Допаѓања и недопаѓања: DNS преку HTTPS

Ги анализираме мислењата во врска со карактеристиките на DNS преку HTTPS, кои неодамна станаа „коска на расправија“ меѓу интернет провајдерите и развивачите на прелистувачи.

/Unsplash/ Стив Халама

Суштината на несогласувањето

Во последно време главните медиуми и тематски платформи (вклучувајќи го и Habr), тие често пишуваат за протоколот DNS преку HTTPS (DoH). Ги шифрира барањата до серверот DNS и одговорите на нив. Овој пристап ви овозможува да ги скриете имињата на домаќините до кои пристапува корисникот. Од публикациите можеме да заклучиме дека новиот протокол (во IETF го одобри во 2018 година) ја подели ИТ заедницата на два табора.

Половина веруваат дека новиот протокол ќе ја подобри безбедноста на Интернет и го имплементираат во своите апликации и услуги. Другата половина е убедена дека технологијата само ја отежнува работата на системските администратори. Следно, ќе ги анализираме аргументите на двете страни.

Како работи DoH

Пред да навлеземе во тоа зошто интернет провајдерите и другите учесници на пазарот се за или против DNS преку HTTPS, ајде накратко да погледнеме како функционира.

Во случај на DoH, барањето за одредување на IP адресата е инкапсулирано во сообраќајот HTTPS. Потоа оди до серверот HTTP, каде што се обработува со помош на API. Еве пример барање од RFC 8484 (страница 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Така, сообраќајот DNS е скриен во сообраќајот HTTPS. Клиентот и серверот комуницираат преку стандардната порта 443. Како резултат на тоа, барањата до системот за имиња на домен остануваат анонимни.

Зошто не е фаворизиран?

Противници на DNS преку HTTPS велат тиедека новиот протокол ќе ја намали безбедноста на врските. Од страна на според Пол Викси, член на тимот за развој на DNS, ќе им отежне на системските администратори да блокираат потенцијално малициозни страници. Обичните корисници ќе ја изгубат можноста да поставуваат условни родителски контроли во прелистувачите.

Ставовите на Пол ги делат британските интернет провајдери. Законодавство на земјата обврзува блокирајте ги од ресурси со забранета содржина. Но, поддршката за DoH во прелистувачите ја комплицира задачата за филтрирање на сообраќајот. Критичарите на новиот протокол го вклучуваат и владиниот центар за комуникации во Англија (GCHQ) и Фондацијата Internet Watch (IWF), кој води регистар на блокирани ресурси.

Во нашиот блог на Хабре:

• Војната против роботските повици во САД - кој победува и зошто
• Британските телекоми ќе им плаќаат на претплатниците компензација за прекин на услугите

Експертите забележуваат дека DNS преку HTTPS може да стане закана за сајбер безбедноста. На почетокот на јули, специјалисти за информациска безбедност од Нетлаб откриени првиот вирус што го користеше новиот протокол за извршување DDoS напади - Годлуа. Злонамерниот софтвер пристапи до ДоХ за да добие текстуални записи (TXT) и да ги извлече URL-адресите на серверот за команди и контрола.

Шифрираните барања за DoH не беа препознаени од антивирусен софтвер. Специјалисти за безбедност на информации се плашатдека после Godlua ќе дојде друг малициозен софтвер, невидлив за пасивно DNS мониторинг.

Но, не се сите против тоа

Во одбрана на DNS преку HTTPS на неговиот блог проговори АПНИК инженер Џеф Хјустон. Според него, новиот протокол ќе овозможи борба против нападите со киднапирање на DNS, кои во последно време стануваат сè почести. Овој факт потврдува Јануарски извештај од компанијата за сајбер безбедност FireEye. Големите ИТ компании исто така го поддржаа развојот на протоколот.

На почетокот на минатата година, DoH почна да се тестира во Google. И пред еден месец компанијата презентирани Верзија за општа достапност на нејзината услуга DoH. На Google надеж, дека ќе ја зголеми безбедноста на личните податоци на мрежата и ќе заштити од MITM напади.

Друг развивач на прелистувач - Mozilla - поддржува DNS преку HTTPS од минатото лето. Во исто време, компанијата активно промовира нова технологија во ИТ околината. За ова, Здружението на даватели на интернет услуги (ISPA) дури и номиниран Mozilla за награда за интернет негативец на годината. Како одговор, претставници на компанијата забележано, кои се фрустрирани од неподготвеноста на телекомуникациските оператори да ја подобрат својата застарена интернет инфраструктура.

/Unsplash/ ТЕТребиен

За поддршка на Mozilla се огласија главните медиуми и некои интернет провајдери. Конкретно, во Британскиот Телеком сметаатдека новиот протокол нема да влијае на филтрирањето на содржината и ќе ја подобри безбедноста на корисниците во ОК. Под притисок на јавноста ИСПА мораше да се отповика номинација за „негативец“.

Обезбедувачите на облак, на пример, се залагаа за воведување на DNS преку HTTPS Cloudflare. Тие веќе нудат DNS услуги врз основа на новиот протокол. Комплетна листа на прелистувачи и клиенти кои поддржуваат DoH е достапна на GitHub.

Во секој случај, се уште не може да се зборува за крај на пресметката на двата табора. ИТ експертите предвидуваат дека ако DNS преку HTTPS е предодреден да стане дел од мејнстрим оџакот на интернет технологијата, ќе биде потребно повеќе од една деценија.

За што друго пишуваме на нашиот корпоративен блог:

• Како е изградена мрежата на интернет провајдерите
• Основни услуги во мрежите на Интернет провајдерите
• Конвергенција и обединување - повеќе задачи на еден уред

Извор: www.habr.com