„Elskar og líkar ekki“: DNS yfir HTTPS

Við greinum skoðanir á eiginleikum DNS yfir HTTPS, sem hafa nýlega orðið „deiluefni“ meðal netveitenda og vafraframleiðenda.

/unsplash/ Steve Halama

Kjarni ágreiningsins

Undanfarið helstu fjölmiðlar и þemavettvangar (þar á meðal Habr), þeir skrifa oft um DNS yfir HTTPS (DoH) samskiptareglur. Það dulkóðar beiðnir til DNS netþjónsins og svör við þeim. Þessi aðferð gerir þér kleift að fela nöfn gestgjafanna sem notandinn opnar. Af ritunum getum við ályktað að nýja bókunin (í IETF samþykkti það árið 2018) skipti upplýsingatæknisamfélaginu í tvær fylkingar.

Helmingurinn telur að nýja samskiptareglan muni bæta netöryggi og eru að innleiða hana í forritum sínum og þjónustu. Hinn helmingurinn er sannfærður um að tæknin geri aðeins starf kerfisstjóra erfiðara. Næst munum við greina rök beggja aðila.

Hvernig DoH virkar

Áður en við förum inn í hvers vegna ISP og aðrir markaðsaðilar eru með eða á móti DNS yfir HTTPS skulum við skoða stuttlega hvernig það virkar.

Þegar um er að ræða DoH er beiðnin um að ákvarða IP töluna hjúpuð í HTTPS umferð. Það fer síðan á HTTP netþjóninn, þar sem það er unnið með því að nota API. Hér er dæmi um beiðni frá RFC 8484 (síðu 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Þannig er DNS umferð falin í HTTPS umferð. Biðlarinn og þjónninn hafa samskipti yfir venjulegu tengið 443. Þess vegna eru beiðnir til lénskerfisins nafnlausar.

Af hverju er honum ekki náð fyrir augum?

Andstæðingar DNS yfir HTTPS segðuað nýja samskiptareglan muni draga úr öryggi tenginga. By samkvæmt Paul Vixie, meðlimur í DNS þróunarteymi, mun gera kerfisstjórum erfiðara fyrir að loka á hugsanlega illgjarn vefsvæði. Venjulegir notendur munu missa möguleikann á að setja upp skilyrt barnaeftirlit í vöfrum.

Skoðanir Paul eru deilt af breskum netveitum. Landslöggjöf skyldar loka þeim frá auðlindum með bönnuðu efni. En stuðningur við DoH í vöfrum flækir það verkefni að sía umferð. Gagnrýnendur nýju bókunarinnar eru einnig ríkisstjórnarsamskiptamiðstöðin í Englandi (GCHQ) og Internet Watch Foundation (IWF), sem heldur skrá yfir lokaðar auðlindir.

Í blogginu okkar á Habré:

• Stríðið gegn robocalls í Bandaríkjunum - hver er að vinna og hvers vegna
• Bresk fjarskiptafyrirtæki munu greiða áskrifendum bætur fyrir truflanir á þjónustu

Sérfræðingar taka fram að DNS yfir HTTPS getur orðið netöryggisógn. Í byrjun júlí voru upplýsingaöryggissérfræðingar frá Netlab uppgötvaði fyrsti vírusinn sem notaði nýju samskiptareglurnar til að framkvæma DDoS árásir - Godlua. Spilliforritið fékk aðgang að DoH til að fá textaskrár (TXT) og draga út vefslóðir stjórna og stjórnunarþjóna.

Dulkóðaðar DoH beiðnir voru ekki þekktar af vírusvarnarhugbúnaði. Sérfræðingar í upplýsingaöryggi eru hræddirað eftir Godlua mun annar spilliforrit koma, ósýnilegur fyrir óvirka DNS eftirlit.

En það eru ekki allir á móti því

Til varnar DNS yfir HTTPS á blogginu sínu talaði út APNIC verkfræðingur Geoff Houston. Að hans sögn mun nýja samskiptareglan gera það mögulegt að berjast gegn DNS-ránárásum, sem hafa nýlega orðið æ algengari. Þessi staðreynd staðfestir Janúarskýrsla frá netöryggisfyrirtækinu FireEye. Stór upplýsingatæknifyrirtæki studdu einnig þróun samskiptareglunnar.

Í byrjun síðasta árs var farið að prófa DoH hjá Google. Og fyrir mánuði síðan fyrirtækið fram Almennt aðgengi útgáfa af DoH þjónustu sinni. Á Google von, að það muni auka öryggi persónuupplýsinga á netinu og vernda gegn MITM árásum.

Annar vafrahönnuður - Mozilla - styður DNS yfir HTTPS síðan síðasta sumar. Jafnframt er fyrirtækið virkt að kynna nýja tækni í upplýsingatækniumhverfinu. Fyrir þetta, Internet Services Providers Association (ISPA) jafnvel tilnefndur Mozilla fyrir Internet Villain of the Year verðlaunin. Til að bregðast við, fulltrúar fyrirtækisins tekið fram, sem eru svekktir yfir tregðu fjarskiptafyrirtækja til að bæta úreltan netinnviði.

/unsplash/ TETrebbien

Til stuðnings Mozilla helstu fjölmiðlar tjáðu sig og sumum netveitum. Einkum hjá British Telecom íhugaað nýja samskiptareglan muni ekki hafa áhrif á efnissíun og muni bæta öryggi breskra notenda. Undir þrýstingi almennings ISPA þurfti að innkalla "illmenni" tilnefningu.

Skýjaveitendur beittu sér einnig fyrir kynningu á DNS yfir HTTPS, til dæmis Cloudflare. Þeir bjóða nú þegar upp á DNS þjónustu byggða á nýju samskiptareglunum. Heildarlisti yfir vafra og viðskiptavini sem styðja DoH er fáanlegur á GitHub.

Hvað sem því líður er ekki enn hægt að tala um endalok átaka búðanna tveggja. Sérfræðingar í upplýsingatækni spá því að ef DNS yfir HTTPS er ætlað að verða hluti af almennum nettæknistafla muni það taka meira en einn áratug.

Hvað annað skrifum við um í fyrirtækjablogginu okkar:

• Hvernig netveitanet er byggt upp
• Grunnþjónusta í netkerfi netveitna
• Samruni og sameining - mörg verkefni í einu tæki

Heimild: www.habr.com