Tetszik és nem tetszik: DNS HTTPS-n keresztül

Elemezzük a HTTPS-n keresztüli DNS szolgáltatásaival kapcsolatos véleményeket, amelyek az utóbbi időben „vitacsillaggá” váltak az internetszolgáltatók és a böngészőfejlesztők körében.

/Unsplash/ Steve Halama

A nézeteltérés lényege

Utóbbi időben jelentős médiumok и tematikus platformok (beleértve a Habr-t is), gyakran írnak a DNS over HTTPS (DoH) protokollról. Titkosítja a DNS-kiszolgálóhoz intézett kéréseket és az azokra adott válaszokat. Ez a megközelítés lehetővé teszi a felhasználó által elért gazdagépek nevének elrejtését. A publikációkból arra a következtetésre juthatunk, hogy az új protokoll (az IETF-ben jóváhagyta 2018-ban) két táborra osztotta az informatikai közösséget.

A fele úgy gondolja, hogy az új protokoll javítani fogja az internet biztonságát, és ezt beépítik alkalmazásaikba és szolgáltatásaikba. A másik fele meg van győződve arról, hogy a technológia csak megnehezíti a rendszergazdák dolgát. Ezután mindkét oldal érveit elemezzük.

Hogyan működik a DoH

Mielőtt rátérnénk arra, hogy az internetszolgáltatók és más piaci szereplők miért támogatják vagy ellenzik a DNS-t HTTPS-n keresztül, nézzük meg röviden, hogyan működik.

A DoH esetében az IP-cím meghatározására irányuló kérés HTTPS-forgalomba van beágyazva. Ezután a HTTP szerverre kerül, ahol az API segítségével feldolgozzák. Íme egy példa kérés az RFC 8484-től (6 oldal):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Így a DNS-forgalom el van rejtve a HTTPS-forgalomban. Az ügyfél és a kiszolgáló a szabványos 443-as porton keresztül kommunikál egymással. Ennek eredményeként a tartománynévrendszerhez intézett kérések névtelenek maradnak.

Miért nem őt kedvelik?

A HTTPS-en keresztüli DNS ellenzői mondhogy az új protokoll csökkenti a kapcsolatok biztonságát. Által szerint Paul Vixie, a DNS-fejlesztő csapat tagja megnehezíti a rendszergazdák dolgát, hogy blokkolják a potenciálisan rosszindulatú webhelyeket. Az átlagos felhasználók elveszítik a feltételes szülői felügyelet beállításának lehetőségét a böngészőkben.

Paul nézeteit az Egyesült Királyság internetszolgáltatói is osztják. Az ország jogszabályai kötelezi blokkolja őket a tiltott tartalmú forrásokból. De a DoH támogatása a böngészőkben megnehezíti a forgalom szűrésének feladatát. Az új protokoll kritikusai közé tartozik az angliai kormányzati kommunikációs központ is (GCHQ) és az Internet Watch Foundation (IWF), amely nyilvántartást vezet a blokkolt erőforrásokról.

Habré blogunkban:

• Háború a robothívások ellen az USA-ban – ki nyer és miért
• A brit távközlés kártérítést fizet az előfizetőknek a szolgáltatás megszakadásáért

A szakértők megjegyzik, hogy a HTTPS-n keresztüli DNS kiberbiztonsági fenyegetéssé válhat. Július elején a Netlab információbiztonsági szakemberei felfedezték az első vírus, amely az új protokollt használta DDoS támadások végrehajtására - Godlua. A rosszindulatú program hozzáfért a DoH-hoz, hogy szöveges rekordokat (TXT) szerezzen, és kivonja a parancs- és vezérlőkiszolgáló URL-címeit.

A titkosított DoH kéréseket a víruskereső szoftver nem ismerte fel. Információbiztonsági szakemberek félelemhogy Godlua után más rosszindulatú programok is érkeznek, amelyek láthatatlanok a passzív DNS-felügyelet számára.

De nem mindenki ellenzi

A HTTPS-en keresztüli DNS védelmében a blogjában elmondja a véleményét APNIC mérnök Geoff Houston. Elmondása szerint az új protokoll lehetővé teszi az utóbbi időben egyre gyakoribbá váló DNS-eltérítő támadások elleni küzdelmet. Ezt a tényt megerősíti A FireEye kiberbiztonsági cég januári jelentése. A protokoll fejlesztését nagy informatikai cégek is támogatták.

Tavaly év elején kezdték el tesztelni a DoH-t a Google-nál. És egy hónappal ezelőtt a cég bemutatott DoH szolgáltatásának általános elérhetőségi verziója. A Google-on remény, hogy növeli a személyes adatok biztonságát a hálózaton és védelmet nyújt a MITM támadásokkal szemben.

Egy másik böngésző fejlesztő - Mozilla - támogatja DNS HTTPS-en keresztül tavaly nyár óta. Ugyanakkor a cég aktívan népszerűsíti az új technológiákat az informatikai környezetben. Ehhez az Internet Services Providers Association (ISPA) sőt jelölték is A Mozilla az év internetes gonosztevője díjért. Válaszul a cég képviselői neves, akiket frusztrált a távközlési szolgáltatók vonakodása elavult internetes infrastruktúrájuk fejlesztésétől.

/Unsplash/ TETrebbien

A Mozilla támogatására megszólalt a nagy média és néhány internetszolgáltató. Különösen a British Telecomnál úgyhogy az új protokoll nem érinti a tartalomszűrést, és javítja a brit felhasználók biztonságát. A nyilvánosság nyomására ISPA vissza kellett idézni "gazember" jelölés.

A felhőszolgáltatók például a DNS HTTPS-en keresztüli bevezetését is támogatták CloudFlare. Már kínálnak DNS-szolgáltatásokat az új protokoll alapján. A DoH-t támogató böngészők és kliensek teljes listája itt érhető el GitHub.

Mindenesetre a két tábor közötti összetűzés végéről még nem lehet beszélni. Az informatikai szakértők azt jósolják, hogy ha a HTTPS-n keresztüli DNS-nek a sorsa a mainstream internetes technológiai halmaz részévé válik, nem egy évtizedet.

Amiről még írunk céges blogunkban:

• Hogyan épül fel az internetszolgáltató hálózat
• Alapszolgáltatások az internetszolgáltatói hálózatokban
• Konvergencia és egységesítés – több feladat egy eszközön

Forrás: will.com