Հավանումներ և չհավանումներ՝ DNS՝ HTTPS-ի միջոցով

Մենք վերլուծում ենք կարծիքները HTTPS-ի միջոցով DNS-ի առանձնահատկությունների վերաբերյալ, որոնք վերջերս դարձել են «կռվախնձոր» ինտերնետ պրովայդերների և բրաուզեր մշակողների միջև:

/Unsplash/ Սթիվ Հալամա

Անհամաձայնության էությունը

Վերջերս խոշոր լրատվամիջոցներ и թեմատիկ հարթակներ (ներառյալ Habr-ը), նրանք հաճախ գրում են DNS-ի մասին HTTPS (DoH) արձանագրության միջոցով: Այն կոդավորում է հարցումները DNS սերվերին և դրանց պատասխանները: Այս մոտեցումը թույլ է տալիս թաքցնել հյուրընկալողների անունները, որոնց օգտատերը մուտք է գործում: Հրապարակումներից կարելի է եզրակացնել, որ նոր արձանագրությունը (IETF-ում հաստատել է այն 2018 թվականին) ՏՏ համայնքը բաժանեց երկու ճամբարի։

Կեսը կարծում է, որ նոր արձանագրությունը կբարելավի ինտերնետի անվտանգությունը և այն ներդնում են իրենց հավելվածներում և ծառայություններում: Մյուս կեսը համոզված է, որ տեխնոլոգիան միայն բարդացնում է համակարգի ադմինիստրատորների գործը։ Հաջորդիվ կվերլուծենք երկու կողմերի փաստարկները։

Ինչպես է աշխատում DoH-ը

Նախքան անդրադառնանք, թե ինչու են ISP-ները և շուկայի այլ մասնակիցները կողմ կամ դեմ DNS-ին HTTPS-ի միջոցով, եկեք համառոտ նայենք, թե ինչպես է այն աշխատում:

DoH-ի դեպքում IP հասցեն որոշելու հարցումն ամփոփվում է HTTPS տրաֆիկի մեջ: Այնուհետև այն գնում է HTTP սերվեր, որտեղ այն մշակվում է API-ի միջոցով: Ահա հարցման օրինակ RFC 8484-ից (էջ 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Այսպիսով, DNS տրաֆիկը թաքնված է HTTPS տրաֆիկի մեջ: Հաճախորդը և սերվերը շփվում են 443 ստանդարտ պորտի միջոցով: Արդյունքում դոմենային անունների համակարգին ուղղված հարցումները մնում են անանուն:

Ինչո՞ւ նրան ձեռնտու չէ:

DNS-ի հակառակորդները HTTPS-ի վրա նրանք ասում ենոր նոր արձանագրությունը կնվազեցնի կապերի անվտանգությունը։ Ըստ ըստ DNS-ի մշակման թիմի անդամ Փոլ Վիքսին ավելի կդժվարացնի համակարգի ադմինիստրատորների համար պոտենցիալ վնասակար կայքերի արգելափակումը: Սովորական օգտատերերը կկորցնեն բրաուզերներում պայմանական ծնողական հսկողություն սահմանելու հնարավորությունը:

Փոլի տեսակետները կիսում են Մեծ Բրիտանիայի ինտերնետ պրովայդերները: Երկրի օրենսդրությունը պարտավորեցնում է արգելափակել դրանք արգելված բովանդակությամբ ռեսուրսներից: Բայց բրաուզերներում DoH-ի աջակցությունը բարդացնում է թրաֆիկի զտման խնդիրը: Նոր արձանագրության քննադատները ներառում են նաև Անգլիայի Կառավարական հաղորդակցության կենտրոնը (GCHQ) և Internet Watch Foundation (IWF), որը վարում է արգելափակված ռեսուրսների ռեգիստր։

Habré-ի մեր բլոգում.

• ԱՄՆ ռոբոտ պատերազմ. ով է հաղթում և ինչու
• Բրիտանական հեռահաղորդակցությունները բաժանորդներին փոխհատուցում կվճարեն ծառայության ընդհատումների համար

Փորձագետները նշում են, որ HTTPS-ի միջոցով DNS-ը կարող է դառնալ կիբերանվտանգության սպառնալիք: Հուլիսի սկզբին Netlab-ի տեղեկատվական անվտանգության մասնագետները հայտնաբերված առաջին վիրուսը, որն օգտագործեց նոր արձանագրությունը DDoS հարձակումներ իրականացնելու համար. Գոդլուա. Չարամիտ ծրագիրը մուտք է գործել DoH՝ տեքստային գրառումներ (TXT) ձեռք բերելու և հրամանների և կառավարման սերվերի URL-ներ հանելու համար:

Կոդավորված DoH հարցումները չեն ճանաչվել հակավիրուսային ծրագրերի կողմից: Տեղեկատվական անվտանգության մասնագետներ վախոր Godlua-ից հետո կգան այլ չարամիտ ծրագրեր, որոնք անտեսանելի կլինեն պասիվ DNS մոնիտորինգի համար:

Բայց ոչ բոլորն են դեմ դրան

Ի պաշտպանություն DNS-ի HTTPS-ի միջոցով իր բլոգում խոսեց APNIC-ի ինժեներ Ջեֆ Հյուսթոն: Նրա խոսքով, նոր արձանագրությունը կօգնի պայքարել DNS-ի առևանգման հարձակումների դեմ, որոնք վերջին շրջանում հաճախակի են դառնում։ Այս փաստը հաստատում է Հունվարի զեկույցը կիբերանվտանգության FireEye ընկերության կողմից: Արձանագրության մշակմանն աջակցել են նաև ՏՏ ոլորտի խոշոր ընկերությունները։

Անցյալ տարվա սկզբին DoH-ը սկսեց փորձարկել Google-ում։ Իսկ մեկ ամիս առաջ ընկերությունը ներկայացրել Իր DoH ծառայության ընդհանուր հասանելիության տարբերակը: Google-ում հույս, որ դա կբարձրացնի անձնական տվյալների անվտանգությունը ցանցում և կպաշտպանի MITM հարձակումներից։

Մեկ այլ բրաուզերի մշակող՝ Mozilla. աջակցում է DNS-ը HTTPS-ով անցած ամառվանից: Միևնույն ժամանակ, ընկերությունն ակտիվորեն խթանում է նոր տեխնոլոգիաները ՏՏ միջավայրում։ Դրա համար ինտերնետ ծառայություններ մատուցողների ասոցիացիան (ISPA) նույնիսկ առաջադրվել է Mozilla-ն «Տարվա ինտերնետ չարագործ» մրցանակի համար: Ի պատասխան՝ ընկերության ներկայացուցիչները նշել է,, ովքեր հիասթափված են հեռահաղորդակցության օպերատորների՝ իրենց հնացած ինտերնետ ենթակառուցվածքը բարելավելու դժկամությունից:

/Unsplash/ TETrebbien

Ի աջակցություն Mozilla-ի խոսեցին խոշոր լրատվամիջոցները և որոշ ինտերնետ պրովայդերներ: Մասնավորապես, British Telecom-ում հաշվի առնելոր նոր արձանագրությունը չի ազդի բովանդակության զտման վրա և կբարելավի Մեծ Բրիտանիայի օգտատերերի անվտանգությունը։ Հասարակության ճնշման տակ ISPA պետք էր հետ կանչել «չարագործ» անվանակարգ.

Ամպային պրովայդերները նաև պաշտպանում էին DNS-ի ներդրումը HTTPS-ի միջոցով, օրինակ CloudFlare. Նրանք արդեն առաջարկում են DNS ծառայություններ՝ հիմնված նոր արձանագրության վրա։ Բրաուզերների և հաճախորդների ամբողջական ցանկը, որոնք աջակցում են DoH-ին, հասանելի է այստեղ GitHub.

Համենայնդեպս, առայժմ չի կարելի խոսել երկու ճամբարների դիմակայության ավարտի մասին։ ՏՏ փորձագետները կանխատեսում են, որ եթե HTTPS-ի միջոցով DNS-ը դառնա հիմնական ինտերնետ տեխնոլոգիաների փաթեթի մաս, դա կպահանջի ավելի քան մեկ տասնամյակ.

Էլ ինչի մասին ենք գրում մեր կորպորատիվ բլոգում.

• Ինչպես է կառուցված ինտերնետ պրովայդերների ցանցը
• Հիմնական ծառայություններ ինտերնետ պրովայդերների ցանցերում
• Կոնվերգենցիա և միավորում - բազմաթիվ առաջադրանքներ մեկ սարքի վրա

Source: www.habr.com