Gústame e non me gusta: DNS sobre HTTPS

Analizamos opinións sobre as funcións de DNS sobre HTTPS, que recentemente se converteron nun "ánimo de discordia" entre os provedores de Internet e os desenvolvedores de navegadores.

/Unsplash/ Steve Halama

A esencia do desacordo

Ultimamente grandes medios de comunicación и plataformas temáticas (incluíndo Habr), adoitan escribir sobre o protocolo DNS sobre HTTPS (DoH). Cifra as solicitudes ao servidor DNS e as respostas a elas. Este enfoque permítelle ocultar os nomes dos hosts aos que accede o usuario. Das publicacións podemos concluír que o novo protocolo (no IETF aprobouno en 2018) dividiu a comunidade informática en dous campos.

A metade cre que o novo protocolo mellorará a seguridade en Internet e está a implementala nas súas aplicacións e servizos. A outra metade está convencida de que a tecnoloxía só dificulta o traballo dos administradores de sistemas. A continuación, analizaremos os argumentos de ambas as partes.

Como funciona DoH

Antes de entender por que os ISP e outros participantes no mercado están a favor ou en contra do DNS a través de HTTPS, vexamos brevemente como funciona.

No caso de DoH, a solicitude para determinar o enderezo IP está encapsulada no tráfico HTTPS. Logo vai ao servidor HTTP, onde se procesa mediante a API. Aquí tes un exemplo de solicitude do RFC 8484 (páxina 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Así, o tráfico DNS está oculto no tráfico HTTPS. O cliente e o servidor comunícanse a través do porto estándar 443. Como resultado, as solicitudes ao sistema de nomes de dominio permanecen anónimas.

Por que non se lle favorece?

Opositores ao DNS sobre HTTPS din elesque o novo protocolo reducirá a seguridade das conexións. Por segundo Paul Vixie, membro do equipo de desenvolvemento de DNS, dificultará que os administradores do sistema bloqueen sitios potencialmente maliciosos. Os usuarios normais perderán a capacidade de configurar controis parentais condicionais nos navegadores.

As opinións de Paul son compartidas polos provedores de Internet do Reino Unido. Lexislación do país obriga bloquealos dos recursos con contido prohibido. Pero o soporte para DoH nos navegadores complica a tarefa de filtrar o tráfico. Os críticos do novo protocolo tamén inclúen o Centro de Comunicacións do Goberno en Inglaterra (GCHQ) e a Internet Watch Foundation (IWF), que mantén un rexistro de recursos bloqueados.

No noso blog sobre Habré:

• A guerra contra as chamadas automáticas nos EUA: quen está gañando e por que
• As telecomunicacións británicas pagarán aos abonados unha compensación polas interrupcións do servizo

Os expertos sinalan que o DNS sobre HTTPS pode converterse nunha ameaza para a ciberseguridade. A principios de xullo, especialistas en seguridade da información de Netlab descuberto o primeiro virus que utilizou o novo protocolo para realizar ataques DDoS - Godlua. O malware accedeu a DoH para obter rexistros de texto (TXT) e extraer os URL do servidor de comandos e control.

As solicitudes de DoH cifradas non foron recoñecidas polo software antivirus. Especialistas en seguridade da información medoque despois de Godlua virán outros programas maliciosos, invisibles para o seguimento pasivo de DNS.

Pero non todos están en contra

En defensa do DNS sobre HTTPS no seu blog falou O enxeñeiro APNIC Geoff Houston. Segundo el, o novo protocolo permitirá combater os ataques de secuestro de DNS, que recentemente se fixeron cada vez máis habituais. Este feito confirma Informe de xaneiro da empresa de ciberseguridade FireEye. As grandes empresas de TI tamén apoiaron o desenvolvemento do protocolo.

A principios do ano pasado, DoH comezou a ser probado en Google. E hai un mes a empresa presentado Versión de dispoñibilidade xeral do seu servizo DoH. En Google esperanza, que aumentará a seguridade dos datos persoais na rede e protexerá contra ataques do MITM.

Outro programador de navegador - Mozilla - soportes DNS a través de HTTPS desde o verán pasado. Ao mesmo tempo, a empresa está a promover activamente as novas tecnoloxías no ámbito informático. Para iso, a Asociación de Provedores de Servizos de Internet (ISPA) incluso nomeado Premio Mozilla ao Vilán de Internet do Ano. En resposta, os representantes da empresa anotado, que se ven frustrados pola reticencia dos operadores de telecomunicacións a mellorar a súa obsoleta infraestrutura de Internet.

/Unsplash/ TETrebbien

En apoio de Mozilla pronunciaronse os principais medios e algúns provedores de Internet. En particular, en British Telecom considereque o novo protocolo non afectará ao filtrado de contidos e mellorará a seguridade dos usuarios do Reino Unido. Baixo a presión pública ISPA houbo que lembrar nominación "vilán".

Os provedores de nube tamén defenderon a introdución de DNS sobre HTTPS, por exemplo Cloudflare. Xa ofrecen servizos DNS baseados no novo protocolo. Unha lista completa de navegadores e clientes que admiten DoH está dispoñible en GitHub.

En todo caso, aínda non se pode falar do final do enfrontamento entre ambos os campos. Os expertos en TI prevén que se o DNS a través de HTTPS está destinado a formar parte da pila de tecnoloxía de Internet convencional, será necesario máis dunha década.

Que máis escribimos no noso blog corporativo:

• Como está construída a rede de provedores de Internet
• Servizos básicos nas redes de provedores de Internet
• Converxencia e unificación: varias tarefas nun dispositivo

Fonte: www.habr.com