Vipendwa na Visivyopendwa: DNS kupitia HTTPS

Tunachanganua maoni kuhusu vipengele vya DNS kwenye HTTPS, ambavyo hivi karibuni vimekuwa "kiini cha ugomvi" kati ya watoa huduma za Intaneti na wasanidi wa vivinjari.

/Onyesha/ Steve Halama

Kiini cha kutokubaliana

Hivi karibuni vyombo vya habari kuu и majukwaa ya mada (pamoja na Habr), mara nyingi huandika kuhusu DNS juu ya itifaki ya HTTPS (DoH). Husimba kwa njia fiche maombi kwa seva ya DNS na majibu kwao. Mbinu hii hukuruhusu kuficha majina ya wapangishaji ambao mtumiaji hufikia. Kutoka kwa machapisho tunaweza kuhitimisha kuwa itifaki mpya (katika IETF kuidhinisha mnamo 2018) iligawanya jumuiya ya IT katika kambi mbili.

Nusu wanaamini kuwa itifaki mpya itaboresha usalama wa Mtandao na wanaitekeleza katika programu na huduma zao. Nusu nyingine ina hakika kwamba teknolojia hufanya tu kazi ya wasimamizi wa mfumo kuwa ngumu zaidi. Kisha, tutachambua hoja za pande zote mbili.

Jinsi DoH inavyofanya kazi

Kabla ya kufahamu kwa nini ISPs na washiriki wengine wa soko wanapendelea au wanapinga DNS kupitia HTTPS, hebu tuangalie kwa ufupi jinsi inavyofanya kazi.

Kwa upande wa DoH, ombi la kuamua anwani ya IP limejumuishwa katika trafiki ya HTTPS. Kisha huenda kwa seva ya HTTP, ambapo inachakatwa kwa kutumia API. Hapa kuna ombi la mfano kutoka kwa RFC 8484 (ukurasa 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Kwa hivyo, trafiki ya DNS imefichwa katika trafiki ya HTTPS. Mteja na seva huwasiliana kupitia bandari ya kawaida 443. Kwa hiyo, maombi kwa mfumo wa jina la kikoa hubakia bila kujulikana.

Kwa nini hapendelewi?

Wapinzani wa DNS juu ya HTTPS wanasemakwamba itifaki mpya itapunguza usalama wa miunganisho. Na kulingana na Paul Vixie, mwanachama wa timu ya maendeleo ya DNS, atafanya iwe vigumu zaidi kwa wasimamizi wa mfumo kuzuia tovuti zinazoweza kuwa na nia mbaya. Watumiaji wa kawaida watapoteza uwezo wa kuweka vidhibiti vya masharti vya wazazi katika vivinjari.

Maoni ya Paul yanashirikiwa na watoa huduma za mtandao wa Uingereza. Sheria ya nchi wajibu zizuie kutoka kwa rasilimali zilizo na maudhui yaliyopigwa marufuku. Lakini usaidizi wa DoH katika vivinjari unachanganya kazi ya kuchuja trafiki. Wakosoaji wa itifaki mpya pia ni pamoja na Kituo cha Mawasiliano cha Serikali nchini Uingereza (GCHQ) na Wakfu wa Internet Watch (IWF), ambayo huhifadhi rejista ya rasilimali zilizozuiwa.

Katika blogi yetu juu ya Habre:

• Vita dhidi ya simu za robo nchini Marekani - nani anashinda na kwa nini
• Kampuni za mawasiliano za Uingereza zitalipa wateja fidia kwa kukatizwa kwa huduma

Wataalamu wanabainisha kuwa DNS kupitia HTTPS inaweza kuwa tishio la usalama wa mtandao. Mwanzoni mwa Julai, wataalamu wa usalama wa habari kutoka Netlab kugunduliwa virusi vya kwanza vilivyotumia itifaki mpya kutekeleza shambulio la DDoS - Godlua. Programu hasidi ilifikia DoH ili kupata rekodi za maandishi (TXT) na kutoa amri na kudhibiti URL za seva.

Maombi ya DoH yaliyosimbwa kwa njia fiche hayakutambuliwa na programu ya kingavirusi. Wataalamu wa usalama wa habari wanaogopakwamba baada ya Godlua programu hasidi nyingine itakuja, isiyoonekana kwa ufuatiliaji wa DNS tulivu.

Lakini si kila mtu anapinga

Katika kutetea DNS juu ya HTTPS kwenye blogu yake alizungumza Mhandisi wa APNIC Geoff Houston. Kulingana na yeye, itifaki mpya itafanya iwezekanavyo kupambana na mashambulizi ya utekaji nyara wa DNS, ambayo hivi karibuni yamezidi kuwa ya kawaida. Ukweli huu inathibitisha Ripoti ya Januari kutoka kwa kampuni ya usalama wa mtandao ya FireEye. Makampuni makubwa ya IT pia yalisaidia maendeleo ya itifaki.

Mwanzoni mwa mwaka jana, DoH ilianza kujaribiwa katika Google. Na mwezi mmoja uliopita kampuni imewasilishwa Toleo la Upatikanaji wa Jumla la huduma yake ya DoH. Kwenye Google matumaini, kwamba itaongeza usalama wa data ya kibinafsi kwenye mtandao na kulinda dhidi ya mashambulizi ya MITM.

Msanidi mwingine wa kivinjari - Mozilla - huunga mkono DNS kupitia HTTPS tangu msimu wa joto uliopita. Wakati huo huo, kampuni inakuza kikamilifu teknolojia mpya katika mazingira ya IT. Kwa hili, Chama cha Watoa Huduma za Mtandao (ISPA) hata kuteuliwa Mozilla kwa Tuzo ya Mhalifu Bora wa Mwaka kwenye Mtandao. Kwa kujibu, wawakilishi wa kampuni alibainisha, ambao wamekatishwa tamaa na kusita kwa waendeshaji simu kuboresha miundombinu yao ya mtandao iliyopitwa na wakati.

/Onyesha/ TETrebbien

Kwa msaada wa Mozilla vyombo vya habari vikubwa vilizungumza na baadhi ya watoa huduma za mtandao. Hasa, katika British Telecom fikiriakwamba itifaki mpya haitaathiri uchujaji wa maudhui na itaboresha usalama wa watumiaji wa Uingereza. Chini ya shinikizo la umma ISPA ilibidi ikumbukwe uteuzi wa "mhalifu".

Watoa huduma za wingu pia walipendekeza kuanzishwa kwa DNS kupitia HTTPS, kwa mfano cloudflare. Tayari wanatoa huduma za DNS kulingana na itifaki mpya. Orodha kamili ya vivinjari na wateja wanaotumia DoH inapatikana GitHub.

Kwa vyovyote vile, bado haiwezekani kuzungumzia mwisho wa makabiliano kati ya kambi hizo mbili. Wataalamu wa IT wanatabiri kwamba ikiwa DNS juu ya HTTPS inakusudiwa kuwa sehemu ya safu kuu ya teknolojia ya mtandao, itachukua zaidi ya muongo mmoja.

Ni nini kingine tunachoandika kwenye blogi yetu ya ushirika:

• Jinsi mtandao wa mtoa huduma wa mtandao unavyoundwa
• Huduma za kimsingi katika mitandao ya watoa huduma wa mtandao
• Muunganisho na umoja - kazi nyingi kwenye kifaa kimoja

Chanzo: mapenzi.com