好き嫌い: DNS over HTTPS

私たちは、最近インターネット プロバイダーやブラウザ開発者の間で「論争の種」となっている DNS over HTTPS の機能に関する意見を分析します。

/スプラッシュ解除/ スティーブ・ハラマ

意見の相違の本質

最近 大手メディア и テーマ別プラットフォーム (Habr を含む)、彼らは DNS over HTTPS (DoH) プロトコルについてよく書いています。 DNS サーバーへのリクエストとそれに対する応答を暗号化します。 この方法により、ユーザーがアクセスするホストの名前を非表示にすることができます。 出版物から、新しいプロトコル (IETF) は次のように結論付けることができます。 承認しました 2018 年）、IT コミュニティを XNUMX つの陣営に分けました。

半数は、新しいプロトコルによってインターネットのセキュリティが向上すると信じており、それをアプリケーションやサービスに実装しています。 残りの半分は、テクノロジーによってシステム管理者の仕事がさらに困難になるだけだと確信しています。 次に、双方の主張を分析していきます。

DoH の仕組み

ISP や他の市場参加者が DNS over HTTPS に賛成しているのか反対しているのかを説明する前に、DNS over HTTPS がどのように機能するのかを簡単に見てみましょう。

DoH の場合、IP アドレスを決定するリクエストは HTTPS トラフィックにカプセル化されます。 次に、HTTP サーバーに送信され、API を使用して処理されます。 RFC 8484 からのリクエストの例を次に示します (ページ6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

したがって、DNS トラフィックは HTTPS トラフィックの中に隠されます。 クライアントとサーバーは標準ポート 443 経由で通信します。その結果、ドメイン ネーム システムへのリクエストは匿名のままになります。

なぜ彼は好まれないのでしょうか？

DNS over HTTPS の反対者 彼らは言う新しいプロトコルにより接続のセキュリティが低下するということです。 による によると DNS 開発チームのメンバーである Paul Vixie は、システム管理者が潜在的に悪意のあるサイトをブロックすることをより困難にするでしょう。 一般のユーザーは、ブラウザーで条件付きのペアレント コントロールを設定できなくなります。

Paul の見解は英国のインターネットプロバイダーによって共有されています。 各国の法律 義務 禁止されたコンテンツを含むリソースからそれらをブロックします。 しかし、ブラウザでの DoH のサポートにより、トラフィックをフィルタリングするタスクが複雑になります。 新しいプロトコルの批判者には、イギリスの政府通信センターも含まれます (GCHQ) および Internet Watch Foundation (IWF)、ブロックされたリソースのレジスタを維持します。

ハブレに関するブログでは次のように書かれています。

• 米国のロボコール戦争 - 誰が勝者で、なぜ勝者なのか
• 英国の通信社、サービス中断に対する補償金を加入者に支払う

専門家は、DNS over HTTPS がサイバーセキュリティの脅威になる可能性があると指摘しています。 XNUMX 月初旬、Netlab の情報セキュリティ専門家が 発見 新しいプロトコルを使用して DDoS 攻撃を実行した最初のウイルス - ゴドルア。 マルウェアは DoH にアクセスしてテキスト レコード (TXT) を取得し、コマンド アンド コントロール サーバーの URL を抽出しました。

暗号化された DoH リクエストはウイルス対策ソフトウェアによって認識されませんでした。 情報セキュリティ専門家 恐れGodlua の後には、パッシブ DNS 監視では認識できない他のマルウェアが登場するでしょう。

しかし、誰もがそれに反対しているわけではありません

彼のブログで DNS over HTTPS を擁護 発言した APNICエンジニアのジェフ・ヒューストン氏。 同氏によると、この新しいプロトコルにより、最近ますます一般的になっているDNSハイジャック攻撃に対抗できるようになるという。 この事実 確認する サイバーセキュリティ企業FireEyeのXNUMX月のレポート。 大手 IT 企業もプロトコルの開発を支援しました。

昨年の初めに、Google で DoH のテストが開始されました。 そしてXNUMXヶ月前、会社は 提示 DoH サービスの一般提供バージョン。 Googleで 望む、ネットワーク上の個人データのセキュリティが強化され、MITM 攻撃から保護されるとのことです。

別のブラウザ開発者 - Mozilla - サポートする 昨年の夏から DNS over HTTPS を導入しました。 同時に、同社は IT 環境における新しいテクノロジーを積極的に推進しています。 このために、インターネット サービス プロバイダー協会 (ISPA) 指名されても Mozilla が Internet Villain of the Year 賞を受賞。 これに対し、同社の代表者らは、 注目される彼らは、通信事業者が時代遅れのインターネット インフラストラクチャの改善に消極的であることに不満を抱いています。

/スプラッシュ解除/ テトレビアン

Mozilla のサポート 大手メディアが声を上げた および一部のインターネットプロバイダー。 特にブリティッシュ・テレコムでは、 考えて新しいプロトコルはコンテンツ フィルタリングには影響せず、英国のユーザーのセキュリティが向上すると述べています。 公的圧力の下で ISPA リコールしなければならなかった 「悪役」候補。

クラウド プロバイダーも、たとえば、HTTPS 経由の DNS の導入を提唱しています。 CloudFlare。 彼らはすでに新しいプロトコルに基づいた DNS サービスを提供しています。 DoH をサポートするブラウザとクライアントの完全なリストは、次の場所で入手できます。 GitHubの.

いずれにせよ、両陣営の対立の終結についてはまだ語ることはできない。 IT 専門家は、DNS over HTTPS が主流のインターネット技術スタックの一部となる運命にあるとしたら、それには時間がかかるだろうと予測しています。 十年ではない.

企業ブログで他に書いていること:

• インターネットプロバイダーネットワークの構築方法
• インターネットプロバイダーネットワークの基本サービス
• 収束と統合 - XNUMX 台のデバイスで複数のタスクを実行

出所： habr.com