Aprecieri și antipatii: DNS prin HTTPS

Analizăm opiniile cu privire la caracteristicile DNS peste HTTPS, care au devenit recent un „os dezbatere” între furnizorii de internet și dezvoltatorii de browsere.

/Unsplash/ Steve Halama

Esența dezacordului

Recent, mass-media majoră и platforme tematice (inclusiv Habr), ei scriu adesea despre protocolul DNS prin HTTPS (DoH). Criptează cererile către serverul DNS și răspunsurile la acestea. Această abordare vă permite să ascundeți numele gazdelor pe care le accesează utilizatorul. Din publicații putem concluziona că noul protocol (în IETF a aprobat-o în 2018) a împărțit comunitatea IT în două tabere.

Jumătate cred că noul protocol va îmbunătăți securitatea pe Internet și îl implementează în aplicațiile și serviciile lor. Cealaltă jumătate este convinsă că tehnologia nu face decât să îngreuneze munca administratorilor de sistem. În continuare, vom analiza argumentele ambelor părți.

Cum funcționează DoH

Înainte de a înțelege de ce ISP-urile și alți participanți la piață sunt pro sau împotriva DNS prin HTTPS, să vedem pe scurt cum funcționează.

În cazul DoH, cererea de determinare a adresei IP este încapsulată în traficul HTTPS. Apoi merge la serverul HTTP, unde este procesat folosind API-ul. Iată un exemplu de solicitare de la RFC 8484 (pagina 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Astfel, traficul DNS este ascuns în traficul HTTPS. Clientul și serverul comunică prin portul standard 443. Ca urmare, cererile către sistemul de nume de domeniu rămân anonime.

De ce nu este favorizat?

Oponenții DNS prin HTTPS Spunecă noul protocol va reduce securitatea conexiunilor. De conform Paul Vixie, membru al echipei de dezvoltare DNS, va îngreuna administratorii de sistem blocarea site-urilor potențial rău intenționate. Utilizatorii obișnuiți vor pierde capacitatea de a configura controale parentale condiționate în browsere.

Opiniile lui Paul sunt împărtășite de furnizorii de internet din Marea Britanie. Legislația țării obligă blocați-le de la resursele cu conținut interzis. Dar suportul pentru DoH în browsere complică sarcina de filtrare a traficului. Criticii noului protocol includ și Centrul de comunicații guvernamentale din Anglia (GCHQ) și Internet Watch Foundation (FMI), care menține un registru al resurselor blocate.

În blogul nostru despre Habré:

• Războiul cu apelurile automate din SUA - cine câștigă și de ce
• Telecomunicațiile britanice vor plăti abonaților compensații pentru întreruperile serviciului

Experții notează că DNS prin HTTPS poate deveni o amenințare pentru securitatea cibernetică. La începutul lunii iulie, specialiști în securitatea informațiilor de la Netlab descoperit primul virus care a folosit noul protocol pentru a efectua atacuri DDoS - Godlua. Malware-ul a accesat DoH pentru a obține înregistrări text (TXT) și pentru a extrage adrese URL de server de comandă și control.

Solicitările DoH criptate nu au fost recunoscute de software-ul antivirus. Specialisti in securitatea informatiei fricăcă după Godlua vor veni și alte programe malware, invizibile pentru monitorizarea pasivă DNS.

Dar nu toată lumea este împotrivă

În apărarea DNS prin HTTPS pe blogul său a vorbit Inginerul APNIC Geoff Houston. Potrivit acestuia, noul protocol va ajuta la combaterea atacurilor de deturnare a DNS, care au devenit din ce în ce mai frecvente în ultima vreme. Acest lucru confirmă Raport din ianuarie de la compania de securitate cibernetică FireEye. Marile companii IT au susținut și dezvoltarea protocolului.

La începutul anului trecut, DoH a început să fie testat la Google. Și acum o lună compania prezentat Versiunea de disponibilitate generală a serviciului său DoH. Pe Google speranţă, că va crește securitatea datelor cu caracter personal din rețea și va proteja împotriva atacurilor MITM.

Un alt dezvoltator de browser - Mozilla - suporturi DNS prin HTTPS din vara trecută. În același timp, compania promovează activ noi tehnologii în mediul IT. Pentru aceasta, Asociația Furnizorilor de Servicii de Internet (ISPA) chiar nominalizat Premiul Mozilla pentru răufăcător pe internet al anului. Ca răspuns, reprezentanții companiei remarcat, care sunt frustrați de reticența operatorilor de telecomunicații de a-și îmbunătăți infrastructura de internet învechită.

/Unsplash/ TETrebbien

În sprijinul Mozilla mass-media a luat cuvântul și unii furnizori de internet. În special, la British Telecom lua în considerarecă noul protocol nu va afecta filtrarea conținutului și va îmbunătăți securitatea utilizatorilor din Regatul Unit. Sub presiunea publicului ISPA trebuia rechemat nominalizare „ticălos”.

Furnizorii de cloud au susținut, de asemenea, introducerea DNS prin HTTPS, de exemplu Cloudflare. Ei oferă deja servicii DNS bazate pe noul protocol. O listă completă a browserelor și clienților care acceptă DoH este disponibilă la GitHub.

În orice caz, încă nu se poate vorbi despre încheierea confruntării dintre cele două tabere. Experții IT prevăd că, dacă DNS prin HTTPS este destinat să devină parte din tehnologia principală a internetului, va fi nevoie de nici un deceniu.

Despre ce mai scriem pe blogul nostru corporativ:

• Cum este construită rețeaua furnizorului de internet
• Servicii de bază în rețelele furnizorilor de internet
• Convergență și unificare - sarcini multiple pe un singur dispozitiv

Sursa: www.habr.com