Ұнату және ұнатпау: HTTPS арқылы DNS

Біз HTTPS арқылы DNS мүмкіндіктеріне қатысты пікірлерді талдаймыз, олар жақында интернет провайдерлері мен шолғыш әзірлеушілері арасында «талас-тартысқа» айналған.

/Usplash/ Стив Халама

Келіспеушіліктің мәні

Соңғы уақытта негізгі БАҚ и тақырыптық платформалар (соның ішінде Habr) олар HTTPS (DoH) протоколы арқылы DNS туралы жиі жазады. Ол DNS серверіне сұрауларды және оларға жауаптарды шифрлайды. Бұл тәсіл пайдаланушы қатынасатын хосттардың атын жасыруға мүмкіндік береді. Жарияланымдардан біз жаңа хаттама (IETF мақұлдады 2018 жылы) IT қауымдастығын екі лагерге бөлді.

Жартысы жаңа хаттама Интернет қауіпсіздігін жақсартады және оны қолданбалары мен қызметтеріне енгізеді деп сенеді. Екінші жартысы технология тек жүйелік әкімшілер жұмысын қиындатады деп сенеді. Әрі қарай біз екі тараптың дәлелдерін талдаймыз.

DoH қалай жұмыс істейді

Неліктен Интернет провайдерлері мен басқа нарық қатысушылары HTTPS арқылы DNS-ті қолдайтынын немесе оған қарсы екенін түсінбес бұрын, оның қалай жұмыс істейтінін қысқаша қарастырайық.

DoH жағдайында IP мекенжайын анықтау сұрауы HTTPS трафигінде инкапсуляцияланады. Содан кейін ол API арқылы өңделетін HTTP серверіне өтеді. Міне, RFC 8484 сұрауының мысалы (6 беті):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Осылайша, DNS трафигі HTTPS трафигінде жасырылады. Клиент пен сервер стандартты порт 443 арқылы байланысады. Нәтижесінде домендік атау жүйесіне сұраулар анонимді болып қалады.

Неліктен оған ұнамайды?

HTTPS арқылы DNS қарсыластары олар айтадыжаңа хаттама қосылымдардың қауіпсіздігін төмендетеді. Авторы сәйкес DNS әзірлеу тобының мүшесі Пол Викси жүйелік әкімшілерге ықтимал зиянды сайттарды блоктауды қиындатады. Қарапайым пайдаланушылар браузерлерде шартты ата-ана бақылауын орнату мүмкіндігін жоғалтады.

Полдың пікірін Ұлыбританияның интернет провайдерлері бөліседі. Ел заңнамасы міндеттейді оларды тыйым салынған мазмұны бар ресурстардан бұғаттау. Бірақ браузерлерде DoH қолдауы трафикті сүзу міндетін қиындатады. Жаңа хаттаманы сынаушыларға Англиядағы үкіметтік коммуникациялар орталығы да кіреді (GCHQ) және Internet Watch Foundation (ХВҚ), бұғатталған ресурстар тізілімін жүргізетін.

Хабредегі біздің блогымызда:

• АҚШ-тағы роботтық қоңырауларға қарсы соғыс - кім жеңеді және неге
• Британдық телекоммуникациялар абоненттерге қызмет үзілгені үшін өтемақы төлейтін болады

Сарапшылар HTTPS арқылы DNS киберқауіпсіздік қаупіне айналуы мүмкін екенін атап өтті. Шілде айының басында Netlab компаниясының ақпараттық қауіпсіздік мамандары ашты DDoS шабуылдарын жүзеге асыру үшін жаңа протоколды пайдаланған бірінші вирус - Годлуа. Зиянды бағдарлама мәтіндік жазбаларды (TXT) алу және командалық және басқару серверінің URL мекенжайларын шығару үшін DoH қызметіне кірді.

Шифрланған DoH сұрауларын антивирустық бағдарламалық құрал танымады. Ақпараттық қауіпсіздік мамандары қорқынышGodlua-дан кейін пассивті DNS бақылауына көрінбейтін басқа зиянды бағдарлама келеді.

Бірақ бәрі бірдей қарсы емес

Өз блогында HTTPS арқылы DNS қорғау сөз сөйледі APNIC инженері Джефф Хьюстон. Оның айтуынша, жаңа хаттама соңғы кездері жиілеп кеткен DNS ұрлау шабуылдарымен күресуге мүмкіндік береді. Бұл факт растайды FireEye киберқауіпсіздік компаниясының қаңтардағы есебі. Хаттаманы әзірлеуге ірі IT-компаниялар да қолдау көрсетті.

Өткен жылдың басында DoH Google-да сынақтан өте бастады. Ал бір ай бұрын компания ұсынылған DoH қызметінің жалпы қолжетімділік нұсқасы. Google-да үміт, ол желідегі жеке деректердің қауіпсіздігін арттырады және MITM шабуылдарынан қорғайды.

Басқа браузер әзірлеушісі - Mozilla - қолдайды Өткен жаздан бері HTTPS арқылы DNS. Сонымен бірге компания IT ортада жаңа технологияны белсенді түрде алға жылжытуда. Бұл үшін Интернет қызметтерін жеткізушілер қауымдастығы (ISPA) тіпті ұсынылды Mozilla «Жылдың интернет зұлымдығы» сыйлығы үшін. Жауап ретінде компания өкілдері атап өттіБайланыс операторларының ескірген интернет инфрақұрылымын жақсартуға құлықсыздығынан ренжіген .

/Usplash/ TETrebbien

Mozilla-ны қолдау ірі бұқаралық ақпарат құралдары сөйледі және кейбір интернет провайдерлері. Атап айтқанда, British Telecom компаниясында қарастырыңызжаңа хаттама мазмұнды сүзуге әсер етпейтінін және Ұлыбритания пайдаланушыларының қауіпсіздігін жақсартатынын айтты. ISPA қоғамдық қысыммен шегінуге тура келді «Зұлым» номинациясы.

Бұлтты провайдерлер, мысалы, HTTPS арқылы DNS енгізуді жақтады CloudFlare. Олар қазірдің өзінде жаңа протокол негізінде DNS қызметтерін ұсынады. DoH қолдайтын браузерлер мен клиенттердің толық тізімі мына жерден қол жетімді GitHub.

Қалай болғанда да, қос лагерь арасындағы текетірестің аяқталуы туралы әзірге айту мүмкін емес. АТ мамандарының болжауынша, егер HTTPS арқылы DNS негізгі интернет-технологиялық стектің бір бөлігі болу үшін тағайындалған болса, ол қажет болады. он жылдан астам.

Корпоративтік блогымызда тағы не жазамыз:

• ISP желісі қалай құрылады
• ISP желілеріндегі негізгі қызметтер
• Конвергенция және біріктіру - бір құрылғыдағы бірнеше тапсырма

Ақпарат көзі: www.habr.com