Hezkirin û Dilxwaz: DNS li ser HTTPS

Em nerînên li ser taybetmendiyên DNS-ê yên li ser HTTPS-ê, yên ku di van demên dawî de di nav pêşkêşkerên Internetnternetê û pêşdebirên gerokê de bûne "hêstek nakokî" analîz dikin.

/Unesplash/ Steve Halama

Esasê nakokiyê

Paşî dem medyaya sereke и platformên tematîk (di nav de Habr), ew bi gelemperî li ser protokola HTTPS (DoH) li ser DNS-ê dinivîsin. Ew daxwazan ji servera DNS re şîfre dike û bersiva wan dide. Ev nêzîkatî dihêle hûn navên mêvandarên ku bikarhêner digihîje veşêrin. Ji weşanan em dikarin encam bidin ku protokola nû (di IETF pejirand di 2018 de) civaka IT-ê li du kampan dabeş kir.

Nîv bawer dikin ku protokola nû dê ewlehiya Înternetê baştir bike û wê di serîlêdan û karûbarên xwe de bicîh dikin. Nîvê din pê bawer e ku teknolojî tenê karê rêvebirên pergalê dijwartir dike. Piştre, em ê argumanên herdu aliyan analîz bikin.

DoH çawa dixebite

Berî ku em têkevin nav çima ISP û beşdarên bazarê yên din li ser HTTPS-ê li dijî an DNS-ê ne, bila bi kurtî li ka çawa dixebite binihêrin.

Di doza DoH de, daxwaza diyarkirina navnîşana IP-ê di seyrûsefera HTTPS de tête girtin. Dûv re ew diçe servera HTTP-ê, ku ew bi karanîna API-ê tê hilanîn. Li vir daxwazek nimûne ji RFC 8484 (Rûpel 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Bi vî rengî, seyrûsefera DNS di seyrûsefera HTTPS de veşartî ye. Xerîdar û pêşkêşkar li ser porta standard 443 diaxivin. Wekî encamek, daxwazên pergala navên domainê nenas dimînin.

Çima ew nayê pejirandin?

Dijberên DNS li ser HTTPS gotinku protokola nû dê ewlehiya girêdanan kêm bike. Ji li gorî Paul Vixie, endamê tîmê pêşkeftina DNS, dê ji rêvebirên pergalê re dijwartir bike ku malperên potansiyel xerab asteng bikin. Bikarhênerên asayî dê şiyana sazkirina kontrolên dêûbav ên şertî di gerokan de winda bikin.

Nêrînên Pawlos ji hêla pêşkêşkerên înternetê yên Keyaniya Yekbûyî ve têne parve kirin. Qanûna welat mecbûr dike wan ji çavkaniyên bi naveroka qedexe asteng bikin. Lê piştgiriya DoH di gerokan de peywira fîlterkirina seyrûseferê tevlihev dike. Rexnegirên protokola nû di heman demê de Navenda Ragihandinê ya Hikûmetê ya li Îngilîstanê jî heye (GCHQ) û Weqfa Çavdêriya Înternetê (IMF), ku qeydek çavkaniyên astengkirî digire.

Di bloga me de li ser Habré:

• Şerê Robokî yê Dewletên Yekbûyî - kî serdikeve û çima
• Telekomên Brîtanî dê ji bo qutbûnê tezmînatê bidin aboneyan

Pispor destnîşan dikin ku DNS li ser HTTPS dikare bibe xeterek ewlehiya sîber. Di destpêka Tîrmehê de, pisporên ewlehiya agahdariyê ji Netlab vedîtin yekem vîrûsa ku protokola nû bikar anî da ku êrîşên DDoS pêk bîne - Godlua. Malware gihîştiye DoH-ê da ku tomarên nivîsê (TXT) bigire û URL-yên serverê yên ferman û kontrolê derxe.

Daxwazên DoH yên şîfrekirî ji hêla nermalava antivirus ve nehatin nas kirin. Pisporên ewlehiya agahdariyê ditirsinku piştî Godlua dê malwareyên din werin, ji çavdêriya DNS-ya pasîf re nayên dîtin.

Lê ne her kes li dijî wê ye

Di parastina DNS-ê de li ser HTTPS li ser bloga xwe axivî endezyar APNIC Geoff Houston. Li gorî wî, protokola nû dê alîkariya şerkirina êrişên revandina DNS-ê bike, yên ku di van demên dawî de pir zêde bûne. Ev rastî piştrast dike Rapora Çile ji pargîdaniya ewlehiya sîber FireEye. Pargîdaniyên mezin ên IT jî piştgirî dan pêşveçûna protokolê.

Di destpêka sala borî de, DoH li Google dest bi ceribandinê kir. Û mehek berê şirket pêşkêş kirin Guhertoya Hebûna Giştî ya karûbarê wê ya DoH. Li ser Google hêvî, ku ew ê ewlehiya daneyên kesane yên li ser torê zêde bike û li dijî êrîşên MITM biparêze.

Pêşvebirek gerokek din - Mozilla - piştgirî dike DNS li ser HTTPS ji havîna borî ve. Di heman demê de, pargîdanî di hawîrdora IT-ê de teknolojiya nû bi awayekî aktîf pêşve dike. Ji bo vê yekê, Komeleya Pêşkêşkerên Karûbarên Înternetê (ISPA) hetta namzed kirin Mozilla ji bo Xelata Xelata Sersalê ya Înternetê. Di bersivê de, nûnerên pargîdaniyê diyar kirin, yên ku ji nerazîbûna operatorên telekomê dilgiran in ku binesaziya xweya Înternetê ya kevnar baştir bikin.

/Unesplash/ TETrebbien

Ji bo piştgiriya Mozilla medyaya sereke axivî û hin pêşkêşkerên Înternetê. Bi taybetî, li Brîtanya Telecom bifikirinku protokola nû dê bandorê li fîlterkirina naverokê neke û dê ewlehiya bikarhênerên Keyaniya Yekbûyî baştir bike. Di bin zexta gel de ISPA neçar ma vekişe namzediya "xirab".

Pêşkêşkerên Cloud di heman demê de danasîna DNS-ê li ser HTTPS, mînakî, piştgirî kirin CloudFlare. Ew jixwe karûbarên DNS-ê li ser bingeha protokola nû pêşkêş dikin. Navnîşek bêkêmasî ya gerok û xerîdarên ku DoH piştgirî dikin li vir heye GitHub.

Bi her awayî, heta niha ne mimkûn e ku behsa bidawîhatina rûbirûbûna her du kampan were kirin. Pisporên IT pêşbînî dikin ku ger DNS-ya li ser HTTPS bibe beşek ji stûna teknolojiya înternetê ya sereke, ew ê bigire. ji deh salan zêdetir.

Em li ser çi di bloga xweya pargîdanî de dinivîsin:

• Çawa tora pêşkêşkera Înternetê tê çêkirin
• Karûbarên bingehîn di torên peydakerê Înternetê de
• Hevbûn û yekbûn - gelek peywir li ser yek cîhazê

Source: www.habr.com