Aime et n'aime pas : DNS sur HTTPS

Nous analysons les opinions concernant les fonctionnalités du DNS sur HTTPS, qui sont récemment devenues une « pomme de discorde » parmi les fournisseurs Internet et les développeurs de navigateurs.

/Unsplash/ Steve Halama

L'essence du désaccord

Récemment grands médias и plateformes thématiques (y compris Habr), ils écrivent souvent sur le protocole DNS sur HTTPS (DoH). Il crypte les requêtes adressées au serveur DNS et les réponses qui y sont adressées. Cette approche vous permet de masquer les noms des hôtes auxquels l'utilisateur accède. D'après les publications, nous pouvons conclure que le nouveau protocole (de l'IETF l'a approuvé en 2018) a divisé la communauté informatique en deux camps.

La moitié d’entre eux pensent que le nouveau protocole améliorera la sécurité Internet et le mettent en œuvre dans leurs applications et services. L’autre moitié est convaincue que la technologie ne fait que rendre le travail des administrateurs système plus difficile. Ensuite, nous analyserons les arguments des deux côtés.

Comment fonctionne DoH

Avant d'expliquer pourquoi les FAI et autres acteurs du marché sont pour ou contre le DNS sur HTTPS, examinons brièvement son fonctionnement.

Dans le cas du DoH, la demande de détermination de l'adresse IP est encapsulée dans le trafic HTTPS. Il est ensuite envoyé au serveur HTTP, où il est traité à l'aide de l'API. Voici un exemple de requête de la RFC 8484 (page 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Ainsi, le trafic DNS est masqué dans le trafic HTTPS. Le client et le serveur communiquent via le port standard 443. En conséquence, les requêtes adressées au système de noms de domaine restent anonymes.

Pourquoi n'est-il pas favorisé ?

Les opposants au DNS sur HTTPS говорятque le nouveau protocole réduira la sécurité des connexions. Par СЃР »РѕРІР ° Рј Paul Vixie, membre de l'équipe de développement DNS, rendra plus difficile pour les administrateurs système le blocage des sites potentiellement malveillants. Les utilisateurs ordinaires perdront la possibilité de configurer des contrôles parentaux conditionnels dans les navigateurs.

Les points de vue de Paul sont partagés par les fournisseurs d’accès Internet britanniques. Législation nationale oblige bloquez-les des ressources au contenu interdit. Mais la prise en charge de DoH dans les navigateurs complique la tâche de filtrage du trafic. Les critiques du nouveau protocole incluent également le Government Communications Centre en Angleterre (GCHQ) et la Fondation Internet Watch (IWF), qui tient un registre des ressources bloquées.

Sur notre blog sur Habré :

• Guerre des appels automatisés aux États-Unis - qui gagne et pourquoi
• Les télécoms britanniques verseront à leurs abonnés une compensation pour les interruptions de service

Les experts notent que le DNS sur HTTPS peut devenir une menace pour la cybersécurité. Début juillet, les spécialistes de la sécurité de l'information de Netlab trouvé le premier virus à utiliser le nouveau protocole pour mener des attaques DDoS - Godlua. Le malware a accédé à DoH pour obtenir des enregistrements texte (TXT) et extraire les URL des serveurs de commande et de contrôle.

Les requêtes DoH cryptées n'étaient pas reconnues par le logiciel antivirus. Spécialistes de la sécurité de l'information peurqu'après Godlua, d'autres logiciels malveillants viendront, invisibles à la surveillance DNS passive.

Mais tout le monde n’est pas contre

Pour la défense du DNS sur HTTPS sur son blog a parlé Geoff Houston, ingénieur de l'APNIC. Selon lui, le nouveau protocole permettra de lutter contre les attaques de détournement de DNS, devenues de plus en plus courantes ces derniers temps. Ce fait confirme Rapport de janvier de la société de cybersécurité FireEye. De grandes sociétés informatiques ont également soutenu le développement du protocole.

Au début de l'année dernière, DoH a commencé à être testé chez Google. Et il y a un mois, l'entreprise présenté Version de disponibilité générale de son service DoH. Sur Google espère, qu'il augmentera la sécurité des données personnelles sur le réseau et les protégera contre les attaques MITM.

Un autre développeur de navigateur - Mozilla - soutient le DNS sur HTTPS depuis l'été dernier. Dans le même temps, l’entreprise promeut activement les nouvelles technologies dans l’environnement informatique. Pour cela, l'Association des fournisseurs de services Internet (ISPA) même nominé Mozilla pour le prix du méchant Internet de l'année. En réponse, les représentants de l'entreprise noté, frustrés par la réticence des opérateurs télécoms à améliorer leur infrastructure Internet obsolète.

/Unsplash/ TETrebbien

En soutien à Mozilla les grands médias se sont exprimés et certains fournisseurs Internet. En particulier, chez British Telecom considérerque le nouveau protocole n'affectera pas le filtrage du contenu et améliorera la sécurité des utilisateurs britanniques. Sous la pression du public ISPA il a fallu le rappeler nomination de «méchant».

Les fournisseurs de cloud ont également préconisé l'introduction du DNS sur HTTPS, par exemple Cloudflare. Ils proposent déjà des services DNS basés sur le nouveau protocole. Une liste complète des navigateurs et des clients prenant en charge DoH est disponible sur GitHub.

En tout cas, il n’est pas encore possible de parler de fin de l’affrontement entre les deux camps. Les experts informatiques prédisent que si le DNS sur HTTPS est destiné à faire partie de la pile technologique Internet grand public, il faudra pas une décennie.

Sur quoi d'autre nous écrivons sur notre blog d'entreprise :

• Comment est construit le réseau du fournisseur Internet
• Services de base dans les réseaux des fournisseurs Internet
• Convergence et unification - plusieurs tâches sur un seul appareil

Source: habr.com