Pëlqime dhe mospëlqime: DNS mbi HTTPS

Ne analizojmë opinionet në lidhje me veçoritë e DNS mbi HTTPS, të cilat kohët e fundit janë bërë "mollë sherri" midis ofruesve të internetit dhe zhvilluesve të shfletuesve.

/Unsplash/ Steve Halama

Thelbi i mosmarrëveshjes

Kohët e fundit mediat kryesore и platformat tematike (përfshirë Habr) shpesh shkruajnë për protokollin DNS mbi HTTPS (DoH). Ai kodon kërkesat dhe përgjigjet DNS. Kjo qasje ju lejon të fshehni emrat e hosteve të aksesuara nga përdoruesi. Nga publikimet, mund të konkludojmë se protokolli i ri (në IETF e miratoi atë në 2018) e ndau komunitetin e IT në dy kampe.

Gjysma besojnë se protokolli i ri do të rrisë sigurinë e internetit dhe do ta zbatojë atë në aplikacionet dhe shërbimet e tyre. Gjysma tjetër është e bindur se teknologjia vetëm sa e ndërlikon punën e administratorëve të sistemit. Le të hedhim një vështrim në argumentet e të dyja palëve.

Si funksionon DoH

Përpara se të vazhdojmë të diskutojmë pse ISP-të dhe pjesëmarrësit e tjerë të tregut janë ose pro ose kundër DNS mbi HTTPS, le të hedhim një vështrim të shpejtë se si funksionon.

Në rastin e DoH, kërkesa për të përcaktuar një adresë IP është e kapsuluar në trafikun HTTPS. Pastaj shkon në serverin HTTP, ku përpunohet duke përdorur API. Këtu është një shembull i kërkesës nga RFC 8484 (faqe 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Pra, trafiku DNS është i fshehur në trafikun HTTPS. Klienti dhe serveri komunikojnë në portën standarde 443. Si rezultat, kërkesat për sistemin e emrave të domenit mbeten anonime.

Pse nuk është i mirëpritur

Kundërshtarët e DNS mbi HTTPS thonë atase protokolli i ri do të reduktojë sigurinë e lidhjeve. Nga sipas Paul Vixie, një anëtar i ekipit të zhvillimit të DNS, do ta bëjë më të vështirë për sysadminët të bllokojnë faqet e mundshme me qëllim të keq. Përdoruesit e zakonshëm do të humbasin aftësinë për të vendosur kontrolle prindërore të kushtëzuara në shfletues.

Mendimi i Paul ndahet nga ISP-të në Mbretërinë e Bashkuar. Legjislacioni i vendit obligon ata të bllokojnë burimet me përmbajtje të ndaluar. Por mbështetja e DoH në shfletues e ndërlikon detyrën e filtrimit të trafikut. Kritikët e protokollit të ri përfshijnë gjithashtu Qendrën e Komunikimit të Qeverisë së Anglisë (GCHQ) dhe Fondacioni i Internet Watch (IWF), i cili mban një regjistër të burimeve të bllokuara.

Në blogun tonë në Habré:

• Lufta robotike në SHBA - kush po fiton dhe pse
• Telekomunikacioni britanik do t'u paguajë pajtimtarëve kompensim për shkëputjet

Ekspertët vërejnë se DNS mbi HTTPS mund të bëhet një kërcënim për sigurinë kibernetike. Në fillim të korrikut, specialistë të sigurisë së informacionit nga Netlab Zbuluar virusi i parë që përdori protokollin e ri për të kryer sulme DDoS - Godlua. Malware hyri në DoH për të marrë regjistrime teksti (.txt) dhe për të nxjerrë URL-të e serverëve të komandës dhe kontrollit.

Kërkesat e koduara të DoH nuk njiheshin nga programi antivirus. specialistë të sigurisë së informacionit frikëse pas Godlua do të vijnë malware të tjerë, të padukshëm për monitorimin pasiv të DNS.

Por jo të gjithë janë kundër

Në mbrojtje të DNS mbi HTTPS në blogun tim foli Inxhinieri i APNIC Geoff Houston. Sipas tij, protokolli i ri do të ndihmojë në luftimin e sulmeve të rrëmbimit të DNS, të cilat janë bërë gjithnjë e më të zakonshme kohët e fundit. Ky fakt konfirmon Raporti i janarit i kompanisë së sigurisë së informacionit FireEye. Zhvillimi i protokollit u mbështet edhe nga kompani të mëdha IT.

Në fillim të vitit të kaluar, DoH filloi të testohej në Google. Dhe një muaj më parë kompania prezantuar Versioni i disponueshmërisë së përgjithshme të shërbimit të tyre DoH. Google shpresëse do të rrisë sigurinë e të dhënave personale në rrjet dhe do të mbrojë kundër sulmeve MITM.

Një tjetër zhvillues i shfletuesit - Mozilla - mbështet DNS mbi HTTPS që nga vera e kaluar. Në të njëjtën kohë, kompania po promovon në mënyrë aktive teknologjinë e re në mjedisin e IT. Për këtë, Shoqata e Ofruesve të Shërbimeve të Internetit (ISPA) edhe të nominuar Mozilla për Vizitorët e Vitit në Internet. Në përgjigje, përfaqësuesit e kompanisë vuri në dukjeqë janë të zhgënjyer nga mosgatishmëria e operatorëve të telekomit për të përmirësuar infrastrukturën e vjetëruar të internetit.

/Unsplash/ TETrebbien

Në mbështetje të Mozilla-s folën mediat kryesore dhe disa ofrues të internetit. Në veçanti, në British Telecom konsiderojse protokolli i ri nuk do të ndikojë në filtrimin e përmbajtjes dhe do të rrisë sigurinë e përdoruesve në Mbretërinë e Bashkuar. Nën presionin e publikut ISPA duhej të tërhiqej nominim "djallëzor".

Ofruesit e resë kompjuterike gjithashtu mbrojtën zbatimin e DNS mbi HTTPS, për shembull CloudFlare. Ata tashmë ofrojnë shërbime DNS bazuar në protokollin e ri. Për një listë të plotë të shfletuesve dhe klientëve të aktivizuar nga DoH, shihni GitHub.

Gjithsesi nuk duhet folur ende për përfundimin e përballjes mes dy kampeve. Profesionistët e IT parashikojnë se nëse DNS mbi HTTPS do të bëhet pjesë e grumbullit masiv të teknologjisë së internetit, do të duhet jo një dekadë.

Për çfarë tjetër shkruajmë në blogun tonë të korporatës:

• Si ndërtohet një rrjet ISP
• Shërbimet bazë në rrjetet ISP
• Konvergjenca dhe unifikimi - detyra të shumta në një pajisje

Burimi: www.habr.com