Firefox izstrÄdÄtÄji
Visu gadu veiktie testi parÄdÄ«ja pakalpojuma uzticamÄ«bu un labu sniegumu, kÄ arÄ« ļÄva identificÄt dažas situÄcijas, kurÄs DoH var radÄ«t problÄmas un izstrÄdÄt risinÄjumus to apieÅ”anai (piemÄram, izjaukts).
DNS trafika Å”ifrÄÅ”anas nozÄ«me tiek novÄrtÄta kÄ principiÄli svarÄ«gs faktors lietotÄju aizsardzÄ«bÄ, tÄpÄc tika nolemts DoH iespÄjot pÄc noklusÄjuma, bet pirmajÄ posmÄ tikai lietotÄjiem no ASV. PÄc DoH aktivizÄÅ”anas lietotÄjs saÅems brÄ«dinÄjumu, kas ļaus, ja vÄlas, atteikties sazinÄties ar centralizÄtiem DoH DNS serveriem un atgriezties pie tradicionÄlÄs shÄmas neÅ”ifrÄtu pieprasÄ«jumu nosÅ«tÄ«Å”anai uz pakalpojumu sniedzÄja DNS serveri (nevis izkliedÄtas DNS risinÄtÄju infrastruktÅ«ras, DoH izmanto saistÄ«bu ar konkrÄtu DoH pakalpojumu , ko var uzskatÄ«t par vienu atteices punktu).
Ja ir aktivizÄts DoH, var tikt traucÄtas vecÄku kontroles sistÄmas un korporatÄ«vie tÄ«kli, kas izmanto tikai iekÅ”ÄjÄ tÄ«kla DNS nosaukumu struktÅ«ru, lai atrisinÄtu iekÅ”tÄ«kla adreses un korporatÄ«vos resursdatorus. Lai atrisinÄtu problÄmas ar Å”ÄdÄm sistÄmÄm, ir pievienota pÄrbaužu sistÄma, kas automÄtiski atspÄjo DoH. PÄrbaudes tiek veiktas katru reizi, kad tiek palaista pÄrlÅ«kprogramma vai tiek konstatÄtas apakÅ”tÄ«kla izmaiÅas.
AutomÄtiska atgrieÅ”anÄs pie standarta operÄtÄjsistÄmas atrisinÄtÄja izmantoÅ”anas tiek nodroÅ”inÄta arÄ« tad, ja atrisinÄÅ”anas laikÄ, izmantojot DoH, rodas kļūmes (piemÄram, ja tiek traucÄta tÄ«kla pieejamÄ«ba ar DoH nodroÅ”inÄtÄju vai rodas kļūmes tÄ infrastruktÅ«rÄ). Å Ädu pÄrbaužu jÄga ir apÅ”aubÄma, jo neviens neliedz uzbrucÄjiem, kuri kontrolÄ atrisinÄtÄja darbÄ«bu vai spÄj traucÄt trafiku, simulÄt lÄ«dzÄ«gu uzvedÄ«bu, lai atspÄjotu DNS trafika Å”ifrÄÅ”anu. ProblÄma tika atrisinÄta, iestatÄ«jumos pievienojot vienumu āDoH vienmÄrā (klusi neaktÄ«vs), kad tas ir iestatÄ«ts, automÄtiskÄ izslÄgÅ”ana netiek piemÄrota, kas ir saprÄtÄ«gs kompromiss.
Lai identificÄtu uzÅÄmuma atrisinÄtÄjus, tiek pÄrbaudÄ«ti netipiski pirmÄ lÄ«meÅa domÄni (TLD), un sistÄmas risinÄtÄjs atgriež iekÅ”tÄ«kla adreses. Lai noteiktu, vai ir iespÄjota vecÄku kontrole, tiek mÄÄ£inÄts atrisinÄt nosaukumu exampleadultsite.com un, ja rezultÄts neatbilst faktiskajam IP, tiek uzskatÄ«ts, ka DNS lÄ«menÄ« ir aktÄ«va pieauguÅ”ajiem paredzÄtÄ satura bloÄ·ÄÅ”ana. Google un YouTube IP adreses arÄ« tiek pÄrbaudÄ«tas kÄ zÄ«mes, lai noskaidrotu, vai tÄs ir aizstÄtas ar limit.youtube.com, forcesafesearch.google.com un limitmoderate.youtube.com. Papildu Mozilla
Darbs, izmantojot vienu DoH pakalpojumu, var arÄ« radÄ«t problÄmas ar trafika optimizÄciju satura piegÄdes tÄ«klos, kas lÄ«dzsvaro trafiku, izmantojot DNS (CDN tÄ«kla DNS serveris Ä£enerÄ atbildi, Åemot vÄrÄ atrisinÄtÄja adresi un nodroÅ”ina tuvÄko resursdatoru satura saÅemÅ”anai). . NosÅ«tot DNS vaicÄjumu no lietotÄjam tuvÄkÄ atrisinÄtÄja Å”Ädos CDN, tiek atgriezta lietotÄjam vistuvÄk esoÅ”Ä resursdatora adrese, bet, nosÅ«tot DNS vaicÄjumu no centralizÄtÄ atrisinÄtÄja, tiks atgriezta resursdatora adrese, kas ir vistuvÄk DNS-over-HTTPS serverim. . PÄrbaude praksÄ parÄdÄ«ja, ka DNS-over-HTTP izmantoÅ”ana, izmantojot CDN, praktiski neradÄ«ja aizkavi pirms satura pÄrsÅ«tÄ«Å”anas sÄkuma (Ätriem savienojumiem aizkave nepÄrsniedza 10 milisekundes, un vÄl ÄtrÄka darbÄ«ba tika novÄrota lÄnos sakaru kanÄlos ). Tika apsvÄrta arÄ« EDNS klienta apakÅ”tÄ«kla paplaÅ”inÄjuma izmantoÅ”ana, lai CDN atrisinÄtÄjam nodroÅ”inÄtu klienta atraÅ”anÄs vietas informÄciju.
AtgÄdinÄsim, ka DoH var bÅ«t noderÄ«gs, lai novÄrstu informÄcijas noplÅ«di par pieprasÄ«tajiem resursdatora nosaukumiem caur pakalpojumu sniedzÄju DNS serveriem, cÄ«nÄ«tos pret MITM uzbrukumiem un DNS trafika viltoÅ”anu, cÄ«nÄ«tos pret bloÄ·ÄÅ”anu DNS lÄ«menÄ« vai organizÄtu darbu, ja tas notiek. nav iespÄjams tieÅ”i piekļūt DNS serveriem (piemÄram, strÄdÄjot caur starpniekserveri). Ja normÄlÄ situÄcijÄ DNS pieprasÄ«jumi tiek tieÅ”i nosÅ«tÄ«ti uz sistÄmas konfigurÄcijÄ definÄtajiem DNS serveriem, tad DoH gadÄ«jumÄ pieprasÄ«jums noteikt saimniekdatora IP adresi tiek iekapsulÄts HTTPS trafikÄ un nosÅ«tÄ«ts uz HTTP serveri, kur atrisinÄtÄjs apstrÄdÄ. pieprasÄ«jumus, izmantojot Web API. EsoÅ”ais DNSSEC standarts izmanto Å”ifrÄÅ”anu tikai klienta un servera autentifikÄcijai, taÄu neaizsargÄ trafiku no pÄrtverÅ”anas un negarantÄ pieprasÄ«jumu konfidencialitÄti.
Lai iespÄjotu DoH failÄ about:config, jÄmaina mainÄ«gÄ network.trr.mode vÄrtÄ«ba, kas tiek atbalstÄ«ts kopÅ” Firefox 60. VÄrtÄ«ba 0 pilnÄ«bÄ atspÄjo DoH; 1 ā tiek izmantots DNS vai DoH ā atkarÄ«bÄ no tÄ, kurÅ” ir ÄtrÄks; 2 - DoH tiek izmantots pÄc noklusÄjuma, un DNS tiek izmantots kÄ rezerves opcija; 3 - tiek izmantots tikai DoH; 4 - spoguļoÅ”anas režīms, kurÄ paralÄli tiek izmantots DoH un DNS. PÄc noklusÄjuma tiek izmantots CloudFlare DNS serveris, taÄu to var mainÄ«t, izmantojot parametru network.trr.uri, piemÄram, varat iestatÄ«t āhttps://dns.google.com/experimentalā vai āhttps://9.9.9.9 .XNUMX/dns-query "
Avots: opennet.ru