Suka dan Tidak Suka: DNS melalui HTTPS

Kami menganalisis opini mengenai fitur DNS melalui HTTPS, yang baru-baru ini menjadi “rebutan” di antara penyedia Internet dan pengembang browser.

/hapus percikan/ Steve Halama

Inti dari ketidaksepakatan

Akhir-akhir ini media besar и platform tematik (termasuk Habr), mereka sering menulis tentang protokol DNS melalui HTTPS (DoH). Ini mengenkripsi permintaan ke server DNS dan meresponsnya. Pendekatan ini memungkinkan Anda menyembunyikan nama host yang diakses pengguna. Dari publikasi yang ada kita dapat menyimpulkan bahwa protokol baru (dalam IETF menyetujuinya pada tahun 2018) membagi komunitas TI menjadi dua kubu.

Setengahnya percaya bahwa protokol baru ini akan meningkatkan keamanan Internet dan menerapkannya ke dalam aplikasi dan layanan mereka. Separuh lainnya yakin bahwa teknologi hanya mempersulit pekerjaan administrator sistem. Selanjutnya kita akan menganalisis argumen kedua belah pihak.

Bagaimana DoH bekerja

Sebelum kita membahas mengapa ISP dan pelaku pasar lainnya mendukung atau menentang DNS melalui HTTPS, mari kita lihat secara singkat cara kerjanya.

Dalam kasus DoH, permintaan untuk menentukan alamat IP dienkapsulasi dalam lalu lintas HTTPS. Kemudian masuk ke server HTTP, di mana ia diproses menggunakan API. Berikut adalah contoh permintaan dari RFC 8484 (halaman 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Dengan demikian, lalu lintas DNS disembunyikan dalam lalu lintas HTTPS. Klien dan server berkomunikasi melalui port standar 443. Akibatnya, permintaan ke sistem nama domain tetap anonim.

Mengapa dia tidak disukai?

Penentang DNS melalui HTTPS kata orangbahwa protokol baru akan mengurangi keamanan koneksi. Oleh menurut Paul Vixie, anggota tim pengembangan DNS, akan mempersulit administrator sistem untuk memblokir situs yang berpotensi berbahaya. Pengguna biasa akan kehilangan kemampuan untuk mengatur kontrol orang tua bersyarat di browser.

Pandangan Paul juga dianut oleh penyedia internet Inggris. Perundang-undangan negara mewajibkan memblokir mereka dari sumber dengan konten terlarang. Namun dukungan DoH di browser mempersulit tugas memfilter lalu lintas. Kritik terhadap protokol baru ini juga mencakup Pusat Komunikasi Pemerintah di Inggris (GCHQ) dan Yayasan Pengawasan Internet (IWF), yang memelihara daftar sumber daya yang diblokir.

Di blog kami di Habré:

• Perang melawan robocall di AS - siapa yang menang dan mengapa
• Perusahaan telekomunikasi Inggris akan membayar kompensasi kepada pelanggan atas gangguan layanan

Para ahli mencatat bahwa DNS melalui HTTPS dapat menjadi ancaman keamanan siber. Pada awal Juli, spesialis keamanan informasi dari Netlab ditemukan virus pertama yang menggunakan protokol baru untuk melakukan serangan DDoS - Godlua. Malware mengakses DoH untuk mendapatkan catatan teks (TXT) dan mengekstrak URL server perintah dan kontrol.

Permintaan DoH terenkripsi tidak dikenali oleh perangkat lunak antivirus. Spesialis keamanan informasi takutbahwa setelah Godlua malware lain akan datang, tidak terlihat oleh pemantauan DNS pasif.

Namun tidak semua orang menentangnya

Untuk membela DNS melalui HTTPS di blognya berbicara Insinyur APNIC Geoff Houston. Menurutnya, protokol baru ini akan mampu memerangi serangan pembajakan DNS yang semakin sering terjadi akhir-akhir ini. Fakta ini mengkonfirmasikan Laporan bulan Januari dari perusahaan keamanan siber FireEye. Perusahaan IT besar juga mendukung pengembangan protokol ini.

Awal tahun lalu, DoH mulai diuji coba di Google. Dan sebulan yang lalu perusahaan disajikan Versi Ketersediaan Umum dari layanan DoH-nya. Di Google berharap, yang akan meningkatkan keamanan data pribadi di jaringan dan melindungi dari serangan MITM.

Pengembang browser lain - Mozilla - mendukung DNS melalui HTTPS sejak musim panas lalu. Pada saat yang sama, perusahaan secara aktif mempromosikan teknologi baru di lingkungan TI. Untuk ini, Asosiasi Penyedia Layanan Internet (ISPA) bahkan masuk nominasi Mozilla untuk Penghargaan Penjahat Internet Tahun Ini. Sebagai tanggapan, perwakilan perusahaan dicatat, yang merasa frustrasi dengan keengganan operator telekomunikasi untuk memperbaiki infrastruktur Internet mereka yang sudah ketinggalan zaman.

/hapus percikan/ TETrebbien

Untuk mendukung Mozilla media besar angkat bicara dan beberapa penyedia Internet. Khususnya, di British Telecom pertimbangkanbahwa protokol baru tidak akan mempengaruhi pemfilteran konten dan akan meningkatkan keamanan pengguna di Inggris. Di bawah tekanan publik ISPA harus diingat nominasi "penjahat".

Penyedia cloud juga menganjurkan pengenalan DNS melalui HTTPS, misalnya cloudflare. Mereka sudah menawarkan layanan DNS berdasarkan protokol baru. Daftar lengkap browser dan klien yang mendukung DoH tersedia di GitHub.

Bagaimanapun, masih belum mungkin untuk membicarakan akhir dari konfrontasi antara kedua kubu. Pakar TI memperkirakan bahwa jika DNS melalui HTTPS ditakdirkan untuk menjadi bagian dari tumpukan teknologi Internet arus utama, maka hal tersebut akan diperlukan bukan satu dekade.

Apa lagi yang kami tulis di blog perusahaan kami:

• Bagaimana jaringan penyedia Internet dibangun
• Layanan dasar di jaringan penyedia Internet
• Konvergensi dan penyatuan - banyak tugas di satu perangkat

Sumber: www.habr.com