Gosta e não gosta: DNS sobre HTTPS

Analisamos opiniões sobre os recursos do DNS sobre HTTPS, que recentemente se tornaram um “pomo de discórdia” entre provedores de Internet e desenvolvedores de navegadores.

/Remover/ Steve Halama

A essência do desacordo

Recentemente grande mídia и plataformas temáticas (incluindo Habr), eles costumam escrever sobre o protocolo DNS sobre HTTPS (DoH). Ele criptografa as solicitações ao servidor DNS e as respostas a elas. Essa abordagem permite ocultar os nomes dos hosts que o usuário acessa. A partir das publicações podemos concluir que o novo protocolo (no IETF aprovou em 2018) dividiu a comunidade de TI em dois campos.

Metade acredita que o novo protocolo irá melhorar a segurança da Internet e está a implementá-lo nas suas aplicações e serviços. A outra metade está convencida de que a tecnologia só dificulta o trabalho dos administradores de sistemas. A seguir, analisaremos os argumentos de ambos os lados.

Como funciona o DoH

Antes de explicarmos por que os ISPs e outros participantes do mercado são a favor ou contra o DNS sobre HTTPS, vamos ver brevemente como ele funciona.

No caso do DoH, a solicitação para determinar o endereço IP é encapsulada no tráfego HTTPS. Em seguida, ele vai para o servidor HTTP, onde é processado usando a API. Aqui está um exemplo de solicitação da RFC 8484 (página 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Assim, o tráfego DNS fica oculto no tráfego HTTPS. O cliente e o servidor se comunicam pela porta padrão 443. Como resultado, as solicitações ao sistema de nomes de domínio permanecem anônimas.

Por que ele não é favorecido?

Oponentes do DNS sobre HTTPS eles dizemque o novo protocolo reduzirá a segurança das conexões. Por palavras Paul Vixie, membro da equipe de desenvolvimento do DNS, tornará mais difícil para os administradores de sistema bloquear sites potencialmente maliciosos. Os usuários comuns perderão a capacidade de configurar controles parentais condicionais nos navegadores.

As opiniões de Paul são compartilhadas pelos provedores de Internet do Reino Unido. Legislação do país obriga bloqueá-los de recursos com conteúdo proibido. Mas o suporte para DoH em navegadores complica a tarefa de filtrar o tráfego. Os críticos do novo protocolo também incluem o Centro de Comunicações Governamentais da Inglaterra (GCHQ) e a Internet Watch Foundation (IWF), que mantém um registro de recursos bloqueados.

Em nosso blog no Habré:

• A guerra às chamadas automáticas nos EUA – quem está ganhando e por quê
• Telecomunicações britânicas pagarão compensação aos assinantes por interrupções de serviço

Os especialistas observam que o DNS sobre HTTPS pode se tornar uma ameaça à segurança cibernética. No início de julho, especialistas em segurança da informação da Netlab encontrado o primeiro vírus que utilizou o novo protocolo para realizar ataques DDoS - Godlua. O malware acessou o DoH para obter registros de texto (TXT) e extrair URLs de servidores de comando e controle.

As solicitações DoH criptografadas não foram reconhecidas pelo software antivírus. Especialistas em segurança da informação medoque depois de Godlua virão outros malwares, invisíveis ao monitoramento passivo de DNS.

Mas nem todo mundo é contra

Em defesa do DNS sobre HTTPS em seu blog falou Engenheiro da APNIC, Geoff Houston. Segundo ele, o novo protocolo permitirá combater os ataques de sequestro de DNS, que se tornaram cada vez mais comuns nos últimos tempos. Este fato confirma Relatório de janeiro da empresa de segurança cibernética FireEye. Grandes empresas de TI também apoiaram o desenvolvimento do protocolo.

No início do ano passado, o DoH começou a ser testado no Google. E há um mês a empresa apresentado Versão de disponibilidade geral de seu serviço DoH. No Google esperança, que aumentará a segurança dos dados pessoais na rede e protegerá contra ataques MITM.

Outro desenvolvedor de navegador - Mozilla - suporta o DNS sobre HTTPS desde o verão passado. Ao mesmo tempo, a empresa promove ativamente novas tecnologias no ambiente de TI. Para isso, a Associação de Provedores de Serviços de Internet (ISPA) até nomeado Prêmio Mozilla de Vilão da Internet do Ano. Em resposta, representantes da empresa anotado, que estão frustrados com a relutância dos operadores de telecomunicações em melhorar a sua infraestrutura obsoleta de Internet.

/Remover/ TETrebbien

Em apoio à Mozilla a grande mídia se pronunciou e alguns provedores de Internet. Em particular, na British Telecom considereque o novo protocolo não afetará a filtragem de conteúdo e melhorará a segurança dos usuários do Reino Unido. Sob pressão pública ISPA teve que ser lembrado nomeação de "vilão".

Os provedores de nuvem também defenderam a introdução de DNS sobre HTTPS, por exemplo Cloudflare. Eles já oferecem serviços DNS baseados no novo protocolo. Uma lista completa de navegadores e clientes que suportam DoH está disponível em GitHub.

De qualquer forma, ainda não é possível falar no fim do confronto entre os dois campos. Especialistas em TI prevêem que, se o DNS sobre HTTPS estiver destinado a se tornar parte da pilha principal de tecnologia da Internet, será necessário não uma década.

Sobre o que mais escrevemos em nosso blog corporativo:

• Como é construída a rede do provedor de Internet
• Serviços básicos em redes de provedores de Internet
• Convergência e unificação – múltiplas tarefas em um único dispositivo

Fonte: habr.com