Lubi i nie lubi: DNS przez HTTPS

Analizujemy opinie na temat możliwości DNS over HTTPS, które w ostatnim czasie stały się „kością niezgody” wśród dostawców Internetu i twórców przeglądarek.

/Unsplash/ Steve'a Halamy

Istota niezgody

Ostatnio główne media и platformy tematyczne (w tym Habr) często piszą o protokole DNS over HTTPS (DoH). Szyfruje żądania kierowane do serwera DNS i odpowiedzi na nie. Takie podejście pozwala ukryć nazwy hostów, do których użytkownik uzyskuje dostęp. Z publikacji możemy stwierdzić, że nowy protokół (w IETF zatwierdził to w 2018 r.) podzieliła społeczność IT na dwa obozy.

Połowa uważa, że ​​nowy protokół poprawi bezpieczeństwo Internetu i wdraża go w swoich aplikacjach i usługach. Druga połowa jest przekonana, że ​​technologia tylko utrudnia pracę administratorom systemów. Następnie przeanalizujemy argumenty obu stron.

Jak działa DoH

Zanim przejdziemy do wyjaśnienia, dlaczego dostawcy usług internetowych i inni uczestnicy rynku są za lub przeciw DNS przez HTTPS, przyjrzyjmy się krótko, jak to działa.

W przypadku DoH żądanie ustalenia adresu IP jest hermetyzowane w ruchu HTTPS. Następnie trafia na serwer HTTP, gdzie jest przetwarzany przy pomocy API. Oto przykładowe żądanie z RFC 8484 (strona 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

W ten sposób ruch DNS jest ukryty w ruchu HTTPS. Klient i serwer komunikują się poprzez standardowy port 443. W rezultacie żądania kierowane do systemu nazw domen pozostają anonimowe.

Dlaczego nie jest faworyzowany?

Przeciwnicy DNS przez HTTPS mówiąże nowy protokół obniży bezpieczeństwo połączeń. Przez zgodnie z Paul Vixie, członek zespołu programistów DNS, utrudni administratorom systemu blokowanie potencjalnie złośliwych witryn. Zwykli użytkownicy stracą możliwość skonfigurowania warunkowej kontroli rodzicielskiej w przeglądarkach.

Poglądy Paula podzielają brytyjscy dostawcy Internetu. Ustawodawstwo krajowe zobowiązuje zablokować im dostęp do zasobów zawierających zabronione treści. Jednak obsługa DoH w przeglądarkach komplikuje zadanie filtrowania ruchu. Do krytyków nowego protokołu należy także Rządowe Centrum Komunikacyjne w Anglii (GCHQ) i Fundacja Internet Watch (IWF), który prowadzi rejestr zablokowanych zasobów.

Na naszym blogu o Habré:

• Wojna z robotami telefonicznymi w USA – kto wygrywa i dlaczego
• Brytyjskie telekomy będą płacić abonentom odszkodowania za przerwy w świadczeniu usług

Eksperci zauważają, że DNS przez HTTPS może stać się zagrożeniem dla cyberbezpieczeństwa. Na początku lipca specjaliści ds. bezpieczeństwa informacji z Netlab odkryty pierwszy wirus, który wykorzystał nowy protokół do przeprowadzenia ataków DDoS - Godlua. Szkodnik uzyskał dostęp do DoH w celu uzyskania rekordów tekstowych (TXT) i wyodrębnienia adresów URL serwerów dowodzenia i kontroli.

Zaszyfrowane żądania DoH nie zostały rozpoznane przez oprogramowanie antywirusowe. Specjaliści ds. bezpieczeństwa informacji strachże po Godlua nadejdzie inne szkodliwe oprogramowanie, niewidoczne dla pasywnego monitorowania DNS.

Ale nie wszyscy są temu przeciwni

W obronie DNS przez HTTPS na swoim blogu przemówił Inżynier APNIC Geoff Houston. Według niego nowy protokół umożliwi zwalczanie ataków polegających na przejęciu DNS, które w ostatnim czasie stają się coraz częstsze. Ten fakt potwierdza Styczniowy raport firmy FireEye zajmującej się cyberbezpieczeństwem. Duże firmy informatyczne również wsparły rozwój protokołu.

Na początku ubiegłego roku DoH zaczął być testowany w Google. A miesiąc temu firma представила Wersja ogólna dostępności usługi DoH. W Google nadzieja, że zwiększy bezpieczeństwo danych osobowych w sieci i ochroni przed atakami MITM.

Inny twórca przeglądarki - Mozilla - obsługuje DNS przez HTTPS od zeszłego lata. Jednocześnie firma aktywnie promuje nowe technologie w środowisku IT. W tym celu Stowarzyszenie Dostawców Usług Internetowych (ISPA) nawet nominowany Mozilla w kategorii Internetowy Złoczyńca Roku. W odpowiedzi przedstawiciele firmy odnotowany, którzy są sfrustrowani niechęcią operatorów telekomunikacyjnych do ulepszania swojej przestarzałej infrastruktury internetowej.

/Unsplash/ TETrebbien

Wspieranie Mozilli zabrały głos główne media i niektórzy dostawcy Internetu. W szczególności w British Telecom rozważże nowy protokół nie wpłynie na filtrowanie treści i poprawi bezpieczeństwo brytyjskich użytkowników. Pod presją opinii publicznej ISPA trzeba było przypomnieć nominacja „złoczyńcy”.

Dostawcy usług w chmurze również opowiadali się na przykład za wprowadzeniem DNS przez HTTPS Cloudflare. Oferują już usługi DNS w oparciu o nowy protokół. Pełna lista przeglądarek i klientów obsługujących DoH jest dostępna pod adresem GitHub.

Zresztą nie można jeszcze mówić o zakończeniu konfrontacji obu obozów. Eksperci IT przewidują, że jeśli DNS przez HTTPS ma stać się częścią głównego nurtu technologii internetowych, będzie to konieczne nie jedna dekada.

O czym jeszcze piszemy na naszym firmowym blogu:

• Jak zbudowana jest sieć dostawców Internetu
• Podstawowe usługi w sieciach dostawców Internetu
• Konwergencja i unifikacja – wiele zadań na jednym urządzeniu

Źródło: www.habr.com