Liker og misliker: DNS over HTTPS

Vi analyserer meninger om funksjonene til DNS over HTTPS, som nylig har blitt et "stridsfelt" blant Internett-leverandører og nettleserutviklere.

/Unsplash/ Steve Halama

Essensen i uenigheten

Siste store medier и tematiske plattformer (inkludert Habr), skriver de ofte om DNS over HTTPS (DoH)-protokollen. Den krypterer forespørsler til DNS-serveren og svar på dem. Denne tilnærmingen lar deg skjule navnene på vertene som brukeren får tilgang til. Fra publikasjonene kan vi konkludere med at den nye protokollen (i IETF godkjent det i 2018) delte IT-miljøet inn i to leire.

Halvparten tror at den nye protokollen vil forbedre Internett-sikkerheten og implementerer den i sine applikasjoner og tjenester. Den andre halvparten er overbevist om at teknologien bare gjør jobben til systemadministratorer vanskeligere. Deretter vil vi analysere argumentene til begge sider.

Hvordan DoH fungerer

Før vi kommer inn på hvorfor Internett-leverandører og andre markedsaktører er for eller imot DNS over HTTPS, la oss kort se på hvordan det fungerer.

Når det gjelder DoH, er forespørselen om å bestemme IP-adressen innkapslet i HTTPS-trafikk. Den går deretter til HTTP-serveren, hvor den behandles ved hjelp av API. Her er en eksempelforespørsel fra RFC 8484 (side 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Dermed er DNS-trafikk skjult i HTTPS-trafikk. Klienten og serveren kommuniserer over standardporten 443. Som et resultat forblir forespørsler til domenenavnsystemet anonyme.

Hvorfor er han ikke favorisert?

Motstandere av DNS over HTTPS siat den nye protokollen vil redusere sikkerheten i forbindelsene. Av i følge Paul Vixie, et medlem av DNS-utviklingsteamet, vil gjøre det vanskeligere for systemadministratorer å blokkere potensielt skadelige nettsteder. Vanlige brukere vil miste muligheten til å sette opp betinget foreldrekontroll i nettlesere.

Pauls synspunkter deles av britiske internettleverandører. Landslovgivning forplikter blokkere dem fra ressurser med forbudt innhold. Men støtte for DoH i nettlesere kompliserer oppgaven med å filtrere trafikk. Kritikere av den nye protokollen inkluderer også Government Communications Center i England (GCHQ) og Internet Watch Foundation (IWF), som opprettholder et register over blokkerte ressurser.

I bloggen vår om Habré:

• Krigen mot robocall i USA - hvem vinner og hvorfor
• Britiske telekom vil betale abonnenter kompensasjon for tjenesteavbrudd

Eksperter bemerker at DNS over HTTPS kan bli en cybersikkerhetstrussel. I begynnelsen av juli kom informasjonssikkerhetsspesialister fra Netlab oppdaget det første viruset som brukte den nye protokollen til å utføre DDoS-angrep - Godlua. Skadevaren fikk tilgang til DoH for å skaffe tekstposter (TXT) og trekke ut kommando- og kontrollserver-URLer.

Krypterte DoH-forespørsler ble ikke gjenkjent av antivirusprogramvare. Spesialister på informasjonssikkerhet er reddeat etter Godlua vil annen malware komme, usynlig for passiv DNS-overvåking.

Men ikke alle er imot det

Til forsvar for DNS over HTTPS på bloggen hans snakket ut APNIC-ingeniør Geoff Houston. Ifølge ham vil den nye protokollen gjøre det mulig å bekjempe DNS-kapringsangrep, som den siste tiden har blitt stadig mer vanlig. Denne faktaen bekrefter Januarrapport fra cybersikkerhetsselskapet FireEye. Store IT-selskaper støttet også utviklingen av protokollen.

I begynnelsen av fjoråret begynte DoH å bli testet hos Google. Og for en måned siden selskapet presentert General Availability-versjon av DoH-tjenesten. På Google håp, at det vil øke sikkerheten til personlige data på nettverket og beskytte mot MITM-angrep.

En annen nettleserutvikler - Mozilla - støtter DNS over HTTPS siden i fjor sommer. Samtidig jobber selskapet aktivt med å fremme ny teknologi i IT-miljøet. For dette, Internet Services Providers Association (ISPA) til og med nominert Mozilla for prisen for årets nettskurk. Som svar, selskapets representanter bemerket, som er frustrert over teleoperatørenes motvilje mot å forbedre sin utdaterte internettinfrastruktur.

/Unsplash/ TETrebbien

Til støtte for Mozilla store medier uttalte seg og noen Internett-leverandører. Spesielt hos British Telecom vurdereat den nye protokollen ikke vil påvirke innholdsfiltrering og vil forbedre sikkerheten til britiske brukere. Under offentlig press ISPA måtte tilbakekalles "skurk" nominasjon.

Skyleverandører tok også til orde for innføring av DNS over HTTPS, for eksempel CloudFlare. De tilbyr allerede DNS-tjenester basert på den nye protokollen. En komplett liste over nettlesere og klienter som støtter DoH er tilgjengelig på GitHub.

Uansett er det ennå ikke mulig å snakke om slutten på konfrontasjonen mellom de to leirene. IT-eksperter spår at hvis DNS over HTTPS er bestemt til å bli en del av den vanlige Internett-teknologistabelen, vil det ta mer enn ett tiår.

Hva mer skriver vi om i bedriftsbloggen vår:

• Hvordan Internett-leverandørnettverket er bygget opp
• Grunnleggende tjenester i Internett-leverandørnettverk
• Konvergens og forening - flere oppgaver på én enhet

Kilde: www.habr.com