Tykkää ja ei tykkää: DNS HTTPS:n kautta

Analysoimme mielipiteitä HTTPS:n DNS:n ominaisuuksista, joista on viime aikoina tullut Internet-palveluntarjoajien ja selainkehittäjien "kiistakehä".

/Unsplash/ Steve Halama

Erimielisyyden ydin

Viime aikoina tärkeimmät tiedotusvälineet и temaattiset alustat (mukaan lukien Habr), he kirjoittavat usein DNS over HTTPS (DoH) -protokollasta. Se salaa pyynnöt DNS-palvelimelle ja vastaukset niihin. Tämän lähestymistavan avulla voit piilottaa käyttäjän käyttämien isäntien nimet. Julkaisuista voimme päätellä, että uusi protokolla (IETF:ssä hyväksynyt sen vuonna 2018) jakoi IT-yhteisön kahteen leiriin.

Puolet uskoo, että uusi protokolla parantaa Internetin turvallisuutta ja ottavat sen käyttöön sovelluksiinsa ja palveluihinsa. Toinen puoli on vakuuttunut siitä, että tekniikka vain vaikeuttaa järjestelmänvalvojien työtä. Seuraavaksi analysoimme molempien osapuolten argumentteja.

Miten DoH toimii

Ennen kuin käsittelemme sitä, miksi Internet-palveluntarjoajat ja muut markkinatoimijat ovat DNS:n puolesta tai sitä vastaan ​​HTTPS:n kautta, katsotaanpa lyhyesti, miten se toimii.

DoH:n tapauksessa pyyntö IP-osoitteen määrittämiseksi on kapseloitu HTTPS-liikenteeseen. Se menee sitten HTTP-palvelimelle, jossa se käsitellään API:n avulla. Tässä on esimerkkipyyntö RFC 8484:ltä (sivu 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Siten DNS-liikenne on piilotettu HTTPS-liikenteeseen. Asiakas ja palvelin kommunikoivat vakioportin 443 kautta. Tämän seurauksena pyynnöt toimialueen nimijärjestelmään pysyvät anonyymeinä.

Miksi häntä ei suosita?

DNS:n vastustajat HTTPS:n kautta he sanovatettä uusi protokolla heikentää yhteyksien turvallisuutta. Tekijä: mukaan DNS-kehitystiimin jäsen Paul Vixie vaikeuttaa järjestelmänvalvojien mahdollisuuksia estää mahdollisesti haitallisia sivustoja. Tavalliset käyttäjät menettävät mahdollisuuden määrittää ehdollisia lapsilukkoasetuksia selaimissa.

Ison-Britannian internet-palveluntarjoajat jakavat Paulin näkemykset. Maan lainsäädäntö velvoittaa estää heitä pääsemästä resursseihin, joissa on kiellettyä sisältöä. Mutta DoH:n tuki selaimissa vaikeuttaa liikenteen suodattamista. Uuden protokollan arvostelijoita ovat myös Englannin hallituksen viestintäkeskus (GCHQ) ja Internet Watch Foundation (IWF), joka ylläpitää estettyjen resurssien rekisteriä.

Habren blogissamme:

• Roboccals sota Yhdysvalloissa - kuka voittaa ja miksi
• Brittiyhtiöt maksavat tilaajille korvauksia palvelukatkoksista

Asiantuntijat huomauttavat, että DNS yli HTTPS voi muodostua kyberturvallisuusuhkaksi. Heinäkuun alussa Netlabin tietoturva-asiantuntijat löydetty ensimmäinen virus, joka käytti uutta protokollaa DDoS-hyökkäyksiin - Godlua. Haittaohjelma käytti DoH:ta saadakseen tekstitietueita (TXT) ja poimiakseen komento- ja ohjauspalvelimen URL-osoitteita.

Virustorjuntaohjelmisto ei tunnistanut salattuja DoH-pyyntöjä. Tietoturvan asiantuntijat pelkoettä Godluan jälkeen tulee muita haittaohjelmia, jotka ovat näkymättömiä passiiviselle DNS-valvonnalle.

Mutta kaikki eivät ole sitä vastaan

Puolustaessaan DNS:ää HTTPS:n kautta blogissaan puhui APNIC-insinööri Geoff Houston. Hänen mukaansa uusi protokolla mahdollistaa viime aikoina yhä yleisempiä DNS-kaappaushyökkäyksiä vastaan. Tämä fakta vahvistaa Kyberturvallisuusyhtiö FireEyen tammikuun raportti. Myös suuret IT-yritykset tukivat protokollan kehittämistä.

Viime vuoden alussa DoH:ta alettiin testata Googlessa. Ja kuukausi sitten yritys esitetty DoH-palvelun yleinen saatavuusversio. Googlessa toivo, että se lisää henkilötietojen turvallisuutta verkossa ja suojaa MITM-hyökkäyksiltä.

Toinen selaimen kehittäjä - Mozilla - tukee DNS HTTPS:n kautta viime kesästä lähtien. Samalla yhtiö edistää aktiivisesti uutta teknologiaa IT-ympäristössä. Tätä varten Internet Services Providers Association (ISPA) jopa ehdolla Mozilla vuoden Internet-pahikselle. Vastauksena yrityksen edustajat huomioitu, jotka ovat turhautuneita teleoperaattoreiden haluttomuudesta parantaa vanhentunutta Internet-infrastruktuuriaan.

/Unsplash/ TETrebbien

Mozillan tueksi suuret tiedotusvälineet puhuivat ja jotkut Internet-palveluntarjoajat. Erityisesti British Telecomissa harkitaettä uusi protokolla ei vaikuta sisällön suodatukseen ja parantaa Yhdistyneen kuningaskunnan käyttäjien turvallisuutta. Yleisön painostuksen alla ISPA piti muistaa "pahis"-ehdokkuutta.

Pilvipalveluntarjoajat puolsivat myös esimerkiksi DNS:n käyttöönottoa HTTPS:n kautta CloudFlare. He tarjoavat jo DNS-palveluita uuteen protokollaan. Täydellinen luettelo DoH:ta tukevista selaimista ja asiakkaista on saatavilla osoitteessa GitHub.

Joka tapauksessa ei ole vielä mahdollista puhua kahden leirin välisen vastakkainasettelun päättymisestä. IT-asiantuntijat ennustavat, että jos DNS yli HTTPS:n on määrä tulla osaksi valtavirran Internet-teknologiapinoa, se kestää ei vuosikymmentä.

Mistä muusta kirjoitamme yritysblogissamme:

• Kuinka Internet-palveluntarjoajan verkko rakennetaan
• Peruspalvelut Internet-palveluntarjoajien verkoissa
• Konvergenssi ja yhdistäminen – useita tehtäviä yhdellä laitteella

Lähde: will.com