Všečki in nevšečki: DNS prek HTTPS

Analiziramo mnenja o funkcijah DNS prek HTTPS, ki so v zadnjem času postale »jabolko spora« med internetnimi ponudniki in razvijalci brskalnikov.

/Unsplash/ Steve Halama

Bistvo nesoglasja

V zadnjem času glavni mediji и tematske platforme (vključno s Habrom), pogosto pišejo o protokolu DNS over HTTPS (DoH). Šifrira zahteve strežniku DNS in odgovore nanje. Ta pristop vam omogoča, da skrijete imena gostiteljev, do katerih dostopa uporabnik. Iz objav lahko sklepamo, da novi protokol (v IETF odobril leta 2018) razdelil skupnost IT na dva tabora.

Polovica meni, da bo novi protokol izboljšal internetno varnost, in ga uvajajo v svoje aplikacije in storitve. Druga polovica pa je prepričana, da tehnologija samo otežuje delo sistemskih skrbnikov. Nato bomo analizirali argumente obeh strani.

Kako deluje DoH

Preden se lotimo vprašanja, zakaj so ponudniki internetnih storitev in drugi udeleženci na trgu za ali proti DNS prek HTTPS, si na kratko poglejmo, kako deluje.

V primeru DoH je zahteva za določitev naslova IP enkapsulirana v promet HTTPS. Nato gre na strežnik HTTP, kjer se obdela z uporabo API-ja. Tukaj je primer zahteve iz RFC 8484 (stran 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Tako je promet DNS skrit v prometu HTTPS. Odjemalec in strežnik komunicirata prek standardnih vrat 443. Posledično ostanejo zahteve sistemu domenskih imen anonimne.

Zakaj ni naklonjen?

Nasprotniki DNS prek HTTPS pravijoda bo novi protokol zmanjšal varnost povezav. Avtor: glede na Paul Vixie, član razvojne ekipe DNS, bo sistemskim skrbnikom otežil blokiranje potencialno zlonamernih mest. Navadni uporabniki bodo izgubili možnost nastavljanja pogojnega starševskega nadzora v brskalnikih.

S Paulom se strinjajo britanski internetni ponudniki. Državna zakonodaja obvezuje jih blokirajte iz virov s prepovedano vsebino. Toda podpora za DoH v brskalnikih oteži nalogo filtriranja prometa. Kritiki novega protokola so tudi vladni komunikacijski center v Angliji (GCHQ) in Internet Watch Foundation (IWF), ki vzdržuje register blokiranih virov.

V našem blogu na Habréju:

• Vojna robotskih klicev v ZDA – kdo zmaguje in zakaj
• Britanski telekomi bodo naročnikom plačevali odškodnino za prekinitve storitev

Strokovnjaki ugotavljajo, da DNS prek HTTPS lahko postane grožnja kibernetski varnosti. V začetku julija so strokovnjaki za informacijsko varnost podjetja Netlab odkriti prvi virus, ki je uporabil nov protokol za izvajanje napadov DDoS - Godlua. Zlonamerna programska oprema je dostopala do DoH, da bi pridobila besedilne zapise (TXT) in ekstrahirala URL-je ukaznega in nadzornega strežnika.

Protivirusna programska oprema ni prepoznala šifriranih zahtev DoH. Strokovnjaki za informacijsko varnost se bojijoda bo po Godlui prišla druga zlonamerna programska oprema, nevidna za pasivno spremljanje DNS.

Niso pa vsi proti

V obrambo DNS prek HTTPS na svojem blogu spregovoril Inženir APNIC Geoff Houston. Po njegovih besedah ​​bo novi protokol omogočil boj proti napadom ugrabitve DNS, ki so v zadnjem času vse pogostejši. To dejstvo potrjuje Januarsko poročilo podjetja za kibernetsko varnost FireEye. Razvoj protokola so podprla tudi velika IT podjetja.

V začetku lanskega leta so DoH začeli testirati pri Googlu. In pred mesecem dni podjetje predstavljeno Različica splošne razpoložljivosti storitve DoH. Na Googlu upanje, da bo povečala varnost osebnih podatkov v omrežju in zaščitila pred napadi MITM.

Še en razvijalec brskalnika - Mozilla - podpira DNS prek HTTPS od lanskega poletja. Hkrati podjetje aktivno promovira nove tehnologije v IT okolju. Za to Združenje ponudnikov internetnih storitev (ISPA) celo nominiran Nagrada Mozilla za internetnega zlobneža leta. V odgovor predstavniki podjetja opozoriti, ki so razočarani nad nepripravljenostjo telekomunikacijskih operaterjev, da izboljšajo svojo zastarelo internetno infrastrukturo.

/Unsplash/ TETrebbien

V podporo Mozilli so se oglasili večji mediji in nekateri internetni ponudniki. Predvsem pri British Telecomu upoštevajteda novi protokol ne bo vplival na filtriranje vsebine in bo izboljšal varnost uporabnikov v Veliki Britaniji. Pod pritiskom javnosti ISPA je bilo treba odpoklicati nominacija "zlobnež".

Ponudniki oblakov so na primer zagovarjali tudi uvedbo DNS prek HTTPS Cloudflare. Storitve DNS, ki temeljijo na novem protokolu, že ponujajo. Celoten seznam brskalnikov in odjemalcev, ki podpirajo DoH, je na voljo na GitHub.

Vsekakor pa o koncu obračuna med taboroma še ni mogoče govoriti. Strokovnjaki za IT napovedujejo, da če bo DNS prek HTTPS usojeno, da postane del nabora običajne internetne tehnologije, bo potrebno več kot eno desetletje.

O čem še pišemo v našem korporativnem blogu:

• Kako je zgrajeno omrežje internetnega ponudnika
• Osnovne storitve v omrežjih internetnih ponudnikov
• Konvergenca in poenotenje - več opravil na eni napravi

Vir: www.habr.com