“Suka dan tidak suka”: DNS melalui HTTPS

Kami menganalisis pendapat mengenai ciri DNS melalui HTTPS, yang baru-baru ini menjadi "tulang perbalahan" di kalangan penyedia Internet dan pembangun penyemak imbas.

/nyah percikan/ Steve Halama

Intipati perselisihan pendapat

Akhir-akhir ini media utama и platform tematik (termasuk Habr), mereka sering menulis tentang DNS melalui protokol HTTPS (DoH). Ia menyulitkan permintaan kepada pelayan DNS dan respons kepada mereka. Pendekatan ini membolehkan anda menyembunyikan nama hos yang diakses oleh pengguna. Daripada penerbitan kita boleh membuat kesimpulan bahawa protokol baru (dalam IETF meluluskannya pada 2018) membahagikan komuniti IT kepada dua kem.

Setengah percaya bahawa protokol baharu itu akan meningkatkan keselamatan Internet dan sedang melaksanakannya ke dalam aplikasi dan perkhidmatan mereka. Separuh lagi yakin bahawa teknologi hanya menyukarkan tugas pentadbir sistem. Seterusnya, kami akan menganalisis hujah kedua-dua pihak.

Bagaimana DoH berfungsi

Sebelum kita mengetahui sebab ISP dan peserta pasaran lain menyokong atau menentang DNS melalui HTTPS, mari kita lihat secara ringkas cara ia berfungsi.

Dalam kes DoH, permintaan untuk menentukan alamat IP terkandung dalam trafik HTTPS. Ia kemudian pergi ke pelayan HTTP, di mana ia diproses menggunakan API. Berikut ialah contoh permintaan daripada RFC 8484 (halaman 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Oleh itu, trafik DNS disembunyikan dalam trafik HTTPS. Pelanggan dan pelayan berkomunikasi melalui port standard 443. Akibatnya, permintaan kepada sistem nama domain kekal tanpa nama.

Mengapa dia tidak disenangi?

Lawan DNS melalui HTTPS katakanbahawa protokol baharu akan mengurangkan keselamatan sambungan. Oleh menurut Paul Vixie, ahli pasukan pembangunan DNS, akan menyukarkan lagi pentadbir sistem untuk menyekat tapak yang berpotensi berniat jahat. Pengguna biasa akan kehilangan keupayaan untuk menyediakan kawalan ibu bapa bersyarat dalam penyemak imbas.

Pandangan Paul dikongsi oleh penyedia internet UK. Perundangan negara mewajibkan menyekat mereka daripada sumber dengan kandungan terlarang. Tetapi sokongan untuk DoH dalam pelayar merumitkan tugas menapis trafik. Pengkritik protokol baharu juga termasuk Pusat Komunikasi Kerajaan di England (GCHQ) dan Yayasan Pengawasan Internet (IWF), yang mengekalkan daftar sumber yang disekat.

Dalam blog kami di Habré:

• Perang terhadap panggilan robo di AS - siapa yang menang dan mengapa
• Telekom British akan membayar pampasan pelanggan untuk gangguan perkhidmatan

Pakar ambil perhatian bahawa DNS melalui HTTPS boleh menjadi ancaman keselamatan siber. Pada awal bulan Julai, pakar keselamatan maklumat daripada Netlab ditemui virus pertama yang menggunakan protokol baharu untuk menjalankan serangan DDoS - Godlua. Malware mengakses DoH untuk mendapatkan rekod teks (TXT) dan mengekstrak arahan dan mengawal URL pelayan.

Permintaan DoH yang disulitkan tidak diiktiraf oleh perisian antivirus. Pakar keselamatan maklumat takutbahawa selepas Godlua perisian hasad lain akan datang, tidak kelihatan kepada pemantauan DNS pasif.

Tetapi tidak semua orang menentangnya

Dalam mempertahankan DNS melalui HTTPS di blognya bersuara Jurutera APNIC Geoff Houston. Menurutnya, protokol baharu itu akan memungkinkan untuk memerangi serangan rampasan DNS, yang baru-baru ini menjadi semakin biasa. Fakta ini menegaskan Laporan Januari dari syarikat keselamatan siber FireEye. Syarikat IT yang besar turut menyokong pembangunan protokol tersebut.

Pada awal tahun lepas, DoH mula diuji di Google. Dan sebulan yang lalu syarikat itu dibentangkan Versi Ketersediaan Umum perkhidmatan DoHnya. Di Google harapan, bahawa ia akan meningkatkan keselamatan data peribadi pada rangkaian dan melindungi daripada serangan MITM.

Pembangun penyemak imbas lain - Mozilla - menyokong DNS melalui HTTPS sejak musim panas lalu. Pada masa yang sama, syarikat sedang giat mempromosikan teknologi baharu dalam persekitaran IT. Untuk ini, Persatuan Penyedia Perkhidmatan Internet (ISPA) malah dicalonkan Mozilla untuk Anugerah Penjahat Internet Terbaik. Sebagai tindak balas, wakil syarikat tercatat, yang kecewa dengan keengganan pengendali telekom untuk menambah baik infrastruktur Internet mereka yang lapuk.

/nyah percikan/ TETrebbien

Bagi menyokong Mozilla media utama bersuara dan beberapa pembekal Internet. Khususnya, di British Telecom mempertimbangkanbahawa protokol baharu tidak akan menjejaskan penapisan kandungan dan akan meningkatkan keselamatan pengguna UK. Di bawah tekanan awam ISPA terpaksa ditarik balik pencalonan "penjahat".

Pembekal awan juga menyokong pengenalan DNS melalui HTTPS, sebagai contoh CloudFlare. Mereka sudah menawarkan perkhidmatan DNS berdasarkan protokol baharu. Senarai lengkap pelayar dan pelanggan yang menyokong DoH tersedia di GitHub.

Walau apa pun, masih belum boleh diperkatakan tentang berakhirnya konfrontasi antara kedua-dua kem itu. Pakar IT meramalkan bahawa jika DNS melalui HTTPS ditakdirkan untuk menjadi sebahagian daripada timbunan teknologi Internet arus perdana, ia akan mengambil masa lebih daripada satu dekad.

Apa lagi yang kami tulis dalam blog korporat kami:

• Bagaimana rangkaian pembekal Internet dibina
• Perkhidmatan asas dalam rangkaian pembekal Internet
• Penumpuan dan penyatuan - berbilang tugas pada satu peranti

Sumber: www.habr.com