Leuk en niet leuk: DNS via HTTPS

We analyseren meningen over de functies van DNS via HTTPS, die onlangs een “twistpunt” zijn geworden onder internetproviders en browserontwikkelaars.

/Unsplash/ Steve Halama

De essentie van het meningsverschil

De laatste tijd grote media и thematische platforms (inclusief Habr), schrijven ze vaak over het DNS over HTTPS (DoH)-protocol. Het codeert verzoeken aan de DNS-server en de reacties daarop. Met deze aanpak kunt u de namen verbergen van de hosts waartoe de gebruiker toegang heeft. Uit de publicaties kunnen we concluderen dat het nieuwe protocol (in de IETF keurde het goed in 2018) verdeelde de IT-gemeenschap in twee kampen.

De helft gelooft dat het nieuwe protocol de internetveiligheid zal verbeteren en implementeert het in hun applicaties en diensten. De andere helft is ervan overtuigd dat technologie het werk van systeembeheerders alleen maar moeilijker maakt. Vervolgens zullen we de argumenten van beide partijen analyseren.

Hoe DoH werkt

Voordat we ingaan op de vraag waarom ISP's en andere marktdeelnemers voor of tegen DNS via HTTPS zijn, kijken we eerst even hoe het werkt.

In het geval van DoH wordt het verzoek om het IP-adres te bepalen ingekapseld in HTTPS-verkeer. Vervolgens gaat het naar de HTTP-server, waar het wordt verwerkt met behulp van de API. Hier is een voorbeeldverzoek van RFC 8484 (pagina 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

DNS-verkeer wordt dus verborgen in HTTPS-verkeer. De client en server communiceren via de standaardpoort 443. Hierdoor blijven aanvragen aan het domeinnaamsysteem anoniem.

Waarom wordt hij niet bevoordeeld?

Tegenstanders van DNS via HTTPS zeggendat het nieuwe protocol de veiligheid van verbindingen zal verminderen. Door volgens Paul Vixie, lid van het DNS-ontwikkelteam, zal het voor systeembeheerders moeilijker maken om potentieel kwaadaardige sites te blokkeren. Gewone gebruikers verliezen de mogelijkheid om voorwaardelijk ouderlijk toezicht in browsers in te stellen.

De standpunten van Paul worden gedeeld door Britse internetproviders. Landelijke wetgeving verplicht blokkeer ze van bronnen met verboden inhoud. Maar ondersteuning voor DoH in browsers bemoeilijkt het filteren van verkeer. Tot de critici van het nieuwe protocol behoort ook het Government Communications Centre in Engeland (GCHQ) en de Internet Watch Foundation (IWF), dat een register bijhoudt van geblokkeerde bronnen.

In onze blog over Habré:

• De oorlog tegen robocalls in de VS: wie wint en waarom
• Britse telecombedrijven gaan hun abonnees een vergoeding betalen voor dienstonderbrekingen

Experts merken op dat DNS via HTTPS een bedreiging voor de cyberveiligheid kan worden. Begin juli kwamen informatiebeveiligingsspecialisten van Netlab ontdekt het eerste virus dat het nieuwe protocol gebruikte om DDoS-aanvallen uit te voeren - Godlua. De malware heeft toegang gekregen tot DoH om tekstrecords (TXT) te verkrijgen en URL's van command-and-control-servers te extraheren.

Gecodeerde DoH-verzoeken werden niet herkend door antivirussoftware. Specialisten op het gebied van informatiebeveiliging angstdat na Godlua andere malware zal komen, onzichtbaar voor passieve DNS-monitoring.

Maar niet iedereen is er tegen

Ter verdediging van DNS via HTTPS op zijn blog sprak zich uit APNIC-ingenieur Geoff Houston. Volgens hem zal het nieuwe protocol het mogelijk maken om DNS-kapingaanvallen, die de laatste tijd steeds vaker voorkomen, tegen te gaan. Dit feit bevestigt Januarirapport van cybersecuritybedrijf FireEye. Ook grote IT-bedrijven ondersteunden de ontwikkeling van het protocol.

Begin vorig jaar werd DoH bij Google getest. En een maand geleden het bedrijf gepresenteerd Algemene beschikbaarheidsversie van de DoH-service. Op Google hoop, dat het de veiligheid van persoonlijke gegevens op het netwerk zal vergroten en bescherming zal bieden tegen MITM-aanvallen.

Een andere browserontwikkelaar - Mozilla - ondersteunt de DNS over HTTPS sinds afgelopen zomer. Tegelijkertijd promoot het bedrijf actief nieuwe technologie in de IT-omgeving. Hiervoor heeft de Internet Services Providers Association (ISPA) zelfs genomineerd Mozilla voor de prijs Internetschurk van het jaar. Als reactie daarop vertegenwoordigers van het bedrijf dat is genoteerd, die gefrustreerd zijn door de onwil van telecomoperatoren om hun verouderde internetinfrastructuur te verbeteren.

/Unsplash/ TETrebbien

Ter ondersteuning van Mozilla grote media spraken zich uit en sommige internetproviders. In het bijzonder bij British Telecom overwegendat het nieuwe protocol geen invloed zal hebben op het filteren van inhoud en de veiligheid van Britse gebruikers zal verbeteren. Onder publieke druk ISPA moest terugtrekken nominatie voor ‘slechterik’.

Ook cloudproviders pleitten bijvoorbeeld voor de introductie van DNS via HTTPS Cloudflare. Ze bieden al DNS-diensten aan op basis van het nieuwe protocol. Een volledige lijst met browsers en clients die DoH ondersteunen is beschikbaar op GitHub.

Over het einde van de confrontatie tussen de twee kampen kan in ieder geval nog niet worden gesproken. IT-experts voorspellen dat als DNS via HTTPS voorbestemd is om onderdeel te worden van de mainstream internettechnologie, dit nog wel even zal duren niet één decennium.

Waar we nog meer over schrijven in ons bedrijfsblog:

• Hoe het internetprovidernetwerk is opgebouwd
• Basisdiensten in netwerken van internetproviders
• Convergentie en unificatie - meerdere taken op één apparaat

Bron: www.habr.com