پسند ۽ ناپسند: DNS مٿان HTTPS

اسان HTTPS تي DNS جي خاصيتن جي حوالي سان راءِ جو تجزيو ڪريون ٿا، جيڪي تازو ئي انٽرنيٽ فراهم ڪندڙ ۽ برائوزر ڊولپرز جي وچ ۾ ”تنازع جي هڏي“ بڻجي ويون آهن.

/ unsplash / اسٽيو حلاما

اختلاف جو بنياد

تازو، اهم ميڊيا и موضوعي پليٽ فارم (بشمول حبر)، اهي اڪثر DNS بابت HTTPS (DoH) پروٽوڪول تي لکندا آهن. اهو ڊي اين ايس سرور ڏانهن درخواستن کي انڪوپ ڪري ٿو ۽ انهن جا جواب. اهو طريقو توهان کي ميزبانن جا نالا لڪائڻ جي اجازت ڏئي ٿو جيڪي صارف تائين پهچن ٿا. اشاعتن مان اسان اهو نتيجو ڪري سگهون ٿا ته نئون پروٽوڪول (IETF ۾ ان جي منظوري ڏني 2018 ۾) آئي ٽي ڪميونٽي کي ٻن ڪئمپن ۾ ورهايو.

اڌ مڃي ٿو ته نئون پروٽوڪول انٽرنيٽ سيڪيورٽي کي بهتر بڻائيندو ۽ ان کي لاڳو ڪري رهيا آهن انهن جي ايپليڪيشنن ۽ خدمتن ۾. ٻيو اڌ يقين آهي ته ٽيڪنالاجي صرف سسٽم منتظمين جي نوڪري کي وڌيڪ ڏکيو بڻائي ٿو. اڳيون، اسان ٻنهي طرفن جي دليلن جو تجزيو ڪنداسين.

ڪيئن DoH ڪم ڪري ٿو

ان کان اڳ جو اسان حاصل ڪريون ڇو ته ISPs ۽ ٻيا مارڪيٽ شرڪت ڪندڙ HTTPS تي DNS لاءِ يا خلاف آهن، اچو ته مختصر طور تي ڏسون ته اهو ڪيئن ڪم ڪري ٿو.

DoH جي صورت ۾، IP پتي کي طئي ڪرڻ جي درخواست HTTPS ٽرئفڪ ۾ شامل ڪئي وئي آهي. اهو وري HTTP سرور ڏانهن وڃي ٿو، جتي اهو API استعمال ڪندي پروسيس ڪيو ويندو آهي. هتي آر ايف سي 8484 کان هڪ مثال جي درخواست آهي (صفحو 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

اهڙيء طرح، DNS ٽرئفڪ HTTPS ٽرئفڪ ۾ لڪيل آهي. ڪلائنٽ ۽ سرور معياري پورٽ 443 تي رابطو ڪن ٿا. نتيجي طور، ڊومين نالو سسٽم لاء درخواستون گمنام رهنديون آهن.

هن کي احسان ڇو نه ڪيو ويو؟

HTTPS مٿان DNS جا مخالف اهي چون ٿاته نئون پروٽوڪول ڪنيڪشن جي سيڪيورٽي کي گھٽائي ڇڏيندو. پاران موجب پال ويڪسي، ڊي اين ايس ڊولپمينٽ ٽيم جو ميمبر، سسٽم جي منتظمين لاءِ امڪاني طور تي بدسلوڪي سائيٽن کي بلاڪ ڪرڻ وڌيڪ ڏکيو بڻائيندو. عام استعمال ڪندڙ برائوزرن ۾ مشروط والدين ڪنٽرول قائم ڪرڻ جي صلاحيت وڃائي ويهندا.

پولس جا خيال يو جي انٽرنيٽ فراهم ڪندڙ پاران حصيداري ڪيا ويا آهن. ملڪ جي قانون سازي فرض ڪري ٿو انهن کي ممنوع مواد سان وسيلن کان روڪيو. پر برائوزرن ۾ DoH لاءِ سپورٽ ٽرئفڪ کي فلٽر ڪرڻ جي ڪم کي پيچيده ڪري ٿي. نئين پروٽوڪول جي نقادن ۾ انگلينڊ ۾ گورنمينٽ ڪميونيڪيشن سينٽر (GCHQ) ۽ انٽرنيٽ واچ فائونڊيشن (ايم ايف حسين)، جيڪو بلاڪ ڪيل وسيلن جو رجسٽر رکي ٿو.

اسان جي بلاگ ۾ Habré تي:

• يو ايس روبوڪل جنگ - ڪير کٽي رهيو آهي ۽ ڇو
• برطانوي ٽيلي ڪامز سروس جي رڪاوٽن لاءِ سبسڪرائبرز کي معاوضو ادا ڪنديون

ماهرن جو نوٽ آهي ته HTTPS مٿان DNS سائبر سيڪيورٽي خطرو بڻجي سگهي ٿو. جولاء جي شروعات ۾، معلومات سيڪيورٽي ماهرن Netlab کان دريافت ڪيو پهريون وائرس جيڪو DDoS حملن کي انجام ڏيڻ لاءِ نئون پروٽوڪول استعمال ڪيو - خدالوا. مالويئر ٽيڪسٽ رڪارڊ (TXT) حاصل ڪرڻ ۽ ڪمانڊ ۽ ڪنٽرول سرور URLs حاصل ڪرڻ لاءِ DoH تائين رسائي ڪئي.

Encrypted DoH درخواستون اينٽي وائرس سافٽ ويئر پاران تسليم نه ڪيون ويون. معلومات سيڪيورٽي ماهر ڊڄن ٿاته Godlua کان پوءِ ٻيا مالويئر ايندا، غير فعال DNS نگراني لاءِ پوشیدہ.

پر هرڪو ان جي خلاف ناهي

هن جي بلاگ تي HTTPS مٿان DNS جي دفاع ۾ ڳالهايو APNIC انجنيئر جيوف هوسٽن. هن جي مطابق، نئون پروٽوڪول ڊي اين ايس جي اغوا جي حملن کي منهن ڏيڻ ممڪن بڻائيندو، جيڪي تازو عام ٿي چڪا آهن. هن حقيقت تصديق ڪري ٿو سائبر سيڪيورٽي ڪمپني FireEye کان جنوري جي رپورٽ. وڏي آئي ٽي ڪمپنيون پڻ پروٽوڪول جي ترقي جي حمايت ڪئي.

گذريل سال جي شروعات ۾، DoH گوگل تي آزمائشي ٿيڻ شروع ڪيو. ۽ هڪ مهينو اڳ ڪمپني پيش ڪيو ان جي DoH سروس جو عام دستياب نسخو. گوگل تي اميد، ته اهو نيٽ ورڪ تي ذاتي ڊيٽا جي حفاظت کي وڌائيندو ۽ MITM حملن جي خلاف حفاظت ڪندو.

ٻيو برائوزر ڊولپر - Mozilla - مدد ڪري ٿو گذريل اونهاري کان وٺي HTTPS مٿان DNS. ساڳئي وقت، ڪمپني فعال طور تي آئي ٽي ماحول ۾ نئين ٽيڪنالاجي کي فروغ ڏئي رهي آهي. ان لاءِ انٽرنيٽ سروسز پرووائيڊرز ايسوسيئيشن (ISPA) جيتوڻيڪ نامزد موزيلا لاءِ انٽرنيٽ ولن آف دي ايئر ايوارڊ. جواب ۾، ڪمپني جا نمائندا نوٽ ڪيو، جيڪي ٽيلي ڪام آپريٽرز جي بيچيني کان مايوس آهن انهن جي پراڻي انٽرنيٽ انفراسٽرڪچر کي بهتر ڪرڻ لاءِ.

/ unsplash / TETrebbien

Mozilla جي حمايت ۾ وڏي ميڊيا ڳالهايو ۽ ڪجهه انٽرنيٽ فراهم ڪندڙ. خاص طور تي، برطانوي Telecom تي غور ڪيوته نئون پروٽوڪول مواد جي فلٽرنگ کي متاثر نه ڪندو ۽ برطانيه جي استعمال ڪندڙن جي سيڪيورٽي کي بهتر ڪندو. عوامي دٻاءُ هيٺ ISPA ياد ڪرڻ ضروري هو " ولن " نامزدگي.

ڪلائوڊ فراهم ڪندڙ پڻ HTTPS تي DNS جي تعارف جي حمايت ڪئي، مثال طور پنهنجي. اهي پهريان ئي پيش ڪن ٿا DNS خدمتون نئين پروٽوڪول جي بنياد تي. براؤزرز ۽ ڪلائنٽ جي مڪمل فهرست جيڪي DoH کي سپورٽ ڪن ٿا تي دستياب آهي GitHub.

ڪنهن به صورت ۾، اهو اڃا تائين ممڪن ناهي ته ٻن ڪئمپن جي وچ ۾ تڪرار جي خاتمي بابت ڳالهائڻ لاء. آئي ٽي ماهر پيش ڪن ٿا ته جيڪڏهن HTTPS مٿان DNS مکيه اسٽريم انٽرنيٽ ٽيڪنالاجي اسٽيڪ جو حصو بڻجڻ جو مقدر آهي، اهو وٺندو. هڪ ڏهاڪي کان وڌيڪ.

اسان جي ڪارپوريٽ بلاگ ۾ ٻيو ڇا لکون ٿا:

• انٽرنيٽ فراهم ڪندڙ نيٽ ورڪ ڪيئن ٺهيل آهي
• انٽرنيٽ فراهم ڪندڙ نيٽ ورڪ ۾ بنيادي خدمتون
• ڪنورجنسي ۽ اتحاد - هڪ ڊوائيس تي ڪيترائي ڪم

جو ذريعو: www.habr.com