Patinka ir nepatinka: DNS per HTTPS

Mes analizuojame nuomones apie DNS per HTTPS ypatybes, kurios pastaruoju metu tapo interneto tiekėjų ir naršyklių kūrėjų „sutarimų centru“.

/Unsplash/ Steve'as Halama

Nesutarimo esmė

Pastaruoju metu pagrindinė žiniasklaida и teminės platformos (įskaitant Habr), jie dažnai rašo apie DNS per HTTPS (DoH) protokolą. Jis užšifruoja DNS serverio užklausas ir atsakymus į juos. Šis metodas leidžia paslėpti prieglobų pavadinimus, kuriuos vartotojas pasiekia. Iš publikacijų galime daryti išvadą, kad naujasis protokolas (IETF jį patvirtino 2018 m.) IT bendruomenę padalijo į dvi stovyklas.

Pusė mano, kad naujasis protokolas pagerins interneto saugumą ir diegia jį savo programose ir paslaugose. Kita pusė įsitikinusi, kad technologijos tik apsunkina sistemų administratorių darbą. Toliau išanalizuosime abiejų pusių argumentus.

Kaip veikia DoH

Prieš pradėdami išsiaiškinti, kodėl IPT ir kiti rinkos dalyviai yra už arba prieš DNS per HTTPS, trumpai pažiūrėkime, kaip jis veikia.

DoH atveju užklausa nustatyti IP adresą yra įtraukta į HTTPS srautą. Tada jis patenka į HTTP serverį, kur jis apdorojamas naudojant API. Štai RFC 8484 užklausos pavyzdys (6 puslapis):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Taigi DNS srautas yra paslėptas HTTPS sraute. Klientas ir serveris bendrauja per standartinį 443 prievadą. Dėl to užklausos domeno vardų sistemai lieka anoniminės.

Kodėl jis nėra palankus?

DNS per HTTPS priešininkai sakykkad naujasis protokolas sumažins ryšių saugumą. Autorius žodžiai Paul Vixie, DNS kūrimo komandos narys, apsunkins sistemos administratorių galimybę blokuoti galimai kenksmingas svetaines. Paprasti vartotojai neteks galimybės naršyklėse nustatyti sąlyginės tėvų kontrolės.

Pauliaus nuomonei pritaria JK interneto tiekėjai. Šalies teisės aktai įpareigoja blokuoti juos iš išteklių su draudžiamu turiniu. Tačiau DoH palaikymas naršyklėse apsunkina srauto filtravimo užduotį. Naujojo protokolo kritikai taip pat yra Anglijos vyriausybės komunikacijos centras (GCHQ) ir „Internet Watch Foundation“ (IWF), kuri tvarko užblokuotų išteklių registrą.

Mūsų tinklaraštyje apie Habré:

• Karas prieš skambučius JAV – kas laimi ir kodėl
• Didžiosios Britanijos telekomunikacijos mokės abonentams kompensacijas už paslaugų nutraukimą

Ekspertai pastebi, kad DNS per HTTPS gali tapti kibernetinio saugumo grėsme. Liepos pradžioje „Netlab“ informacijos saugos specialistai atrado pirmasis virusas, naudojęs naują protokolą DDoS atakoms vykdyti - Godlua. Kenkėjiška programa pasiekė DoH, kad gautų tekstinius įrašus (TXT) ir ištrauktų komandų ir valdymo serverio URL adresus.

Antivirusinė programinė įranga neatpažino užšifruotų DoH užklausų. Informacijos saugumo specialistai baimėkad po Godlua ateis kita kenkėjiška programa, nematoma pasyviam DNS stebėjimui.

Tačiau ne visi tam prieštarauja

Gindamas DNS per HTTPS savo tinklaraštyje pasisakė APNIC inžinierius Geoffas Houstonas. Pasak jo, naujasis protokolas leis kovoti su DNS užgrobimo atakomis, kurios pastaruoju metu tampa vis dažnesnės. Šis faktas patvirtina Kibernetinio saugumo bendrovės „FireEye“ sausio mėnesio ataskaita. Protokolo kūrimą parėmė ir didelės IT įmonės.

Praėjusių metų pradžioje DoH buvo pradėtas testuoti „Google“. O prieš mėnesį įmonė pateiktas DoH paslaugos bendrojo prieinamumo versija. Google viltis, kad tai padidins asmeninių duomenų saugumą tinkle ir apsaugos nuo MITM atakų.

Kitas naršyklės kūrėjas - „Mozilla“ palaiko DNS per HTTPS nuo praėjusios vasaros. Tuo pačiu metu įmonė aktyviai propaguoja naujas technologijas IT aplinkoje. Už tai Interneto paslaugų teikėjų asociacija (ISPA) net nominuotas „Mozilla“ už Metų interneto piktadarį. Atsakydami įmonės atstovai pažymėjo, kurie nusivylę telekomunikacijų operatorių nenoru tobulinti pasenusios interneto infrastruktūros.

/Unsplash/ TETrebbien

„Mozilla“ palaikymui pasisakė pagrindinė žiniasklaida ir kai kurie interneto tiekėjai. Visų pirma „British Telecom“. apsvarstykitekad naujasis protokolas neturės įtakos turinio filtravimui ir pagerins JK vartotojų saugumą. Visuomenės spaudimu ISPA teko atšaukti „piktininko“ nominacija.

Pavyzdžiui, debesų paslaugų teikėjai taip pat pasisakė už DNS įvedimą per HTTPS Cloudflare. Jie jau siūlo DNS paslaugas pagal naująjį protokolą. Išsamų DoH palaikančių naršyklių ir klientų sąrašą rasite adresu GitHub.

Bet kuriuo atveju apie abiejų stovyklų akistatos pabaigą kalbėti kol kas negalima. IT ekspertai prognozuoja, kad jei DNS per HTTPS bus lemta tapti pagrindinės interneto technologijų krūvos dalimi, tai užtruks daugiau nei vieną dešimtmetį.

Apie ką dar rašome savo įmonės tinklaraštyje:

• Kaip kuriamas interneto tiekėjų tinklas
• Pagrindinės paslaugos interneto tiekėjų tinkluose
• Konvergencija ir suvienijimas – kelios užduotys viename įrenginyje

Šaltinis: www.habr.com