Жактыруу жана жактырбоо: HTTPS аркылуу DNS

Биз жакында интернет провайдерлери менен браузерди иштеп чыгуучулардын арасында “талаш-тартышка” айланган HTTPS аркылуу DNS өзгөчөлүктөрүнө байланыштуу пикирлерди талдайбыз.

/Usplash/ Стив Халама

Пикир келишпестиктин маңызы

Жакында, негизги маалымат каражаттары и тематикалык платформалар (анын ичинде Habr), алар көбүнчө HTTPS (DoH) протоколу аркылуу DNS жөнүндө жазышат. Ал DNS серверине суроо-талаптарды жана аларга жоопторду шифрлейт. Бул ыкма колдонуучу кирүүчү хосттордун атын жашырууга мүмкүндүк берет. Басылмалардан биз жаңы протокол (IETF аны бекитти 2018-жылы) IT коомчулугун эки лагерге бөлгөн.

Жарымы жаңы протокол Интернет коопсуздугун жакшыртат деп ишенишет жана аны өздөрүнүн тиркемелерине жана кызматтарына киргизүүдө. Калган жарымы технология системалык администраторлордун ишин гана кыйындатат деп ишенет. Андан ары эки тараптын аргументтерин талдайбыз.

DoH кантип иштейт

Эмне үчүн провайдерлер жана башка рыноктун катышуучулары HTTPS аркылуу DNSти колдошот же ага каршы экенин түшүнүүдөн мурун, анын кантип иштээрин кыскача карап көрөлү.

DoH учурда, IP дарегин аныктоо өтүнүчү HTTPS трафигинде камтылган. Андан кийин ал HTTP серверине барат, ал жерде API аркылуу иштетилет. Бул жерде RFC 8484 сурамынын мисалы болуп саналат (str.6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Ошентип, DNS трафик HTTPS трафигинде жашырылган. Кардар менен сервер стандарттуу порт 443 аркылуу байланышат. Натыйжада, домендик аталыштар системасына суроо-талаптар жашыруун бойдон калууда.

Эмне үчүн ал жактырбайт?

HTTPS аркылуу DNS каршылаштары Эгерде алар мындай дей турганжаңы протокол байланыштардын коопсуздугун азайтат. By сөздөр Пол Викси, DNS иштеп чыгуу тобунун мүчөсү, системалык администраторлор үчүн зыяндуу сайттарды бөгөт коюуну кыйындатат. Жөнөкөй колдонуучулар браузерлерде шарттуу ата-эненин көзөмөлүн орнотуу мүмкүнчүлүгүн жоготот.

Полдун көз карашын Улуу Британиянын интернет провайдерлери бөлүшөт. Өлкөнүн мыйзамдары милдеттендирет аларды тыюу салынган мазмундагы ресурстардан бөгөттөө. Бирок браузерлерде DoH колдоо трафикти чыпкалоо милдетин татаалдаштырат. Жаңы протоколдун сынчыларына Англиядагы Өкмөттүк байланыш борбору да кирет (GCHQ) жана Internet Watch Foundation (IMF), бөгөттөлгөн ресурстардын реестрин жүргүзөт.

Habré биздин блогдо:

• АКШдагы робот чалуулар боюнча согуш - ким жана эмне үчүн жеңип жатат
• Британ телекоммуникациялары абоненттерге кызматтын үзгүлтүккө учурашы үчүн компенсация төлөйт

Эксперттер HTTPS аркылуу DNS киберкоопсуздук коркунучу болуп калышы мүмкүн экенин белгилешет. Июль айынын башында Netlab компаниясынын маалымат коопсуздугу боюнча адистери табылган DDoS чабуулдарын жүргүзүү үчүн жаңы протоколду колдонгон биринчи вирус - Godlua. Кесепеттүү программа текст жазууларын (TXT) алуу жана буйрук жана башкаруу серверинин URL даректерин алуу үчүн DoHге кирди.

Шифрленген DoH сурамдары антивирустук программа тарабынан таанылган жок. Маалыматтык коопсуздук боюнча адистер коркунучGodluaдан кийин пассивдүү DNS мониторингине көрүнбөгөн башка зыяндуу программа келет.

Бирок ага баары эле каршы эмес

Анын блогунда HTTPS аркылуу DNS коргоо Ал билдирди APNIC инженери Джефф Хьюстон. Анын айтымында, жаңы протокол акыркы убакта кеңири тараган DNS уурдоо чабуулдары менен күрөшүүгө жардам берет. Бул факт ырастап турат FireEye киберкоопсуздук компаниясынын январь айындагы отчету. Протоколду иштеп чыгууга ири IT-компаниялар да колдоо көрсөтүштү.

Өткөн жылдын башында DoH Google'да сынала баштаган. Ал эми бир ай мурун компания берилген DoH кызматынын жалпы жеткиликтүүлүк версиясы. Google'да үмүт, ал тармактагы жеке маалыматтардын коопсуздугун жогорулатат жана MITM чабуулдарынан коргойт.

Башка браузер иштеп чыгуучу - Mozilla - тирөөчү Өткөн жайдан бери HTTPS аркылуу DNS. Ошол эле учурда компания IT чөйрөсүндө жаңы технологияларды активдүү жайылтууда. Бул үчүн Интернет кызмат көрсөтүүчүлөр ассоциациясы (ISPA) атүгүл талапкерлигин койгон Mozilla "Жылдын мыкты интернет жаман адамы" сыйлыгы үчүн. Жооп катары компаниянын өкүлдөрү белгиленген, Байланыш операторлорунун эскирген интернет инфраструктурасын жакшыртууну каалабай жатканына нааразы болгондор.

/Usplash/ TETrebbien

Mozilla колдоо негизги маалымат каражаттары билдирди жана кээ бир интернет провайдерлери. Атап айтканда, British Telecom компаниясында кароожаңы протокол мазмунду чыпкалоого таасир этпейт жана Улуу Британиянын колдонуучуларынын коопсуздугун жакшыртат. ISPA коомдук басым астында кайра чакырып алуу керек эле "жаман" номинациясы.

Булут провайдерлери, мисалы, HTTPS аркылуу DNS киргизүүнү жакташкан Cloudflare. Алар жаңы протоколдун негизинде DNS кызматтарын сунушташат. DoHди колдогон браузерлердин жана кардарлардын толук тизмеси бул жерден жеткиликтүү GitHub.

Кандай болгон күндө да эки лагердин тирешинин соңуна чыгуу тууралуу азырынча айтуу мүмкүн эмес. IT адистеринин болжолунда, эгер HTTPS аркылуу DNS негизги интернет технология стекинин бир бөлүгү болуп калса, анда ал талап кылынат. он жылдан ашык.

Биздин корпоративдик блогубузда дагы эмне жөнүндө жазабыз:

• Интернет-провайдер тармагы кантип курулган
• Интернет-провайдер тармактарындагы негизги кызматтар
• Конвергенция жана бириктирүү - бир түзмөктө бир нече тапшырма

Source: www.habr.com