좋아요 및 싫어요: HTTPS를 통한 DNS

최근 인터넷 제공업체와 브라우저 개발자들 사이에서 '논쟁의 뼈대'가 되고 있는 DNS over HTTPS의 기능에 대한 의견을 분석합니다.

/언스플래쉬/ 스티브 할라마

불일치의 본질

최근 주요 언론 и 주제별 플랫폼 (Habr 포함) 그들은 DoH(DNS over HTTPS) 프로토콜에 대해 자주 글을 씁니다. DNS 서버에 대한 요청을 암호화하고 이에 응답합니다. 이 접근 방식을 사용하면 사용자가 액세스하는 호스트의 이름을 숨길 수 있습니다. 간행물에서 우리는 새로운 프로토콜(IETF에서)이 다음과 같이 결론을 내릴 수 있습니다. 승인했다 2018년) IT 커뮤니티를 두 개의 진영으로 나누었습니다.

절반은 새로운 프로토콜이 인터넷 보안을 향상시킬 것이라고 믿으며 이를 애플리케이션과 서비스에 구현하고 있습니다. 나머지 절반은 기술이 시스템 관리자의 업무를 더욱 어렵게 만들 뿐이라고 확신합니다. 다음으로 양측의 주장을 분석해 보겠습니다.

DoH 작동 방식

ISP 및 기타 시장 참가자가 HTTPS를 통한 DNS를 찬성하거나 반대하는 이유를 알아보기 전에 이것이 어떻게 작동하는지 간략하게 살펴보겠습니다.

DoH의 경우 IP 주소 확인 요청이 HTTPS 트래픽에 캡슐화됩니다. 그런 다음 HTTP 서버로 이동하여 API를 사용하여 처리됩니다. 다음은 RFC 8484의 요청 예시입니다(6 페이지):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

따라서 DNS 트래픽은 HTTPS 트래픽에 숨겨져 있습니다. 클라이언트와 서버는 표준 포트 443을 통해 통신합니다. 결과적으로 도메인 이름 시스템에 대한 요청은 익명으로 유지됩니다.

왜 그는 은혜를 받지 못합니까?

HTTPS를 통한 DNS 반대자 говорят새로운 프로토콜은 연결 보안을 약화시킬 것입니다. 에 의해 ~에 따르면 DNS 개발 팀의 일원인 Paul Vixie는 시스템 관리자가 잠재적인 악성 사이트를 차단하는 것을 더욱 어렵게 만들 것입니다. 일반 사용자는 브라우저에서 조건부 자녀 보호 기능을 설정하는 기능을 잃게 됩니다.

Paul의 견해는 영국 인터넷 제공업체와 공유됩니다. 국가 법률 의무 금지된 콘텐츠가 포함된 리소스로부터 차단하세요. 그러나 브라우저에서 DoH를 지원하면 트래픽 필터링 작업이 복잡해집니다. 새로운 프로토콜에 대한 비판에는 영국의 정부 커뮤니케이션 센터(GCHQ) 및 인터넷 감시 재단(IWF), 차단된 리소스의 등록을 유지 관리합니다.

Habré 블로그에서:

• 미국의 자동녹음전화와의 전쟁 - 누가 승리하고 있으며 그 이유는 무엇입니까?
• 영국 통신사, 서비스 중단에 대해 가입자에게 보상금 지급

전문가들은 HTTPS를 통한 DNS가 사이버 보안 위협이 될 수 있다고 지적합니다. XNUMX월 초 Netlab의 정보 보안 전문가들이 발견 DDoS 공격을 수행하기 위해 새로운 프로토콜을 사용한 최초의 바이러스 - 갓루아. 악성코드는 DoH에 액세스하여 텍스트 레코드(TXT)를 획득하고 명령 및 제어 서버 URL을 추출했습니다.

암호화된 DoH 요청은 바이러스 백신 소프트웨어에서 인식되지 않았습니다. 정보보안 전문가 두려움Godlua 이후에는 수동적 DNS 모니터링에는 보이지 않는 다른 악성 코드가 나타날 것입니다.

하지만 모두가 반대하는 것은 아니다

그의 블로그에서 HTTPS를 통한 DNS를 방어합니다. 말 했어요. APNIC 엔지니어 제프 휴스턴. 그에 따르면, 새로운 프로토콜을 사용하면 최근 점점 더 일반화되고 있는 DNS 하이재킹 공격에 대처할 수 있게 될 것입니다. 이 사실 확인하다 사이버 보안 회사인 FireEye의 XNUMX월 보고서. 대형 IT 기업들도 프로토콜 개발을 지원했다.

작년 초부터 DoH는 Google에서 테스트를 시작했습니다. 그리고 한 달 전에 회사에서 제시 DoH 서비스의 일반 가용성 버전입니다. 구글에서 기대, 네트워크의 개인 데이터 보안을 강화하고 MITM 공격으로부터 보호합니다.

또 다른 브라우저 개발자 - Mozilla - поддерживает 지난 여름부터 HTTPS를 통한 DNS. 동시에, 회사는 IT 환경에서 신기술을 적극적으로 홍보하고 있습니다. 이를 위해 인터넷서비스제공자협회(ISPA) 심지어 지명됨 올해의 인터넷 악당상을 수상한 Mozilla. 이에 회사 관계자는 유명한, 통신 사업자가 오래된 인터넷 인프라 개선을 꺼려하여 좌절감을 느꼈습니다.

/언스플래쉬/ 테트레비엔

모질라를 지원합니다 주요 언론이 밝혔다 그리고 일부 인터넷 제공업체. 특히 브리티시 텔레콤에서는 고려하다새로운 프로토콜은 콘텐츠 필터링에 영향을 미치지 않으며 영국 사용자의 보안을 향상시킬 것입니다. 대중의 압력을 받고 있는 ISPA 회상해야 했다 "악당" 지명.

클라우드 제공업체는 또한 HTTPS를 통한 DNS 도입을 옹호했습니다. Cloudflare. 그들은 이미 새로운 프로토콜을 기반으로 하는 DNS 서비스를 제공하고 있습니다. DoH를 지원하는 브라우저 및 클라이언트의 전체 목록은 다음에서 확인할 수 있습니다. GitHub의.

어쨌든 아직까지 두 진영의 대결이 어떻게 끝났는지 이야기하는 것은 불가능하다. IT 전문가들은 HTTPS를 통한 DNS가 주류 인터넷 기술 스택의 일부가 되려면 상당한 시간이 걸릴 것으로 예상합니다. XNUMX 년이 아닌.

회사 블로그에 우리가 쓰는 다른 내용은 다음과 같습니다.

• 인터넷 제공업체 네트워크 구축 방법
• 인터넷 제공업체 네트워크의 기본 서비스
• 융합과 통합 - 하나의 기기에서 여러 작업을 수행

출처 : habr.com