلی اپراتورهای مخابراتی برای بهبود زیرساخت های قدیمی اینترنت خود ناامید شده اند.

/Unsplash/ TETrebbien

در حمایت از موزیلا رسانه های بزرگ صحبت کردند و برخی از ارائه دهندگان اینترنت. به ویژه، در British Telecom در نظر گرفتنپروتکل جدید بر فیلتر محتوا تأثیری نخواهد گذاشت و امنیت کاربران بریتانیا را بهبود خواهد بخشید. تحت فشار عمومی ISPA باید فراخوانی می شد نامزدی "شرور".

برای مثال، ارائه دهندگان ابری از معرفی DNS از طریق HTTPS نیز حمایت کردند CloudFlare را. آنها قبلاً خدمات DNS را بر اساس پروتکل جدید ارائه می دهند. فهرست کاملی از مرورگرها و کلاینت هایی که از DoH پشتیبانی می کنند در این آدرس موجود است GitHub.

در هر صورت هنوز نمی توان درباره پایان تقابل دو اردو صحبت کرد. کارشناسان فناوری اطلاعات پیش‌بینی می‌کنند که اگر قرار باشد DNS از طریق HTTPS به بخشی از پشته اصلی فناوری اینترنت تبدیل شود، این کار طول می‌کشد. نه یک دهه.

چه چیز دیگری در وبلاگ شرکتی خود می نویسیم:

• نحوه ساخت شبکه ارائه دهنده اینترنت
• خدمات اساسی در شبکه های ارائه دهنده اینترنت
• همگرایی و یکسان سازی - چندین کار در یک دستگاه

منبع: www.habr.com