Sviđanja i nesviđanja: DNS preko HTTPS-a

Analiziramo mišljenja o značajkama DNS-a preko HTTPS-a, koje su nedavno postale "jabuka razdora" među pružateljima internetskih usluga i programerima preglednika.

/Ukloni prskanje/ Steve Halama

Suština neslaganja

Nedavno glavni mediji и tematske platforme (uključujući Habr), često pišu o DNS preko HTTPS (DoH) protokola. Šifrira zahtjeve DNS poslužitelju i odgovore na njih. Ovaj vam pristup omogućuje skrivanje imena računala kojima korisnik pristupa. Iz publikacija možemo zaključiti da novi protokol (u IETF odobrio ga 2018.) podijelio je IT zajednicu na dva tabora.

Polovica vjeruje da će novi protokol poboljšati internetsku sigurnost i implementira ga u svoje aplikacije i usluge. Druga polovica je uvjerena da tehnologija samo otežava posao administratorima sustava. Zatim ćemo analizirati argumente obje strane.

Kako funkcionira DoH

Prije nego što uđemo u pitanje zašto su ISP-ovi i drugi sudionici na tržištu za ili protiv DNS-a preko HTTPS-a, pogledajmo ukratko kako funkcionira.

U slučaju DoH-a, zahtjev za određivanje IP adrese enkapsuliran je u HTTPS promet. Zatim odlazi na HTTP poslužitelj, gdje se obrađuje pomoću API-ja. Ovdje je primjer zahtjeva iz RFC 8484 (stranicu 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Stoga je DNS promet skriven u HTTPS prometu. Klijent i poslužitelj komuniciraju preko standardnog porta 443. Kao rezultat toga, zahtjevi prema sustavu naziva domene ostaju anonimni.

Zašto nije favoriziran?

Protivnici DNS-a preko HTTPS-a rećida će novi protokol smanjiti sigurnost veza. Po prema Paul Vixie, član DNS razvojnog tima, otežat će administratorima sustava blokiranje potencijalno zlonamjernih stranica. Obični korisnici izgubit će mogućnost postavljanja uvjetne roditeljske kontrole u preglednicima.

Paulova stajališta dijele britanski pružatelji usluga interneta. Zakonodavstvo zemlje obvezuje blokirati ih od izvora sa zabranjenim sadržajem. Ali podrška za DoH u preglednicima komplicira zadatak filtriranja prometa. Kritičari novog protokola su i Vladin komunikacijski centar u Engleskoj (GCHQ) i Internet Watch Foundation (IWF), koji održava registar blokiranih izvora.

Na našem blogu na Habréu:

• Američki rat robotskih poziva - tko pobjeđuje i zašto
• Britanski telekomi plaćat će pretplatnicima naknadu za prekide usluge

Stručnjaci napominju da DNS preko HTTPS-a može postati prijetnja kibernetičkoj sigurnosti. Početkom srpnja stručnjaci za informacijsku sigurnost iz Netlaba otkrio prvi virus koji je koristio novi protokol za izvođenje DDoS napada - Godlua. Zlonamjerni softver pristupio je DoH-u kako bi dobio tekstualne zapise (TXT) i izdvojio URL-ove poslužitelja za naredbe i kontrolu.

Antivirusni softver nije prepoznao šifrirane DoH zahtjeve. Stručnjaci za informacijsku sigurnost se bojeda će nakon Godlue doći drugi zlonamjerni softver, nevidljiv pasivnom DNS nadzoru.

Ali nisu svi protiv toga

U obrani DNS-a preko HTTPS-a na svom blogu progovorio APNIC inženjer Geoff Houston. Prema njegovim riječima, novi protokol će omogućiti borbu protiv napada otmice DNS-a, koji su u posljednje vrijeme sve češći. Ova činjenica potvrđuje Siječanjsko izvješće tvrtke za kibernetičku sigurnost FireEye. Razvoj protokola podržale su i velike IT tvrtke.

Početkom prošle godine DoH je počeo testirati Google. A prije mjesec dana tvrtka predstavio Verzija opće dostupnosti svoje DoH usluge. Na Googleu nada, da će povećati sigurnost osobnih podataka na mreži i zaštititi od MITM napada.

Još jedan programer preglednika - Mozilla - podupire DNS preko HTTPS-a od prošlog ljeta. Istovremeno, tvrtka aktivno promiče nove tehnologije u IT okruženju. U tu svrhu Udruga pružatelja internetskih usluga (ISPA) čak i nominiran Mozilla za nagradu Internet negativac godine. Kao odgovor, predstavnici tvrtke obilježiti, koji su frustrirani nevoljkošću telekom operatera da poboljšaju svoju zastarjelu internetsku infrastrukturu.

/Ukloni prskanje/ TETrebbien

Kao podrška Mozilli oglasili su se veliki mediji i neki Internet provideri. Konkretno, u British Telecomu uzeti u obzirda novi protokol neće utjecati na filtriranje sadržaja i da će poboljšati sigurnost korisnika u Velikoj Britaniji. Pod pritiskom javnosti ISPA morao biti opozvan nominacija "zlikovac".

Cloud provideri također su zagovarali uvođenje DNS-a preko HTTPS-a, na primjer CloudFlare. Oni već nude DNS usluge temeljene na novom protokolu. Kompletan popis preglednika i klijenata koji podržavaju DoH dostupan je na GitHub.

U svakom slučaju, još se ne može govoriti o kraju obračuna dvaju tabora. IT stručnjaci predviđaju da će, ako je suđeno da DNS preko HTTPS-a postane dio glavne internetske tehnologije, trebati više od jednog desetljeća.

O čemu još pišemo na našem korporativnom blogu:

• Kako je izgrađena mreža Internet providera
• Osnovne usluge u mrežama Internet providera
• Konvergencija i unifikacija - više zadataka na jednom uređaju

Izvor: www.habr.com