Patīk un Nepatīk: DNS, izmantojot HTTPS

Mēs analizējam viedokļus par DNS funkcijām, izmantojot HTTPS, kas pēdējā laikā ir kļuvuši par “strīdas kaulu” interneta pakalpojumu sniedzēju un pārlūkprogrammu izstrādātāju vidū.

/Unsplash/ Stīvs Halama

Nesaskaņu būtība

Nesen galvenie mediji и tematiskās platformas (ieskaitot Habr), viņi bieži raksta par DNS, izmantojot HTTPS (DoH) protokolu. Tas šifrē pieprasījumus DNS serverim un atbildes uz tiem. Šī pieeja ļauj paslēpt to saimniekdatoru nosaukumus, kuriem lietotājs piekļūst. No publikācijām varam secināt, ka jaunais protokols (IETF to apstiprināja 2018. gadā) sadalīja IT kopienu divās nometnēs.

Puse uzskata, ka jaunais protokols uzlabos interneta drošību, un ievieš to savās lietojumprogrammās un pakalpojumos. Otra puse ir pārliecināta, ka tehnoloģijas tikai apgrūtina darbu sistēmu administratoriem. Tālāk mēs analizēsim abu pušu argumentus.

Kā darbojas DoH

Pirms sākam noskaidrot, kāpēc interneta pakalpojumu sniedzēji un citi tirgus dalībnieki ir par vai pret DNS, izmantojot HTTPS, īsi apskatīsim, kā tas darbojas.

DoH gadījumā pieprasījums noteikt IP adresi tiek iekapsulēts HTTPS trafikā. Pēc tam tas nonāk HTTP serverī, kur tas tiek apstrādāts, izmantojot API. Šeit ir RFC 8484 pieprasījuma piemērs (lapa 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Tādējādi DNS trafiks ir paslēpts HTTPS trafikā. Klients un serveris sazinās, izmantojot standarta portu 443. Rezultātā pieprasījumi domēna nosaukumu sistēmai paliek anonīmi.

Kāpēc viņš netiek atbalstīts?

DNS, izmantojot HTTPS, pretinieki viņi sakaka jaunais protokols samazinās savienojumu drošību. Autors saskaņā ar DNS izstrādes komandas dalībnieks Pols Viksijs apgrūtinās sistēmas administratoriem potenciāli ļaunprātīgu vietņu bloķēšanu. Parastie lietotāji zaudēs iespēju pārlūkprogrammās iestatīt nosacītu vecāku kontroli.

Apvienotās Karalistes interneta pakalpojumu sniedzēji piekrīt Pāvila viedoklim. Valsts likumdošana uzliek par pienākumu bloķēt tos no resursiem ar aizliegtu saturu. Taču DoH atbalsts pārlūkprogrammās sarežģī trafika filtrēšanas uzdevumu. Jaunā protokola kritiķu vidū ir arī Valdības komunikāciju centrs Anglijā (GCHQ) un Internet Watch Foundation (IWF), kas uztur bloķēto resursu reģistru.

Mūsu emuārā par Habré:

• Karš pret robozvaniem ASV - kurš uzvar un kāpēc
• Lielbritānijas telekomunikācijas maksās abonentiem kompensāciju par pakalpojuma pārtraukumiem

Eksperti atzīmē, ka DNS, izmantojot HTTPS, var kļūt par kiberdrošības apdraudējumu. Jūlija sākumā Netlab informācijas drošības speciālisti atklāja pirmais vīruss, kas izmantoja jauno protokolu, lai veiktu DDoS uzbrukumus - Godlua. Ļaunprātīga programmatūra piekļuva DoH, lai iegūtu teksta ierakstus (TXT) un izvilktu komandu un kontroles servera vietrāžus URL.

Pretvīrusu programmatūra neatpazina šifrētus DoH pieprasījumus. Informācijas drošības speciālisti baidāska pēc Godlua parādīsies cita ļaunprogrammatūra, kas ir neredzama pasīvai DNS uzraudzībai.

Bet ne visi ir pret to

Aizstāvot DNS, izmantojot HTTPS savā emuārā ierunājās APNIC inženieris Džefs Hjūstons. Pēc viņa teiktā, jaunais protokols dos iespēju cīnīties ar DNS nolaupīšanas uzbrukumiem, kas pēdējā laikā kļūst arvien izplatītāki. Šis fakts apstiprina Janvāra ziņojums no kiberdrošības uzņēmuma FireEye. Protokola izstrādi atbalstīja arī lielie IT uzņēmumi.

Pagājušā gada sākumā DoH sāka testēt Google. Un pirms mēneša uzņēmums uzrādīts DoH pakalpojuma vispārējā pieejamības versija. Google tīklā ceru, ka tas palielinās personas datu drošību tīklā un aizsargās pret MITM uzbrukumiem.

Cits pārlūkprogrammas izstrādātājs - Mozilla - atbalsta DNS, izmantojot HTTPS kopš pagājušās vasaras. Vienlaikus uzņēmums aktīvi veic jaunu tehnoloģiju popularizēšanu IT vidē. Šim nolūkam Interneta pakalpojumu sniedzēju asociācija (ISPA) pat nominēta Mozilla par Gada interneta ļaundara balvu. Atbildot uz to, uzņēmuma pārstāvji atzīmēja, kuri ir neapmierināti par telekomunikāciju operatoru nevēlēšanos uzlabot savu novecojušo interneta infrastruktūru.

/Unsplash/ TETrebbien

Mozilla atbalstam izteicās galvenie mediji un daži interneta pakalpojumu sniedzēji. Jo īpaši British Telecom apsvērtka jaunais protokols neietekmēs satura filtrēšanu un uzlabos Apvienotās Karalistes lietotāju drošību. Saskaņā ar sabiedrības spiedienu ISPA bija jāatsauc nominācija "nelietis".

Mākoņu pakalpojumu sniedzēji arī iestājās par DNS ieviešanu, piemēram, HTTPS Cloudflare. Viņi jau piedāvā DNS pakalpojumus, pamatojoties uz jauno protokolu. Pilns to pārlūkprogrammu un klientu saraksts, kas atbalsta DoH, ir pieejams vietnē GitHub.

Katrā ziņā par abu nometņu konfrontācijas beigām runāt vēl nevar. IT eksperti prognozē, ka, ja DNS, izmantojot HTTPS, ir paredzēts kļūt par daļu no galvenā interneta tehnoloģiju kaudzes, tas prasīs vairāk nekā vienu desmitgadi.

Par ko vēl mēs rakstām mūsu korporatīvajā emuārā:

• Kā tiek veidots interneta pakalpojumu sniedzēja tīkls
• Pamatpakalpojumi interneta pakalpojumu sniedzēju tīklos
• Konverģence un apvienošana — vairāki uzdevumi vienā ierīcē

Avots: www.habr.com