ಇಷ್ಟಗಳು ಮತ್ತು ಇಷ್ಟಪಡದಿರುವುದು: HTTPS ಮೂಲಕ DNS

ಇಂಟರ್ನೆಟ್ ಪೂರೈಕೆದಾರರು ಮತ್ತು ಬ್ರೌಸರ್ ಡೆವಲಪರ್‌ಗಳಲ್ಲಿ ಇತ್ತೀಚೆಗೆ "ವಿವಾದದ ಮೂಳೆ" ಆಗಿರುವ HTTPS ಮೂಲಕ DNS ನ ವೈಶಿಷ್ಟ್ಯಗಳ ಕುರಿತು ನಾವು ಅಭಿಪ್ರಾಯಗಳನ್ನು ವಿಶ್ಲೇಷಿಸುತ್ತೇವೆ.

/ಅನ್‌ಸ್ಪ್ಲಾಶ್/ ಸ್ಟೀವ್ ಹಲಾಮಾ

ಭಿನ್ನಾಭಿಪ್ರಾಯದ ಸಾರ

ಇತ್ತೀಚೆಗೆ ಪ್ರಮುಖ ಮಾಧ್ಯಮ и ವಿಷಯಾಧಾರಿತ ವೇದಿಕೆಗಳು (Habr ಸೇರಿದಂತೆ) ಸಾಮಾನ್ಯವಾಗಿ HTTPS (DoH) ಪ್ರೋಟೋಕಾಲ್ ಮೂಲಕ DNS ಬಗ್ಗೆ ಬರೆಯಿರಿ. ಇದು DNS ವಿನಂತಿಗಳು ಮತ್ತು ಪ್ರತಿಕ್ರಿಯೆಗಳನ್ನು ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡುತ್ತದೆ. ಈ ವಿಧಾನವು ಬಳಕೆದಾರರಿಂದ ಪ್ರವೇಶಿಸಿದ ಹೋಸ್ಟ್ ಹೆಸರುಗಳನ್ನು ಮರೆಮಾಡಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಪ್ರಕಟಣೆಗಳಿಂದ, ನಾವು ಹೊಸ ಪ್ರೋಟೋಕಾಲ್ (IETF ನಲ್ಲಿ ಅದನ್ನು ಅನುಮೋದಿಸಿದೆ 2018 ರಲ್ಲಿ) ಐಟಿ ಸಮುದಾಯವನ್ನು ಎರಡು ಶಿಬಿರಗಳಾಗಿ ವಿಂಗಡಿಸಲಾಗಿದೆ.

ಹೊಸ ಪ್ರೋಟೋಕಾಲ್ ಇಂಟರ್ನೆಟ್‌ನ ಸುರಕ್ಷತೆಯನ್ನು ಹೆಚ್ಚಿಸುತ್ತದೆ ಮತ್ತು ಅದನ್ನು ತಮ್ಮ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಮತ್ತು ಸೇವೆಗಳಲ್ಲಿ ಕಾರ್ಯಗತಗೊಳಿಸುತ್ತದೆ ಎಂದು ಅರ್ಧದಷ್ಟು ಜನರು ನಂಬುತ್ತಾರೆ. ತಂತ್ರಜ್ಞಾನವು ಸಿಸ್ಟಮ್ ನಿರ್ವಾಹಕರ ಕೆಲಸವನ್ನು ಮಾತ್ರ ಸಂಕೀರ್ಣಗೊಳಿಸುತ್ತದೆ ಎಂದು ಇತರ ಅರ್ಧದಷ್ಟು ಮನವರಿಕೆಯಾಗಿದೆ. ಎರಡೂ ಕಡೆಯ ವಾದಗಳನ್ನು ನೋಡೋಣ.

DoH ಹೇಗೆ ಕೆಲಸ ಮಾಡುತ್ತದೆ

ISP ಗಳು ಮತ್ತು ಇತರ ಮಾರುಕಟ್ಟೆ ಭಾಗವಹಿಸುವವರು HTTPS ಮೂಲಕ DNS ಪರ ಅಥವಾ ವಿರುದ್ಧ ಏಕೆ ಎಂಬ ಚರ್ಚೆಗೆ ಜಿಗಿಯುವ ಮೊದಲು, ಅದು ಹೇಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ ಎಂಬುದನ್ನು ತ್ವರಿತವಾಗಿ ನೋಡೋಣ.

DoH ನ ಸಂದರ್ಭದಲ್ಲಿ, IP ವಿಳಾಸವನ್ನು ನಿರ್ಧರಿಸುವ ವಿನಂತಿಯನ್ನು HTTPS ಟ್ರಾಫಿಕ್‌ನಲ್ಲಿ ಸುತ್ತುವರಿಯಲಾಗುತ್ತದೆ. ನಂತರ ಅದು HTTP ಸರ್ವರ್‌ಗೆ ಹೋಗುತ್ತದೆ, ಅಲ್ಲಿ ಅದನ್ನು API ಬಳಸಿ ಸಂಸ್ಕರಿಸಲಾಗುತ್ತದೆ. RFC 8484 ನಿಂದ ಒಂದು ಉದಾಹರಣೆ ವಿನಂತಿ ಇಲ್ಲಿದೆ (ಪುಟ 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

ಆದ್ದರಿಂದ HTTPS ಟ್ರಾಫಿಕ್‌ನಲ್ಲಿ DNS ದಟ್ಟಣೆಯನ್ನು ಮರೆಮಾಡಲಾಗಿದೆ. ಕ್ಲೈಂಟ್ ಮತ್ತು ಸರ್ವರ್ ಸ್ಟ್ಯಾಂಡರ್ಡ್ ಪೋರ್ಟ್ 443 ನಲ್ಲಿ ಸಂವಹನ ನಡೆಸುತ್ತದೆ. ಪರಿಣಾಮವಾಗಿ, ಡೊಮೇನ್ ನೇಮ್ ಸಿಸ್ಟಮ್‌ಗೆ ವಿನಂತಿಗಳು ಅನಾಮಧೇಯವಾಗಿ ಉಳಿಯುತ್ತವೆ.

ಅವರನ್ನು ಏಕೆ ಸ್ವಾಗತಿಸಿಲ್ಲ

HTTPS ಮೂಲಕ DNS ನ ವಿರೋಧಿಗಳು ಅವರು ಹೇಳುತ್ತಾರೆಹೊಸ ಪ್ರೋಟೋಕಾಲ್ ಸಂಪರ್ಕಗಳ ಸುರಕ್ಷತೆಯನ್ನು ಕಡಿಮೆ ಮಾಡುತ್ತದೆ. ಮೂಲಕ ಪ್ರಕಾರ DNS ಡೆವಲಪ್‌ಮೆಂಟ್ ತಂಡದ ಸದಸ್ಯರಾದ ಪಾಲ್ ವಿಕ್ಸಿ, ಸಂಭಾವ್ಯ ದುರುದ್ದೇಶಪೂರಿತ ಸೈಟ್‌ಗಳನ್ನು ನಿರ್ಬಂಧಿಸಲು ಸಿಸಾಡ್ಮಿನ್‌ಗಳಿಗೆ ಕಷ್ಟವಾಗುತ್ತದೆ. ಸಾಮಾನ್ಯ ಬಳಕೆದಾರರು ಬ್ರೌಸರ್‌ಗಳಲ್ಲಿ ಷರತ್ತುಬದ್ಧ ಪೋಷಕರ ನಿಯಂತ್ರಣಗಳನ್ನು ಹೊಂದಿಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಕಳೆದುಕೊಳ್ಳುತ್ತಾರೆ.

ಪಾಲ್ ಅವರ ಅಭಿಪ್ರಾಯವನ್ನು UK ISPಗಳು ಹಂಚಿಕೊಂಡಿದ್ದಾರೆ. ದೇಶದ ಶಾಸನ ಬದ್ಧವಾಗಿದೆ ನಿಷೇಧಿತ ವಿಷಯದೊಂದಿಗೆ ಸಂಪನ್ಮೂಲಗಳನ್ನು ನಿರ್ಬಂಧಿಸಲು. ಆದರೆ ಬ್ರೌಸರ್‌ಗಳಲ್ಲಿನ DoH ಬೆಂಬಲವು ದಟ್ಟಣೆಯನ್ನು ಫಿಲ್ಟರ್ ಮಾಡುವ ಕಾರ್ಯವನ್ನು ಸಂಕೀರ್ಣಗೊಳಿಸುತ್ತದೆ. ಹೊಸ ಪ್ರೋಟೋಕಾಲ್‌ನ ವಿಮರ್ಶಕರು ಇಂಗ್ಲೆಂಡ್‌ನ ಸರ್ಕಾರಿ ಸಂವಹನ ಕೇಂದ್ರವನ್ನು ಸಹ ಒಳಗೊಂಡಿರುತ್ತಾರೆ (GCHQ) ಮತ್ತು ಇಂಟರ್ನೆಟ್ ವಾಚ್ ಫೌಂಡೇಶನ್ (ಐಎಮ್ಎಫ್), ಇದು ನಿರ್ಬಂಧಿಸಿದ ಸಂಪನ್ಮೂಲಗಳ ನೋಂದಾವಣೆಯನ್ನು ನಿರ್ವಹಿಸುತ್ತದೆ.

Habré ನಲ್ಲಿ ನಮ್ಮ ಬ್ಲಾಗ್‌ನಲ್ಲಿ:

• US ರೋಬೋಕಾಲ್ ಯುದ್ಧ - ಯಾರು ಗೆಲ್ಲುತ್ತಾರೆ ಮತ್ತು ಏಕೆ
• ಬ್ರಿಟಿಷ್ ಟೆಲಿಕಾಂಗಳು ಸಂಪರ್ಕ ಕಡಿತಕ್ಕಾಗಿ ಚಂದಾದಾರರಿಗೆ ಪರಿಹಾರವನ್ನು ಪಾವತಿಸುತ್ತವೆ

ಎಚ್‌ಟಿಟಿಪಿಎಸ್ ಮೂಲಕ ಡಿಎನ್‌ಎಸ್ ಸೈಬರ್ ಭದ್ರತೆಗೆ ಅಪಾಯವಾಗಬಹುದು ಎಂದು ತಜ್ಞರು ಗಮನಿಸುತ್ತಾರೆ. ಜುಲೈ ಆರಂಭದಲ್ಲಿ, Netlab ನಿಂದ ಮಾಹಿತಿ ಭದ್ರತಾ ತಜ್ಞರು ಪತ್ತೆಯಾಗಿದೆ DDoS ದಾಳಿಗಳನ್ನು ಕೈಗೊಳ್ಳಲು ಹೊಸ ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಬಳಸಿದ ಮೊದಲ ವೈರಸ್ - ಗೋಡ್ಲುವಾ. ಪಠ್ಯ ದಾಖಲೆಗಳನ್ನು (.txt) ಪಡೆಯಲು ಮತ್ತು ಕಮಾಂಡ್ ಮತ್ತು ಕಂಟ್ರೋಲ್ ಸರ್ವರ್‌ಗಳ URL ಗಳನ್ನು ಹೊರತೆಗೆಯಲು ಮಾಲ್‌ವೇರ್ DoH ಅನ್ನು ಪ್ರವೇಶಿಸಿತು.

ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ DoH ವಿನಂತಿಗಳನ್ನು ಆಂಟಿವೈರಸ್ ಸಾಫ್ಟ್‌ವೇರ್ ಗುರುತಿಸಲಿಲ್ಲ. ಮಾಹಿತಿ ಭದ್ರತಾ ತಜ್ಞರು ಭಯಗೋಡ್ಲುವಾದ ನಂತರ ಇತರ ಮಾಲ್‌ವೇರ್ ಬರುತ್ತದೆ, ನಿಷ್ಕ್ರಿಯ DNS ಮಾನಿಟರಿಂಗ್‌ಗೆ ಅಗೋಚರವಾಗಿರುತ್ತದೆ.

ಆದರೆ ಎಲ್ಲರೂ ವಿರುದ್ಧವಾಗಿಲ್ಲ

ನನ್ನ ಬ್ಲಾಗ್‌ನಲ್ಲಿ HTTPS ಮೂಲಕ DNS ರಕ್ಷಣೆಗಾಗಿ ಮಾತನಾಡಿದರು APNIC ಇಂಜಿನಿಯರ್ ಜೆಫ್ ಹೂಸ್ಟನ್. ಅವರ ಪ್ರಕಾರ, ಹೊಸ ಪ್ರೋಟೋಕಾಲ್ DNS ಹೈಜಾಕಿಂಗ್ ದಾಳಿಗಳ ವಿರುದ್ಧ ಹೋರಾಡಲು ಸಹಾಯ ಮಾಡುತ್ತದೆ, ಇದು ಇತ್ತೀಚೆಗೆ ಹೆಚ್ಚು ಹೆಚ್ಚು ಸಾಮಾನ್ಯವಾಗಿದೆ. ಈ ವಾಸ್ತವವಾಗಿ ಖಚಿತಪಡಿಸುತ್ತದೆ ಮಾಹಿತಿ ಭದ್ರತಾ ಕಂಪನಿ ಫೈರ್‌ಐನ ಜನವರಿ ವರದಿ. ಪ್ರೋಟೋಕಾಲ್‌ನ ಅಭಿವೃದ್ಧಿಯನ್ನು ದೊಡ್ಡ ಐಟಿ ಕಂಪನಿಗಳು ಸಹ ಬೆಂಬಲಿಸಿದವು.

ಕಳೆದ ವರ್ಷದ ಆರಂಭದಲ್ಲಿ, Google ನಲ್ಲಿ DoH ಅನ್ನು ಪರೀಕ್ಷಿಸಲು ಪ್ರಾರಂಭಿಸಿತು. ಮತ್ತು ಒಂದು ತಿಂಗಳ ಹಿಂದೆ ಕಂಪನಿ ಪ್ರಸ್ತುತಪಡಿಸಲಾಗಿದೆ ಅವರ DoH ಸೇವೆಯ ಸಾಮಾನ್ಯ ಲಭ್ಯತೆಯ ಆವೃತ್ತಿ. ಗೂಗಲ್ ಭರವಸೆಇದು ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿ ವೈಯಕ್ತಿಕ ಡೇಟಾದ ಸುರಕ್ಷತೆಯನ್ನು ಹೆಚ್ಚಿಸುತ್ತದೆ ಮತ್ತು MITM ದಾಳಿಯಿಂದ ರಕ್ಷಿಸುತ್ತದೆ.

ಮತ್ತೊಂದು ಬ್ರೌಸರ್ ಡೆವಲಪರ್ - ಮೊಜಿಲ್ಲಾ - ಬೆಂಬಲಿಸುತ್ತದೆ ಕಳೆದ ಬೇಸಿಗೆಯಿಂದ HTTPS ಮೂಲಕ DNS. ಅದೇ ಸಮಯದಲ್ಲಿ, ಕಂಪನಿಯು ಐಟಿ ಪರಿಸರದಲ್ಲಿ ಹೊಸ ತಂತ್ರಜ್ಞಾನವನ್ನು ಸಕ್ರಿಯವಾಗಿ ಪ್ರಚಾರ ಮಾಡುತ್ತಿದೆ. ಇದಕ್ಕಾಗಿ, ಇಂಟರ್ನೆಟ್ ಸೇವೆಗಳ ಪೂರೈಕೆದಾರರ ಸಂಘ (ISPA) ನಾಮನಿರ್ದೇಶನ ಕೂಡ ವರ್ಷದ ಇಂಟರ್ನೆಟ್ ವಿಲನ್‌ಗಾಗಿ ಮೊಜಿಲ್ಲಾ. ಪ್ರತಿಕ್ರಿಯೆಯಾಗಿ, ಕಂಪನಿಯ ಪ್ರತಿನಿಧಿಗಳು ಗಮನಿಸಿದರುಹಳತಾದ ಇಂಟರ್ನೆಟ್ ಮೂಲಸೌಕರ್ಯವನ್ನು ಸುಧಾರಿಸಲು ಟೆಲಿಕಾಂ ಆಪರೇಟರ್‌ಗಳ ಇಷ್ಟವಿಲ್ಲದಿರುವಿಕೆಯಿಂದ ನಿರಾಶೆಗೊಂಡಿದ್ದಾರೆ.

/ಅನ್‌ಸ್ಪ್ಲಾಶ್/ TETrebbien

ಮೊಜಿಲ್ಲಾಗೆ ಬೆಂಬಲವಾಗಿ ಪ್ರಮುಖ ಮಾಧ್ಯಮಗಳು ಮಾತನಾಡಿದರು ಮತ್ತು ಕೆಲವು ಇಂಟರ್ನೆಟ್ ಪೂರೈಕೆದಾರರು. ನಿರ್ದಿಷ್ಟವಾಗಿ, ಬ್ರಿಟಿಷ್ ಟೆಲಿಕಾಂನಲ್ಲಿ ಪರಿಗಣಿಸಿಹೊಸ ಪ್ರೋಟೋಕಾಲ್ ವಿಷಯ ಫಿಲ್ಟರಿಂಗ್ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುವುದಿಲ್ಲ ಮತ್ತು UK ಬಳಕೆದಾರರ ಸುರಕ್ಷತೆಯನ್ನು ಹೆಚ್ಚಿಸುತ್ತದೆ. ಸಾರ್ವಜನಿಕ ಒತ್ತಡದ ಅಡಿಯಲ್ಲಿ ISPA ಹಿಂತೆಗೆದುಕೊಳ್ಳಬೇಕಾಯಿತು "ಖಳನಾಯಕ" ನಾಮನಿರ್ದೇಶನ.

ಕ್ಲೌಡ್ ಪೂರೈಕೆದಾರರು HTTPS ಮೂಲಕ DNS ಅನುಷ್ಠಾನವನ್ನು ಸಹ ಪ್ರತಿಪಾದಿಸಿದ್ದಾರೆ, ಉದಾಹರಣೆಗೆ cloudflare. ಅವರು ಈಗಾಗಲೇ ಹೊಸ ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಆಧರಿಸಿ DNS ಸೇವೆಗಳನ್ನು ಒದಗಿಸುತ್ತಾರೆ. DoH-ಸಕ್ರಿಯಗೊಳಿಸಿದ ಬ್ರೌಸರ್‌ಗಳು ಮತ್ತು ಕ್ಲೈಂಟ್‌ಗಳ ಸಂಪೂರ್ಣ ಪಟ್ಟಿಗಾಗಿ, ನೋಡಿ GitHub.

ಯಾವುದೇ ಸಂದರ್ಭದಲ್ಲಿ, ಎರಡು ಶಿಬಿರಗಳ ನಡುವಿನ ಮುಖಾಮುಖಿಯ ಅಂತ್ಯದ ಬಗ್ಗೆ ಮಾತನಾಡಲು ಇನ್ನೂ ಅಗತ್ಯವಿಲ್ಲ. HTTPS ಮೂಲಕ DNS ಬೃಹತ್ ಇಂಟರ್ನೆಟ್ ತಂತ್ರಜ್ಞಾನದ ಸ್ಟಾಕ್‌ನ ಭಾಗವಾಗಬೇಕಾದರೆ, ಅದು ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆ ಎಂದು IT ಸಾಧಕರು ಊಹಿಸುತ್ತಾರೆ ಒಂದು ದಶಕದಲ್ಲ.

ನಮ್ಮ ಕಾರ್ಪೊರೇಟ್ ಬ್ಲಾಗ್‌ನಲ್ಲಿ ನಾವು ಇನ್ನೇನು ಬರೆಯುತ್ತೇವೆ:

• ISP ನೆಟ್‌ವರ್ಕ್ ಅನ್ನು ಹೇಗೆ ನಿರ್ಮಿಸಲಾಗಿದೆ
• ISP ನೆಟ್‌ವರ್ಕ್‌ಗಳಲ್ಲಿ ಮೂಲ ಸೇವೆಗಳು
• ಒಮ್ಮುಖ ಮತ್ತು ಏಕೀಕರಣ - ಒಂದು ಸಾಧನದಲ್ಲಿ ಬಹು ಕಾರ್ಯಗಳು

ಮೂಲ: www.habr.com