Свиђа ми се и не свиђа: ДНС преко ҺТТПС-а

Анализирамо мишљења у вези са карактеристикама ДНС-а преко ХТТПС-а, које су недавно постале „кост спорења“ међу интернет провајдерима и програмерима претраживача.

/Унспласһ/ Стеве Халама

Суштина неслагања

У последње време главни медији и тематске платформе (укључујући Хабр), често пишу о ДНС преко ХТТПС (ДоХ) протоколу. Шифрује захтеве према ДНС серверу и одговоре на њих. Овај приступ вам омогућава да сакријете имена хостова којима корисник приступа. Из публикација можемо закључити да је нови протокол (у ИЕТФ одобрио то 2018. године) поделио је ИТ заједницу у два табора.

Половина верује да ће нови протокол побољшати безбедност на Интернету и имплементирају га у своје апликације и услуге. Друга половина је уверена да технологија само отежава посао систем администраторима. Затим ћемо анализирати аргументе обе стране.

Како функционише ДоХ

Пре него што уђемо у то зашто су ИСП-ови и други учесници на тржишту за или против ДНС-а преко ХТТПС-а, хајде да укратко погледамо како то функционише.

У случају ДоХ-а, захтев за одређивање ИП адресе је инкапсулиран у ХТТПС саобраћају. Затим иде на ХТТП сервер, где се обрађује помоћу АПИ-ја. Ево примера захтева из РФЦ 8484 (страна КСНУМКС):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Дакле, ДНС саобраћај је скривен у ХТТПС саобраћају. Клијент и сервер комуницирају преко стандардног порта 443. Као резултат, захтеви према систему имена домена остају анонимни.

Зашто није омиљен?

Противници ДНС-а преко ХТТПС-а рецимода ће нови протокол смањити безбедност веза. Од стране према Пол Викси, члан тима за развој ДНС-а, отежаће администраторима система да блокирају потенцијално злонамерне сајтове. Обични корисници ће изгубити могућност подешавања условне родитељске контроле у ​​претраживачима.

Полове ставове деле и британски интернет провајдери. Државно законодавство обавезује блокирајте их од ресурса са забрањеним садржајем. Али подршка за ДоХ у претраживачима компликује задатак филтрирања саобраћаја. Критичари новог протокола укључују и Владин комуникациони центар у Енглеској (ГЦХК) и Интернет Ватцх Фоундатион (ИВФ), који води регистар блокираних ресурса.

У нашем блогу на Хабре:

• Амерички роботски рат - ко побеђује и зашто
• Британски телекоми ће платити претплатницима надокнаду за прекиде услуге

Стручњаци примећују да ДНС преко ХТТПС-а може постати претња сајбер безбедности. Почетком јула стручњаци за безбедност информација из Нетлаба открио први вирус који је користио нови протокол за извођење ДДоС напада - Годлуа. Малвер је приступио ДоХ-у да би добио текстуалне записе (ТКСТ) и извукао УРЛ-ове командног и контролног сервера.

Антивирусни софтвер није препознао шифроване ДоХ захтеве. Специјалисти за безбедност информација страхда ће након Годлуа доћи други злонамерни софтвер, невидљив за пасивно праћење ДНС-а.

Али нису сви против тога

У одбрану ДНС-а преко ХТТПС-а на свом блогу проговорио АПНИЦ инжењер Џеф Хјустон. Према његовим речима, нови протокол ће помоћи у борби против напада отмице ДНС-а, који су у последње време све чешћи. Ова чињеница потврђује Јануарски извештај компаније за сајбер безбедност ФиреЕие. Велике ИТ компаније су такође подржале развој протокола.

Почетком прошле године ДоХ је почео да се тестира у Гуглу. И пре месец дана компанија представљени Верзија опште доступности своје ДоХ услуге. На Гоогле-у надати се, да ће повећати сигурност личних података на мрежи и заштитити од МИТМ напада.

Још један програмер претраживача - Мозилла - подржава ДНС преко ХТТПС-а од прошлог лета. Истовремено, компанија активно промовише нову технологију у ИТ окружењу. За то је Удружење провајдера интернетских услуга (ИСПА) чак и номинован Мозилла за награду Интернет негативац године. Као одговор, представници компаније приметио, који су фрустрирани невољношћу телеком оператера да побољшају своју застарелу интернет инфраструктуру.

/Унспласһ/ ТЕТреббиен

У знак подршке Мозили огласили су се главни медији и неки Интернет провајдери. Конкретно, у Бритисх Телецому размотритида нови протокол неће утицати на филтрирање садржаја и да ће побољшати безбедност корисника у Великој Британији. Под притиском јавности ИСПА морао бити опозван номинација "зликовац".

Провајдери у облаку су такође заговарали увођење ДНС-а преко ХТТПС-а, на пример цлоудфларе. Они већ нуде ДНС услуге засноване на новом протоколу. Комплетна листа претраживача и клијената који подржавају ДоХ доступна је на ГитХуб.

У сваком случају, још се не може говорити о завршетку обрачуна два табора. ИТ стручњаци предвиђају да ће бити потребно више од једне деценије.

О чему још пишемо на нашем корпоративном блогу:

• Како се гради ИСП мрежа
• Основне услуге у ИСП мрежама
• Конвергенција и уједињење - више задатака на једном уређају

Извор: ввв.хабр.цом