He pai me te kore e pai: DNS mo HTTPS

Ka tātarihia e matou nga whakaaro e pa ana ki nga ahuatanga o te DNS i runga i te HTTPS, katahi ano ka waiho hei "wheua totohe" i waenga i nga kaiwhakarato Ipurangi me nga kaihanga tirotiro.

/Tangohia/ Steve Halama

Ko te tino o te tautohetohe

I a tata nei, pāpāho nui и tüäpapa kaupapa (tae atu ki a Habr), ka tuhi pinepine ratou mo te DNS mo te kawa HTTPS (DoH). Ka whakamuna nga tono ki te tūmau DNS me nga whakautu ki a raatau. Ma tenei huarahi ka taea e koe te huna i nga ingoa o nga kaihautu ka uru atu te kaiwhakamahi. Mai i nga panui ka taea e tatou te whakatau ko te kawa hou (i te IETF whakaaetia ana i roto i te 2018) wehea te hapori IT ki nga puni e rua.

Ko te haurua e whakapono ana ka whakapai ake te kawa hou i te haumarutanga Ipurangi me te whakauru ki roto i a raatau tono me o raatau ratonga. Ko tetahi atu haurua e whakapono ana ko te hangarau anake ka uaua ake te mahi a nga kaiwhakahaere punaha. Whai muri, ka wetewetehia nga tohenga o nga taha e rua.

Me pehea te mahi a DoH

I mua i to maatau korero he aha nga ISP me etahi atu kaiuru maakete mo te DNS mo HTTPS ranei, me titiro poto ki te mahi.

I roto i te take o DoH, ko te tono ki te whakatau i te wahitau IP kei roto i te hokohoko HTTPS. Ka haere ki te tūmau HTTP, kei reira te tukatuka ma te whakamahi i te API. Anei tetahi tauira tono mai i a RFC 8484 (Whārangi 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

No reira, ka hunahia te hokohoko DNS i roto i te hokohoko HTTPS. Ka whakawhitiwhiti te kiritaki me te tūmau i runga i te tauranga paerewa 443. Ko te mutunga, ko nga tono ki te punaha ingoa rohe ka noho kore ingoa.

He aha i kore ai ia e paingia?

Nga hoariri o DNS mo HTTPS e ai ta ratouka whakaitihia e te kawa hou te haumarutanga o nga hononga. Na rite Ko Paul Vixie, he mema o te roopu whanaketanga DNS, ka kaha ake te uaua mo nga kaiwhakahaere punaha ki te aukati i nga waahi kino. Ko nga kaiwhakamahi noa ka ngaro te kaha ki te whakarite i nga mana matua herenga i roto i nga kaitirotiro.

Ko nga whakaaro a Paul e tohatohahia ana e nga kaiwhakarato ipurangi a UK. Ture whenua herea aukati i a raatau mai i nga rauemi me nga ihirangi kua rahuitia. Engari ko te tautoko mo te DoH i roto i nga kaitirotiro e whakararu ana i te mahi tātari waka. Kei roto hoki i te hunga whakahee i te kawa hou te Whare Whakawhitiwhiti a te Kawanatanga i Ingarangi (GCHQ) me te Internet Watch Foundation (IMF), e pupuri ana i te rehita o nga rauemi kua aukatia.

I roto i ta maatau blog i runga i a Habré:

• US robocall war - ko wai te toa me te aha
• Ka utua e nga waea waea a Ingarangi he utu mo nga kaiohauru mo te aukati ratonga

Ka kite nga tohunga ka taea e DNS mo HTTPS te whakatuma mo te haumarutanga ipurangi. I te timatanga o Hurae, nga tohunga mo te haumaru korero mai i Netlab kitea te huaketo tuatahi i whakamahi i te kawa hou ki te kawe i nga whakaeke DDoS - Godlua. I uru atu te malware ki te DoH ki te tiki i nga rekoata kuputuhi (TXT) me te tango i te whakahau me te whakahaere URL tūmau.

Ko nga tono DoH kua whakamunatia kaore i mohiohia e te rorohiko wheori. Nga tohunga mo te haumaru korero kei te wehii muri i te Godlua ka tae mai etahi atu malware, e kore e kitea e te aro turuki DNS.

Engari kaore nga tangata katoa e whakahe ana

Hei tiaki mo DNS mo HTTPS i runga i tana rangitaki i korero APNIC miihini Geoff Houston. E ai ki a ia, ma te kawa hou e taea ai te whawhai i nga whakaeke hijacking DNS, katahi ano ka kaha haere. Ko tenei meka whakaū Ko te ripoata o Hanuere mai i te kamupene cybersecurity FireEye. I tautoko hoki nga kamupene IT nui i te whanaketanga o te kawa.

I te timatanga o tera tau, i timata a DoH ki te whakamatautau i a Google. A kotahi marama ki muri te kamupene представила Putanga Wātea Whānui o tana ratonga DoH. I runga i a Google tumanako, ka nui ake te haumarutanga o nga raraunga whaiaro i runga i te whatunga me te tiaki i nga whakaeke MITM.

Ko tetahi atu kaiwhakawhanake tirotiro - Mozilla - tautoko DNS mo HTTPS mai i te raumati kua hipa. I te wa ano, kei te kaha te kamupene ki te whakatairanga i nga hangarau hou i roto i te taiao IT. Mo tenei, ko te Internet Services Providers Association (ISPA) ara kua tohua Mozilla mo te Tohu Kaihara Ipurangi o te Tau. Hei whakautu, ko nga mema o te kamupene tuhia, e pouri ana i te kore o nga kaiwhakahaere waea ki te whakapai ake i o raatau hanganga Ipurangi tawhito.

/Tangohia/ TETrebbien

Hei tautoko mo Mozilla i korero te hunga pāpāho nui me etahi kaiwhakarato Ipurangi. Ina koa, i British Telecom whakaarohiae kore te kawa hou e pa ki te tātari ihirangi me te whakapai ake i te haumarutanga o nga kaiwhakamahi UK. I raro i te pehanga a te iwi ISPA me maumahara whakaingoatanga "kino".

I tautoko ano nga kaiwhakarato kapua ki te whakauru i te DNS mo te HTTPS, hei tauira Cloudflare. Kei te tuku ratonga DNS i runga i te kawa hou. He rarangi katoa o nga kaitirotiro me nga kaihoko e tautoko ana i a DoH e waatea ana i GitHub.

Ahakoa he aha, kaore ano kia taea te korero mo te mutunga o te tautohetohe i waenga i nga puni e rua. E matapaetia ana e nga tohunga IT, mena ka tau te DNS ki runga i te HTTPS kia uru ki roto i te puranga hangarau Ipurangi auraki, ka mau. neke atu i te kotahi tekau tau.

He aha atu ka tuhia e matou i roto i ta maatau blog umanga:

• Me pehea te hanga whatunga kaiwhakarato Ipurangi
• Nga ratonga taketake i roto i nga whatunga kaiwhakarato Ipurangi
• Te whakakotahi me te whakakotahi - he maha nga mahi i runga i te taputapu kotahi

Source: will.com