කැමති සහ අකමැත්ත: HTTPS හරහා DNS

අන්තර්ජාලය සපයන්නන් සහ බ්‍රවුසර සංවර්ධකයින් අතර මෑතකදී “විවාදාත්මක අස්ථියක්” බවට පත්ව ඇති HTTPS හරහා DNS හි විශේෂාංග පිළිබඳ අදහස් අපි විශ්ලේෂණය කරමු.

/Unsplash/ ස්ටීව් හලාමා

එකඟ නොවීමෙහි සාරය

මෑතකදී, ප්රධාන මාධ්ය и තේමාත්මක වේදිකා (Habr ඇතුළුව), ඔවුන් බොහෝ විට HTTPS (DoH) ප්‍රොටෝකෝලය හරහා DNS ගැන ලියයි. එය DNS සේවාදායකය වෙත ඉල්ලීම් සංකේතනය කර ඒවාට ප්‍රතිචාර දක්වයි. මෙම ප්‍රවේශය මඟින් පරිශීලකයා ප්‍රවේශ වන ධාරකයන්ගේ නම් සැඟවීමට ඔබට ඉඩ සලසයි. ප්‍රකාශන වලින් අපට නිගමනය කළ හැක්කේ නව ප්‍රොටෝකෝලය (IETF හි එය අනුමත කළා 2018 දී) තොරතුරු තාක්ෂණ ප්‍රජාව කඳවුරු දෙකකට බෙදා ඇත.

නව ප්‍රොටෝකෝලය අන්තර්ජාල ආරක්ෂාව වැඩිදියුණු කරනු ඇති අතර එය ඔවුන්ගේ යෙදුම් සහ සේවාවන් තුළ ක්‍රියාත්මක කරන බව අඩක් විශ්වාස කරයි. තාක්‍ෂණය පද්ධති පරිපාලකයින්ගේ කාර්යය වඩාත් අපහසු කරන බව අනෙක් භාගය ඒත්තු ගැන්වී ඇත. ඊළඟට, අපි දෙපැත්තේම තර්ක විශ්ලේෂණය කරමු.

DoH ක්‍රියා කරන ආකාරය

ISPs සහ අනෙකුත් වෙළඳපල සහභාගිවන්නන් HTTPS හරහා DNS සඳහා හෝ විරුද්ධ වන්නේ මන්දැයි සොයා බැලීමට පෙර, එය ක්‍රියා කරන ආකාරය කෙටියෙන් බලමු.

DoH සම්බන්ධයෙන්, IP ලිපිනය තීරණය කිරීම සඳහා වන ඉල්ලීම HTTPS ගමනාගමනය තුළ අන්තර්ගත වේ. එය පසුව HTTP සේවාදායකය වෙත යයි, එය API භාවිතයෙන් සකසනු ලැබේ. මෙන්න RFC 8484 වෙතින් ආදර්ශ ඉල්ලීමක් (පිටුව 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

මේ අනුව, DNS ගමනාගමනය HTTPS තදබදය තුළ සැඟවී ඇත. සේවාලාභියා සහ සේවාදායකයා සම්මත වරාය 443 හරහා සන්නිවේදනය කරයි. එහි ප්‍රතිඵලයක් වශයෙන්, වසම් නාම පද්ධතියට කෙරෙන ඉල්ලීම් නිර්නාමිකව පවතී.

ඔහුට අනුග්රහය නොදක්වන්නේ ඇයි?

HTTPS හරහා DNS හි විරුද්ධවාදීන් කතාකරයිනව ප්රොටෝකෝලය සම්බන්ධතා වල ආරක්ෂාව අඩු කරනු ඇති බව. විසින් අනුව DNS සංවර්ධන කණ්ඩායමේ සාමාජිකයෙකු වන Paul Vixie, පද්ධති පරිපාලකයින්ට අනිෂ්ට වෙබ් අඩවි අවහිර කිරීම වඩාත් අපහසු වනු ඇත. සාමාන්‍ය පරිශීලකයින්ට බ්‍රව්සර්වල කොන්දේසි සහිත මාපිය පාලන පිහිටුවීමේ හැකියාව අහිමි වනු ඇත.

පෝල්ගේ අදහස් එක්සත් රාජධානියේ අන්තර්ජාල සපයන්නන් විසින් බෙදා ගනු ලැබේ. රටේ නීති සම්පාදනය බැඳී සිටියි තහනම් අන්තර්ගතය සහිත සම්පත් වලින් ඒවා අවහිර කරන්න. නමුත් බ්‍රවුසරවල DoH සඳහා සහය දැක්වීම ගමනාගමනය පෙරීමේ කාර්යය සංකීර්ණ කරයි. නව ප්‍රොටෝකෝලය විවේචනය කරන්නන් අතර එංගලන්තයේ රජයේ සන්නිවේදන මධ්‍යස්ථානය ද ඇතුළත් වේ (GCHQ) සහ අන්තර්ජාල ඔරලෝසු පදනම (ජාත්යන්තර මූල්ය අරමුදල), අවහිර කළ සම්පත් පිළිබඳ ලේඛනයක් පවත්වාගෙන යයි.

Habré හි අපගේ බ්ලොග් අඩවියේ:

• ඇමරිකා එක්සත් ජනපදයේ රොබෝ ඇමතුම්වලට එරෙහි යුද්ධය - කවුද දිනන්නේ සහ ඇයි
• බ්‍රිතාන්‍ය ටෙලිකොම් විසින් සේවා බාධා කිරීම් සඳහා ග්‍රාහකයින්ට වන්දි ගෙවනු ඇත

ප්‍රවීණයන් සඳහන් කරන්නේ HTTPS හරහා DNS සයිබර් ආරක්ෂණ තර්ජනයක් විය හැකි බවයි. ජූලි මස මුලදී, Netlab වෙතින් තොරතුරු ආරක්ෂණ විශේෂඥයින් සොයා ගන්නා ලදී DDoS ප්‍රහාර සිදු කිරීමට නව ප්‍රොටෝකෝලය භාවිතා කළ පළමු වෛරසය - ගොඩ්ලුවා. අනිෂ්ට මෘදුකාංගය පෙළ වාර්තා (TXT) ලබා ගැනීමට සහ විධාන සහ පාලන සේවාදායක URL උපුටා ගැනීමට DoH වෙත ප්‍රවේශ විය.

සංකේතාත්මක DoH ඉල්ලීම් ප්‍රති-වයිරස මෘදුකාංග මගින් හඳුනාගෙන නොමැත. තොරතුරු ආරක්ෂණ විශේෂඥයින් බිය වෙතිGodlua ට පසුව වෙනත් අනිෂ්ට මෘදුකාංගයක් පැමිණෙනු ඇත, එය නිෂ්ක්‍රීය DNS අධීක්ෂණයට නොපෙනේ.

නමුත් හැමෝම ඒකට විරුද්ධ නැහැ

ඔහුගේ බ්ලොගයේ HTTPS හරහා DNS ආරක්ෂා කිරීම සඳහා කතා කළා APNIC ඉංජිනේරු Geoff Houston. ඔහුට අනුව, නව ප්‍රොටෝකෝලය මෑතකදී වැඩි වැඩියෙන් පොදු වී ඇති DNS පැහැරගැනීම් ප්‍රහාරවලට එරෙහිව සටන් කිරීමට හැකි වනු ඇත. මෙම කරුණ තහවුරු කරයි සයිබර් ආරක්ෂණ සමාගමක් වන FireEye වෙතින් ජනවාරි වාර්තාව. විශාල තොරතුරු තාක්ෂණ සමාගම් ද ප්රොටෝකෝලය සංවර්ධනය කිරීමට සහාය විය.

පසුගිය වසර මුලදී, DoH Google හි පරීක්ෂා කිරීමට පටන් ගත්තේය. සහ මාසයකට පෙර සමාගම ඉදිරිපත් කරන ලදී එහි DoH සේවාවේ සාමාන්‍ය ලද හැකි අනුවාදය. Google මත බලාපොරොත්තුව, එය ජාලයේ පුද්ගලික දත්තවල ආරක්ෂාව වැඩි කරන අතර MITM ප්රහාරයන්ගෙන් ආරක්ෂා වනු ඇත.

තවත් බ්‍රව්සර් සංවර්ධකයෙක් - මොසිල්ලා - සහයෝගය දක්වයි පසුගිය ගිම්හානයේ සිට HTTPS හරහා DNS. ඒ අතරම, සමාගම තොරතුරු තාක්‍ෂණ පරිසරය තුළ නව තාක්‍ෂණය ක්‍රියාකාරීව ප්‍රවර්ධනය කරයි. මේ සඳහා අන්තර්ජාල සේවා සපයන්නන්ගේ සංගමය (ISPA) පවා නම් කළා වසරේ අන්තර්ජාල දුෂ්ටයා සම්මානය සඳහා Mozilla. ප්රතිචාර වශයෙන්, සමාගම් නියෝජිතයන් සටහන් කර ඇත, ඔවුන්ගේ යල් පැන ගිය අන්තර්ජාල යටිතල පහසුකම් වැඩිදියුණු කිරීමට ටෙලිකොම් ක්‍රියාකරුවන් දක්වන අකමැත්ත නිසා කලකිරුණු අය.

/Unsplash/ TETrebbien

මොසිල්ලාට සහය දක්වමින් ප්‍රධාන මාධ්‍ය කතා කළා සහ සමහර අන්තර්ජාල සපයන්නන්. විශේෂයෙන්, බ්‍රිතාන්‍ය ටෙලිකොම් හි සලකා බලන්නනව ප්‍රොටෝකෝලය අන්තර්ගත පෙරීමට බලපාන්නේ නැති අතර එක්සත් රාජධානියේ පරිශීලකයින්ගේ ආරක්ෂාව වැඩිදියුණු කරනු ඇත. මහජන පීඩනය යටතේ ISPA නැවත කැඳවීමට සිදු විය "දුෂ්ටයා" නම් කිරීම.

උදාහරණයක් ලෙස, HTTPS හරහා DNS හඳුන්වාදීම Cloud සපයන්නන් විසින් යෝජනා කරන ලදී Cloudflare. ඔවුන් දැනටමත් නව ප්‍රොටෝකෝලය මත පදනම්ව DNS සේවා සපයයි. DoH සඳහා සහය දක්වන බ්‍රව්සර් සහ සේවාලාභීන්ගේ සම්පූර්ණ ලැයිස්තුවක් මෙහි ඇත GitHub.

කොහොමත් කඳවුරු දෙක අතර ගැටුමේ අවසානය ගැන තවම කතා කරන්න බැහැ. තොරතුරු තාක්ෂණ විශේෂඥයින් අනාවැකි පළ කරන්නේ HTTPS හරහා DNS ප්‍රධාන ධාරාවේ අන්තර්ජාල තාක්‍ෂණ තොගයේ කොටසක් වීමට නම්, එය ගත වනු ඇති බවයි. දශකයකට වැඩි කාලයක්.

අපගේ ආයතනික බ්ලොග් අඩවියේ අපි ලියන්නේ තවත් මොනවාද:

• අන්තර්ජාල සැපයුම්කරු ජාලය ගොඩනගා ඇති ආකාරය
• අන්තර්ජාල සැපයුම් ජාලයන්හි මූලික සේවාවන්
• අභිසාරීත්වය සහ ඒකාබද්ධ කිරීම - එක් උපාංගයක් මත බහු කාර්යයන්

මූලාශ්රය: www.habr.com