Дуртай болон дургүй: HTTPS дээр DNS

Бид сүүлийн үед интернет үйлчилгээ үзүүлэгч болон хөтөч хөгжүүлэгчдийн дунд "мөргөлдөөний яс" болоод байгаа HTTPS дээрх DNS-ийн онцлогуудын талаархи санал бодлыг шинжилдэг.

/Usplash/ Стив Халама

Зөрчилдөөний мөн чанар

Саяхан, томоохон хэвлэл мэдээллийн хэрэгсэл и сэдэвчилсэн платформууд (Хабрыг оруулаад) тэд ихэвчлэн HTTPS (DoH) протоколоор DNS-ийн талаар бичдэг. Энэ нь DNS серверт ирсэн хүсэлтүүд болон тэдгээрт хариу өгөхийг шифрлэдэг. Энэ арга нь хэрэглэгчийн ханддаг хостуудын нэрийг нуух боломжийг олгодог. Нийтлэлүүдээс бид шинэ протокол (IETF-д) гэж дүгнэж болно зөвшөөрсөн 2018 онд) мэдээллийн технологийн нийгэмлэгийг хоёр лагерьт хуваасан.

Тал хувь нь шинэ протокол нь интернетийн аюулгүй байдлыг сайжруулж, програм, үйлчилгээндээ нэвтрүүлж байна гэж үзэж байна. Нөгөө тал нь технологи нь зөвхөн системийн администраторуудын ажлыг улам хүндрүүлдэг гэдэгт итгэлтэй байна. Дараа нь бид хоёр талын маргаанд дүн шинжилгээ хийх болно.

ЭМГ хэрхэн ажилладаг

ISP болон бусад зах зээлд оролцогчид яагаад HTTPS-ээр дамжуулан DNS-ийг дэмждэг эсвэл эсрэг байдаг талаар ярихаасаа өмнө энэ нь хэрхэн ажилладаг талаар товчхон харцгаая.

ЭМГ-ын хувьд IP хаягийг тодорхойлох хүсэлтийг HTTPS урсгалд багтаасан болно. Дараа нь энэ нь API ашиглан боловсруулагддаг HTTP сервер рүү очно. RFC 8484-ийн жишээ хүсэлт энд байна (6 хуудас):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Тиймээс DNS траффик HTTPS урсгалд нуугддаг. Үйлчлүүлэгч болон сервер нь стандарт порт 443-аар холбогддог. Үүний үр дүнд домэйн нэрийн системд ирсэн хүсэлтүүд нь үл мэдэгдэх болно.

Яагаад түүнд таалагдахгүй байгаа юм бэ?

HTTPS дээрх DNS-ийг эсэргүүцэгчид хэлэхшинэ протокол нь холболтын аюулгүй байдлыг бууруулах болно. By дагуу DNS хөгжүүлэлтийн багийн гишүүн Пол Викси нь системийн администраторуудад хортой байж болзошгүй сайтуудыг хаахад илүү төвөгтэй болгоно. Энгийн хэрэглэгчид хөтөч дээр нөхцөлт эцэг эхийн хяналтыг тохируулах чадвараа алдах болно.

Паулын үзэл бодлыг Их Британийн интернет үйлчилгээ үзүүлэгч нар хуваалцдаг. Улс орны хууль тогтоомж үүрэг болгодог хориотой агуулга бүхий нөөцөөс тэднийг хаах. Гэхдээ хөтөч дээрх DoH-ийн дэмжлэг нь траффикийг шүүх ажлыг улам хүндрүүлдэг. Шинэ протоколыг шүүмжилсэн хүмүүсийн тоонд Англи дахь Засгийн газрын харилцааны төв (GCHQ) болон Интернет үзэх сан (ОУВС-), блоклогдсон нөөцийн бүртгэлийг хөтөлдөг.

Habré дээрх манай блогт:

• АНУ-д робот дуудлагын эсрэг дайн - хэн, яагаад ялж байна
• Их Британийн харилцаа холбооны компаниуд үйлчилгээ тасалдсан тохиолдолд захиалагчдад нөхөн төлбөр төлнө

HTTPS-ээр дамжсан DNS нь кибер аюулгүй байдлын аюул болж болзошгүйг мэргэжилтнүүд тэмдэглэж байна. XNUMX-р сарын эхээр Netlab-ийн мэдээллийн аюулгүй байдлын мэргэжилтнүүд олж мэдсэн DDoS халдлага хийх шинэ протоколыг ашигласан анхны вирус - Годлуа. Хортой програм нь текстийн бичлэг (TXT) авч, командын болон хяналтын серверийн URL-уудыг задлахын тулд DoH-д хандсан.

Шифрлэгдсэн ЭМГ-ын хүсэлтийг вирусны эсрэг программ хүлээн зөвшөөрөөгүй. Мэдээллийн аюулгүй байдлын мэргэжилтнүүд айдасGodlua-ийн дараа идэвхгүй DNS хяналтанд үл үзэгдэх бусад хортой програмууд ирэх болно.

Гэхдээ хүн бүр үүнийг эсэргүүцдэггүй

Өөрийн блог дээр HTTPS-ээр DNS-ийг хамгаалах үг хэлэв APNIC инженер Жефф Хьюстон. Түүний хэлснээр, шинэ протокол нь сүүлийн үед улам бүр түгээмэл болж байгаа DNS хулгайлах халдлагатай тэмцэх боломжтой болно. Энэ баримт баталж байна Кибер аюулгүй байдлын FireEye компанийн XNUMX-р сарын тайлан. Мэдээллийн технологийн томоохон компаниуд ч протоколыг боловсруулахад дэмжлэг үзүүлсэн.

Өнгөрсөн оны эхээр ЭМГ-ыг Google-д туршиж эхэлсэн. Мөн сарын өмнө компани танилцуулсан ЭМГ-ын үйлчилгээний ерөнхий хүртээмжтэй хувилбар. Google дээр найдвар, энэ нь сүлжээн дэх хувийн мэдээллийн аюулгүй байдлыг нэмэгдүүлж, MITM халдлагаас хамгаалах болно.

Өөр нэг хөтөч хөгжүүлэгч - Mozilla - дэмждэг Өнгөрсөн зунаас хойш HTTPS-ээр DNS. Үүний зэрэгцээ тус компани мэдээллийн технологийн орчинд шинэ технологийг идэвхтэй сурталчилж байна. Үүний тулд Интернет үйлчилгээ үзүүлэгчдийн холбоо (ISPA) бүр нэр дэвшсэн Mozilla-аас оны шилдэг интернэт хорон санаатны шагналыг хүртсэн. Хариуд нь компанийн төлөөлөл тэмдэглэвХарилцаа холбооны операторууд хуучирсан интернетийн дэд бүтцээ сайжруулахыг хүсэхгүй байгаад бухимдсан .

/Usplash/ Т.Треббиен

Mozilla-г дэмжиж байна томоохон хэвлэл мэдээллийн хэрэгслээр ярьсан болон зарим интернет үйлчилгээ үзүүлэгч. Тодруулбал, British Telecom компанид бодохшинэ протокол нь агуулгын шүүлтүүрт нөлөөлөхгүй бөгөөд Их Британийн хэрэглэгчдийн аюулгүй байдлыг сайжруулах болно. Олон нийтийн шахалтаар ISPA эргүүлэн татах шаардлагатай болсон "Муу санаатан" номинаци.

Жишээлбэл, үүлэн үйлчилгээ үзүүлэгчид HTTPS-ээр DNS-ийг нэвтрүүлэхийг дэмжсэн Cloudflare. Тэд шинэ протокол дээр суурилсан DNS үйлчилгээг аль хэдийн санал болгож байна. DoH-г дэмждэг хөтөч болон үйлчлүүлэгчдийн бүрэн жагсаалтыг эндээс авах боломжтой GitHub.

Ямартай ч хоёр баазын сөргөлдөөн дуусах тухай одоохондоо ярих боломжгүй. Мэдээллийн технологийн мэргэжилтнүүд HTTPS-ээр дамжуулан DNS-ийг интернетийн үндсэн технологийн стекийн нэг хэсэг болгохоор төлөвлөж байна гэж таамаглаж байна. арав гаруй жил.

Корпорацийн блогтоо бид өөр юу бичих вэ:

• Интернет үйлчилгээ үзүүлэгчийн сүлжээг хэрхэн бий болгосон
• Интернет үйлчилгээ үзүүлэгч сүлжээн дэх үндсэн үйлчилгээ
• Нэгтгэх ба нэгтгэх - нэг төхөөрөмж дээр олон ажил хийх

Эх сурвалж: www.habr.com