ASV lietotājiem pārlūkprogrammā Firefox pēc noklusējuma ir iespējots DNS-over-HTTPS

Firefox izstrādātāji paziņoja par DNS, izmantojot HTTPS (DoH, DNS, izmantojot HTTPS) režīma iespējošanu pēc noklusējuma ASV lietotājiem. DNS trafika šifrēšana tiek uzskatīta par būtiski svarīgu faktoru lietotāju aizsardzībā. No šodienas visām jaunajām ASV lietotāju instalācijām pēc noklusējuma būs iespējota DoH. Plānots, ka esošie ASV lietotāji tiks pārslēgti uz DoH dažu nedēļu laikā. Eiropas Savienībā un citās valstīs pagaidām aktivizējiet DoH pēc noklusējuma neplāno.

Pēc DoH aktivizēšanas lietotājam tiek parādīts brīdinājums, kas ļauj, ja vēlas, atteikties sazināties ar centralizētiem DoH DNS serveriem un atgriezties pie tradicionālās shēmas, kad pakalpojumu sniedzēja DNS serverim tiek nosūtīti nešifrēti vaicājumi. Izkliedētās DNS atrisinātāju infrastruktūras vietā DoH izmanto saistīšanu ar konkrētu DoH pakalpojumu, ko var uzskatīt par vienu atteices punktu. Šobrīd darbs tiek piedāvāts caur diviem DNS nodrošinātājiem – CloudFlare (noklusējums) un NextDNS.

Mainiet pakalpojumu sniedzēju vai atspējojiet DoH viens var tīkla savienojuma iestatījumos. Piemēram, varat norādīt alternatīvu DoH serveri “https://dns.google/dns-query”, lai piekļūtu Google serveriem, “https://dns.quad9.net/dns-query” — Quad9 un “https:/ /doh .opendns.com/dns-query" — OpenDNS. About:config nodrošina arī tīkla.trr.mode iestatījumu, ar kura palīdzību var mainīt DoH darbības režīmu: vērtība 0 pilnībā atspējo DoH; 1 — tiek izmantots DNS vai DoH — atkarībā no tā, kurš ir ātrāks; 2 - DoH tiek izmantots pēc noklusējuma, un DNS tiek izmantots kā rezerves opcija; 3 - tiek izmantots tikai DoH; 4 - spoguļošanas režīms, kurā paralēli tiek izmantots DoH un DNS.

Atgādināsim, ka DoH var būt noderīga, lai novērstu informācijas noplūdi par pieprasītajiem resursdatora nosaukumiem caur pakalpojumu sniedzēju DNS serveriem, apkarotu MITM uzbrukumus un DNS trafika viltošanu (piemēram, pieslēdzoties publiskajam Wi-Fi), apkarotu bloķēšanu DNS. līmenī (DoH nevar aizstāt VPN DPI līmenī ieviestās bloķēšanas apiešanas jomā) vai darba organizēšanai, ja nav iespējams tieši piekļūt DNS serveriem (piemēram, strādājot caur starpniekserveri). Ja normālā situācijā DNS pieprasījumi tiek tieši nosūtīti uz sistēmas konfigurācijā definētajiem DNS serveriem, tad DoH gadījumā pieprasījums noteikt saimniekdatora IP adresi tiek iekapsulēts HTTPS trafikā un nosūtīts uz HTTP serveri, kur atrisinātājs apstrādā. pieprasījumus, izmantojot Web API. Esošais DNSSEC standarts izmanto šifrēšanu tikai klienta un servera autentifikācijai, taču neaizsargā trafiku no pārtveršanas un negarantē pieprasījumu konfidencialitāti.

Lai atlasītu pārlūkprogrammā Firefox piedāvātos DoH pakalpojumu sniedzējus, Prasības uzticamiem DNS risinātājiem, saskaņā ar kuriem DNS operators risināšanai saņemtos datus var izmantot tikai pakalpojuma darbības nodrošināšanai, nedrīkst glabāt žurnālus ilgāk par 24 stundām, nedrīkst nodot datus trešajām personām un ir pienākums izpaust informāciju par datu apstrādes metodes. Tāpat pakalpojumam ir jāpiekrīt DNS trafiku necenzēt, nefiltrēt, netraucēt vai bloķēt, izņemot likumā paredzētās situācijas.

DoH jālieto piesardzīgi. Piemēram, Krievijas Federācijā IP adreses 104.16.248.249 un 104.16.249.249 ir ​​saistītas ar noklusējuma DoH serveri mozilla.cloudflare-dns.com, kas tiek piedāvāts pārlūkprogrammā Firefox, uzskaitīti в sarakstus bloķēšana Roskomnadzor pēc Stavropoles tiesas 10.06.2013. gada XNUMX. jūnija lūguma.

DoH var radīt problēmas arī tādās jomās kā vecāku kontroles sistēmas, piekļuve iekšējām nosaukumu telpām korporatīvajās sistēmās, maršruta izvēle satura piegādes optimizācijas sistēmās un tiesas rīkojumu izpilde nelegāla satura izplatīšanas un izmantošanas apkarošanas jomā. nepilngadīgie. Lai apietu šādas problēmas, ir ieviesta un pārbaudīta pārbaudes sistēma, kas noteiktos apstākļos automātiski atspējo DoH.

Lai identificētu uzņēmuma atrisinātājus, tiek pārbaudīti netipiski pirmā līmeņa domēni (TLD), un sistēmas risinātājs atgriež iekštīkla adreses. Lai noteiktu, vai ir iespējota vecāku kontrole, tiek mēģināts atrisināt nosaukumu exampleadultsite.com un, ja rezultāts neatbilst faktiskajam IP, tiek uzskatīts, ka DNS līmenī ir aktīva pieaugušajiem paredzētā satura bloķēšana. Google un YouTube IP adreses arī tiek pārbaudītas kā zīmes, lai noskaidrotu, vai tās ir aizstātas ar limit.youtube.com, forcesafesearch.google.com un limitmoderate.youtube.com. Šīs pārbaudes ļauj uzbrucējiem, kuri kontrolē atrisinātāja darbību vai spēj traucēt trafiku, simulēt šādu darbību, lai atspējotu DNS trafika šifrēšanu.

Darbs, izmantojot vienu DoH pakalpojumu, var arī radīt problēmas ar trafika optimizāciju satura piegādes tīklos, kas līdzsvaro trafiku, izmantojot DNS (CDN tīkla DNS serveris ģenerē atbildi, ņemot vērā atrisinātāja adresi un nodrošina tuvāko resursdatoru satura saņemšanai). . Nosūtot DNS vaicājumu no lietotājam tuvākā atrisinātāja šādos CDN, tiek atgriezta lietotājam vistuvāk esošā resursdatora adrese, bet, nosūtot DNS vaicājumu no centralizētā atrisinātāja, tiks atgriezta resursdatora adrese, kas ir vistuvāk DNS-over-HTTPS serverim. . Pārbaude praksē parādīja, ka DNS-over-HTTP izmantošana, izmantojot CDN, praktiski neradīja aizkavi pirms satura pārsūtīšanas sākuma (ātriem savienojumiem aizkave nepārsniedza 10 milisekundes, un vēl ātrāka darbība tika novērota lēnos sakaru kanālos ). Tika apsvērta arī EDNS klienta apakštīkla paplašinājuma izmantošana, lai CDN atrisinātājam nodrošinātu klienta atrašanās vietas informāciju.

Avots: opennet.ru