Is toil leat agus nach toil leat: DNS thairis air HTTPS

Bidh sinn a’ dèanamh anailis air beachdan a thaobh feartan DNS thairis air HTTPS, a thàinig gu bhith na “cnàimh connspaid” o chionn ghoirid am measg solaraichean eadar-lìn agus luchd-leasachaidh bhrobhsair.

/Thoir às/ Steve Halama

Bun-bheachd an eas-aonta

O chionn ghoirid prìomh mheadhanan и àrd-ùrlaran cuspaireil (a’ toirt a-steach Habr) gu tric a’ sgrìobhadh mun phròtacal DNS thairis air HTTPS (DoH). Bidh e a’ crioptachadh iarrtasan agus freagairtean DNS. Leigidh an dòigh-obrach seo leat na h-ainmean aoigheachd a gheibh an neach-cleachdaidh a fhalach. Bho na foillseachaidhean, faodaidh sinn a cho-dhùnadh gu bheil am protocol ùr (ann an IETF dh'aontaich e ann an 2018) roinn a’ choimhearsnachd IT ann an dà champa.

Tha leth den bheachd gun àrdaich am protocol ùr tèarainteachd an eadar-lìn, agus gun cuir e an gnìomh e anns na tagraidhean agus na seirbheisean aca. Tha an leth eile cinnteach nach eil teicneòlas a’ dèanamh ach obair luchd-rianachd an t-siostaim nas duilghe. Bheir sinn sùil air na h-argamaidean air gach taobh.

Mar a tha DoH ag obair

Mus leum sinn a-steach gu deasbad air carson a tha ISPan agus com-pàirtichean margaidh eile airson no an aghaidh DNS thairis air HTTPS, leig dhuinn sùil aithghearr a thoirt air mar a tha e ag obair.

A thaobh DoH, tha an t-iarrtas airson seòladh IP a dhearbhadh air a chuartachadh ann an trafaic HTTPS. An uairsin thèid e chun t-seirbheisiche HTTP, far a bheil e air a phròiseasadh leis an API. Seo eisimpleir iarrtas bho RFC 8484 (duilleag 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Mar sin tha trafaic DNS falaichte ann an trafaic HTTPS. Bidh an neach-dèiligidh agus an frithealaiche a’ conaltradh air a’ phort àbhaisteach 443. Mar thoradh air an sin, tha iarrtasan don t-siostam ainm fearainn fhathast gun urra.

Carson nach eil fàilte air

Luchd-dùbhlain DNS thairis air HTTPS tha iad ag ràdhgun lughdaich am protocol ùr tèarainteachd cheanglaichean. Le bhith a rèir Nì Paul Vixie, ball de sgioba leasachaidh DNS, e nas duilghe dha sysadmins casg a chuir air làraich a dh’ fhaodadh a bhith droch-rùnach. Caillidh luchd-cleachdaidh àbhaisteach an comas smachdan phàrantan le chumhachan a stèidheachadh ann am brobhsairean.

Tha beachd Phòil air a cho-roinn le ISPan na RA. Reachd na dùthcha dleastanas gus goireasan a bhacadh le susbaint toirmisgte. Ach tha taic DoH ann am brobhsairean a’ dèanamh obair nas duilghe trafaic a shìoladh. Tha luchd-càineadh a’ phròtacal ùr cuideachd a’ toirt a-steach Ionad Conaltraidh an Riaghaltais ann an Sasainn (GCHQ) agus an Internet Watch Foundation (IMF), a chumas clàr de ghoireasan dùinte.

Anns a’ bhlog againn air Habré:

• Cogadh robocall na SA - cò a bhuannaich agus carson
• Pàighidh cian-chonaltradh Bhreatainn airgead-dìolaidh do luchd-aontachaidh airson dì-cheangail

Tha eòlaichean a’ toirt fa-near gum faod DNS thairis air HTTPS a bhith na chunnart do cybersecurity. Aig toiseach an Iuchair, eòlaichean tèarainteachd fiosrachaidh bho Netlab lorg a’ chiad bhìoras a chleachd am protocol ùr gus ionnsaighean DDoS a dhèanamh - Godlua. Fhuair an malware cothrom air DoH gus clàran teacsa fhaighinn (.txt) agus thoir a-mach URLan frithealaichean àithne is smachd.

Cha deach iarrtasan crioptaichte DoH aithneachadh le bathar-bog antivirus. eòlaichean tèarainteachd fiosrachaidh eagalgun tig malware eile às deidh Godlua, do-fhaicsinneach do sgrùdadh DNS fulangach.

Ach chan eil a h-uile duine an aghaidh

Mar dhìon DNS thairis air HTTPS air mo bhlog labhair a mach Einnseanair APNIC Geoff Houston. A rèir e, cuidichidh am protocol ùr le bhith a’ sabaid ionnsaighean fuadach DNS, a tha air fàs nas cumanta o chionn ghoirid. An fhìrinn seo a ’dearbhadh Aithisg Faoilleach bhon chompanaidh tèarainteachd fiosrachaidh FireEye. Fhuair leasachadh a’ phròtacal taic cuideachd bho chompanaidhean IT mòra.

Aig toiseach na bliadhna an-uiridh, thòisich DoH air a dhearbhadh aig Google. Agus mìos air ais a 'chompanaidh air a thaisbeanadh Tionndadh Coitcheann ri fhaighinn den t-seirbheis DoH aca. Google dòchasgun àrdaich e tèarainteachd dàta pearsanta air an lìonra agus gun dìon e an aghaidh ionnsaighean MITM.

leasaiche brabhsair eile - Mozilla - a ’toirt taic DNS thairis air HTTPS bhon t-samhradh an-uiridh. Aig an aon àm, tha a 'chompanaidh gu gnìomhach a' brosnachadh teicneòlas ùr ann an àrainneachd IT. Airson seo, tha Comann Solaraichean Seirbheisean Eadar-lìn (ISPA) eadhon air ainmeachadh Mozilla airson Internet Villain of the Year. Mar fhreagairt, riochdairean bhon chompanaidh thugadh faineara tha tàmailteach leis nach eil luchd-obrachaidh cian-chonaltraidh deònach am bun-structar eadar-lìn seann-fhasanta a leasachadh.

/Thoir às/ TETrebbien

A chuireas taic ri Mozilla bhruidhinn na prìomh mheadhanan agus cuid de sholaraichean eadar-lìn. Gu sònraichte, ann am British Telecom beachdaichnach toir am protocol ùr buaidh air sìoladh susbaint agus gun àrdaich e sàbhailteachd luchd-cleachdaidh na RA. Fo chuideam poblach ISPA b’ fheudar a tharraing air ais ainmeachadh "villainous".

Bha solaraichean Cloud cuideachd a’ tagradh airson buileachadh DNS thairis air HTTPS, mar eisimpleir Cloudflare. Tha iad mu thràth a’ tabhann seirbheisean DNS stèidhichte air a’ phròtacal ùr. Airson liosta iomlan de bhrobhsairean agus teachdaichean le comas DoH, faic GitHub.

Ann an suidheachadh sam bith, chan eil e riatanach fhathast bruidhinn mu dheireadh a 'chòmhstri eadar an dà champa. Tha buannachdan IT a’ ro-innse ma tha DNS thairis air HTTPS gu bhith na phàirt den stac mòr teicneòlas eadar-lìn, gun toir e chan e deich bliadhna.

Dè eile a bhios sinn a’ sgrìobhadh mu dheidhinn nar blog corporra:

• Mar a tha lìonra ISP air a thogail
• Seirbheisean bunaiteach ann an lìonraidhean ISP
• Co-fhilleadh agus aonachadh - ioma gnìomhan air aon inneal

Source: www.habr.com