Seneng lan ora seneng: DNS liwat HTTPS

Kita nganalisa panemu babagan fitur DNS liwat HTTPS, sing bubar dadi "balung perselisihan" ing antarane panyedhiya Internet lan pangembang browser.

/Unsplash/ Steve Halama

Intine ora setuju

Bubar, media utama и platform tematik (kalebu Habr), dheweke kerep nulis babagan DNS liwat protokol HTTPS (DoH). Iku encrypts panjalukan kanggo server DNS lan respon kanggo wong-wong mau. Pendekatan iki ngidini sampeyan ndhelikake jeneng host sing diakses pangguna. Saka publikasi kita bisa nyimpulake yen protokol anyar (ing IETF disetujoni ing 2018) dibagi komunitas IT dadi rong kamp.

Setengah percaya yen protokol anyar bakal nambah keamanan Internet lan ngetrapake ing aplikasi lan layanan. Setengah liyane yakin yen teknologi mung nggawe tugas administrator sistem luwih angel. Sabanjure, kita bakal nganalisa argumentasi loro-lorone.

Cara kerja DoH

Sadurunge kita ngerteni sebabe ISP lan peserta pasar liyane ndhukung utawa nglawan DNS liwat HTTPS, ayo ndeleng kanthi ringkes cara kerjane.

Ing kasus DoH, panyuwunan kanggo nemtokake alamat IP dienkapsulasi ing lalu lintas HTTPS. Banjur pindhah menyang server HTTP, ing ngendi diproses nggunakake API. Iki minangka conto panyuwunan saka RFC 8484 (kaca 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Mangkono, lalu lintas DNS didhelikake ing lalu lintas HTTPS. Klien lan server komunikasi liwat port standar 443. Akibaté, panjalukan kanggo sistem jeneng domain tetep anonim.

Kenapa dheweke ora disenengi?

Mungsuh DNS liwat HTTPS padha ngomongyen protokol anyar bakal nyuda keamanan sambungan. Miturut miturut Paul Vixie, anggota tim pangembangan DNS, bakal nggawe luwih angel kanggo pangurus sistem kanggo mblokir situs sing duweni potensi jahat. Pangguna biasa bakal kelangan kemampuan kanggo nyetel kontrol parental kondisional ing browser.

Pandangan Paul dituduhake dening panyedhiya internet Inggris. Undang-undang negara wajib mblokir saka sumber daya karo konten sing dilarang. Nanging dhukungan kanggo DoH ing browser nggawe rumit tugas nyaring lalu lintas. Kritikus protokol anyar uga kalebu Pusat Komunikasi Pemerintah ing Inggris (GCHQ) lan Internet Watch Foundation (IMF), sing njaga daftar sumber daya sing diblokir.

Ing blog kita ing Habré:

• Perang robocall AS - sapa sing menang lan ngapa
• Telekomunikasi Inggris bakal mbayar ganti rugi pelanggan kanggo gangguan layanan

Para ahli nyathet yen DNS liwat HTTPS bisa dadi ancaman keamanan siber. Ing awal Juli, spesialis keamanan informasi saka Netlab ditemokake virus pisanan sing nggunakake protokol anyar kanggo nindakake serangan DDoS - Godlua. Malware ngakses DoH kanggo njupuk cathetan teks (TXT) lan ngekstrak perintah lan ngontrol URL server.

Panjaluk DoH sing dienkripsi ora diakoni dening piranti lunak antivirus. Spesialis keamanan informasi wediyen sawise Godlua malware liyane bakal teka, ora katon kanggo ngawasi DNS pasif.

Nanging ora saben wong nglawan

Ing pertahanan DNS liwat HTTPS ing blog ngandika metu Insinyur APNIC Geoff Houston. Miturut dheweke, protokol anyar bakal ngidini kanggo nglawan serangan pembajakan DNS, sing bubar dadi umum. Kasunyatan iki nandheske Laporan Januari saka perusahaan cybersecurity FireEye. Perusahaan IT gedhe uga ndhukung pangembangan protokol kasebut.

Ing awal taun kepungkur, DoH wiwit diuji ing Google. Lan sasi kepungkur perusahaan diwenehi Versi Ketersediaan Umum layanan DoH. Ing Google pangarep-arep, sing bakal nambah keamanan data pribadhi ing jaringan lan nglindhungi saka serangan MITM.

Pangembang browser liyane - Mozilla - ndhukung DNS liwat HTTPS wiwit musim panas pungkasan. Ing wektu sing padha, perusahaan kasebut aktif promosi teknologi anyar ing lingkungan IT. Kanggo iki, Asosiasi Penyedia Layanan Internet (ISPA) malah nominasi Mozilla kanggo Internet Villain of the Year Award. Nanggepi, wakil perusahaan nyatet, sing frustasi amarga keengganan operator telekomunikasi kanggo nambah infrastruktur Internet sing wis lawas.

/Unsplash/ TETrebbien

Ndhukung Mozilla media utama ngandika metu lan sawetara panyedhiya Internet. Utamane, ing British Telecom nimbangmanawa protokol anyar ora bakal mengaruhi panyaring konten lan bakal nambah keamanan pangguna Inggris. Ing tekanan umum ISPA kudu dieling-eling nominasi "penjahat".

Panyedhiya awan uga nyengkuyung introduksi DNS liwat HTTPS, umpamane cloudflare. Dheweke wis nawakake layanan DNS adhedhasar protokol anyar. Dhaptar lengkap browser lan klien sing ndhukung DoH kasedhiya ing GitHub.

Ing kasus apa wae, durung bisa ngomong babagan pungkasane konfrontasi antarane loro kemah kasebut. Pakar IT prédhiksi yen DNS liwat HTTPS ditakdirake dadi bagean saka tumpukan teknologi Internet mainstream, bakal mbutuhake ora siji dasawarsa.

Apa maneh sing kita tulis ing blog perusahaan kita:

• Carane jaringan panyedhiya Internet dibangun
• Layanan dhasar ing jaringan panyedhiya Internet
• Konvergensi lan manunggal - macem-macem tugas ing siji piranti

Source: www.habr.com