விருப்பு வெறுப்புகள்: HTTPS வழியாக DNS

இணைய வழங்குநர்கள் மற்றும் உலாவி டெவலப்பர்கள் மத்தியில் சமீபத்தில் "சர்ச்சையின் எலும்பாக" மாறியுள்ள HTTPS மூலம் DNS இன் அம்சங்களைப் பற்றிய கருத்துக்களை நாங்கள் பகுப்பாய்வு செய்கிறோம்.

/அன்ஸ்பிளாஷ்/ ஸ்டீவ் ஹலமா

கருத்து வேறுபாட்டின் சாராம்சம்

சமீபத்தில், முக்கிய ஊடகங்கள் и கருப்பொருள் தளங்கள் (Habr உட்பட), அவர்கள் அடிக்கடி HTTPS (DoH) நெறிமுறை மூலம் DNS பற்றி எழுதுகிறார்கள். இது DNS சேவையகத்திற்கான கோரிக்கைகளை குறியாக்கம் செய்து அவற்றுக்கான பதில்களை அனுப்புகிறது. இந்த அணுகுமுறை பயனர் அணுகும் ஹோஸ்ட்களின் பெயர்களை மறைக்க உங்களை அனுமதிக்கிறது. வெளியீடுகளில் இருந்து புதிய நெறிமுறை (IETF இல் அதை அங்கீகரித்தது 2018 இல்) IT சமூகத்தை இரண்டு முகாம்களாகப் பிரித்தது.

புதிய நெறிமுறை இணையப் பாதுகாப்பை மேம்படுத்தும் மற்றும் அதை தங்கள் பயன்பாடுகள் மற்றும் சேவைகளில் செயல்படுத்தும் என்று பாதி பேர் நம்புகின்றனர். கணினி நிர்வாகிகளின் வேலையை தொழில்நுட்பம் மிகவும் கடினமாக்குகிறது என்று மற்ற பாதி நம்புகிறது. அடுத்து, இரு தரப்பு வாதங்களையும் பகுப்பாய்வு செய்வோம்.

DoH எப்படி வேலை செய்கிறது

ISPகள் மற்றும் பிற சந்தைப் பங்கேற்பாளர்கள் ஏன் HTTPS மூலம் DNSக்கு ஆதரவாகவோ அல்லது எதிராகவோ இருக்கிறார்கள் என்பதைத் தெரிந்துகொள்வதற்கு முன், அது எவ்வாறு செயல்படுகிறது என்பதைச் சுருக்கமாகப் பார்ப்போம்.

DoH ஐப் பொறுத்தவரை, IP முகவரியைக் கண்டறியும் கோரிக்கை HTTPS ட்ராஃபிக்கில் இணைக்கப்பட்டுள்ளது. இது HTTP சேவையகத்திற்குச் செல்கிறது, அங்கு அது API ஐப் பயன்படுத்தி செயலாக்கப்படுகிறது. இங்கே RFC 8484 இலிருந்து ஒரு எடுத்துக்காட்டு கோரிக்கை (பக்கம் 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

இதனால், DNS டிராஃபிக் HTTPS டிராஃபிக்கில் மறைக்கப்பட்டுள்ளது. கிளையன்ட் மற்றும் சர்வர் நிலையான போர்ட் 443 மூலம் தொடர்பு கொள்கின்றன. இதன் விளைவாக, டொமைன் பெயர் அமைப்புக்கான கோரிக்கைகள் அநாமதேயமாக இருக்கும்.

அவர் ஏன் சாதகமாக இல்லை?

HTTPS மூலம் DNS இன் எதிர்ப்பாளர்கள் அவர்கள் சொல்கிறார்கள்புதிய நெறிமுறை இணைப்புகளின் பாதுகாப்பைக் குறைக்கும். மூலம் படி DNS மேம்பாட்டுக் குழுவின் உறுப்பினரான Paul Vixie, தீங்கிழைக்கும் தளங்களைத் தடுப்பதை கணினி நிர்வாகிகளுக்கு மிகவும் கடினமாக்குவார். சாதாரண பயனர்கள் உலாவிகளில் நிபந்தனை பெற்றோர் கட்டுப்பாடுகளை அமைக்கும் திறனை இழக்க நேரிடும்.

பாலின் கருத்துக்கள் UK இணைய வழங்குநர்களால் பகிரப்படுகின்றன. நாட்டின் சட்டம் கடமையாக்குகிறது தடைசெய்யப்பட்ட உள்ளடக்கம் கொண்ட ஆதாரங்களில் இருந்து அவர்களைத் தடுக்கவும். ஆனால் உலாவிகளில் DoH க்கான ஆதரவு போக்குவரத்தை வடிகட்டுவதற்கான பணியை சிக்கலாக்குகிறது. புதிய நெறிமுறையின் விமர்சகர்களில் இங்கிலாந்தில் உள்ள அரசாங்க தகவல் தொடர்பு மையமும் அடங்கும் (கிசிஎச்க்யு) மற்றும் இன்டர்நெட் வாட்ச் அறக்கட்டளை (சர்வதேச நாணய நிதியம்), இது தடுக்கப்பட்ட வளங்களின் பதிவேட்டை பராமரிக்கிறது.

Habré இல் எங்கள் வலைப்பதிவில்:

• அமெரிக்க ரோபோகால் போர் - யார் வெற்றி பெறுகிறார்கள், ஏன்
• பிரிட்டிஷ் டெலிகாம்கள் சேவை குறுக்கீடுகளுக்கு சந்தாதாரர்களுக்கு இழப்பீடு வழங்கும்

HTTPS மூலம் DNS ஆனது இணையப் பாதுகாப்பு அச்சுறுத்தலாக மாறும் என்று நிபுணர்கள் குறிப்பிடுகின்றனர். ஜூலை தொடக்கத்தில், Netlab இன் தகவல் பாதுகாப்பு நிபுணர்கள் கண்டுபிடிக்கப்பட்டது DDoS தாக்குதல்களை மேற்கொள்ள புதிய நெறிமுறையைப் பயன்படுத்திய முதல் வைரஸ் - கோட்லுவா. தீம்பொருள் உரை பதிவுகளை (TXT) பெறவும், கட்டளை மற்றும் கட்டுப்பாட்டு சேவையக URLகளைப் பிரித்தெடுக்கவும் DoH ஐ அணுகியது.

மறைகுறியாக்கப்பட்ட DoH கோரிக்கைகள் வைரஸ் தடுப்பு மென்பொருளால் அங்கீகரிக்கப்படவில்லை. தகவல் பாதுகாப்பு நிபுணர்கள் பயப்படுகிறார்கள்கோட்லுவாவிற்குப் பிறகு, செயலற்ற DNS கண்காணிப்புக்குப் புலப்படாத பிற தீம்பொருள் வரும்.

ஆனால் எல்லோரும் அதை எதிர்க்கவில்லை

அவரது வலைப்பதிவில் HTTPS மூலம் DNS இன் பாதுகாப்பில் பேசினார் APNIC பொறியாளர் ஜெஃப் ஹூஸ்டன். அவரைப் பொறுத்தவரை, புதிய நெறிமுறை DNS கடத்தல் தாக்குதல்களை எதிர்த்துப் போராடுவதை சாத்தியமாக்கும், இது சமீபத்தில் அதிகரித்து வருகிறது. இந்த உண்மை உறுதிப்படுத்துகிறது சைபர் செக்யூரிட்டி நிறுவனமான FireEye இன் ஜனவரி அறிக்கை. பெரிய தகவல் தொழில்நுட்ப நிறுவனங்களும் நெறிமுறையின் வளர்ச்சியை ஆதரித்தன.

கடந்த ஆண்டின் தொடக்கத்தில், கூகுளில் DoH சோதனை செய்யத் தொடங்கியது. மற்றும் ஒரு மாதம் முன்பு நிறுவனம் வழங்கப்பட்டது அதன் DoH சேவையின் பொதுவான கிடைக்கும் பதிப்பு. Google இல் நம்பிக்கை, இது நெட்வொர்க்கில் தனிப்பட்ட தரவின் பாதுகாப்பை அதிகரிக்கும் மற்றும் MITM தாக்குதல்களுக்கு எதிராக பாதுகாக்கும்.

மற்றொரு உலாவி டெவலப்பர் - Mozilla - ஆதரிக்கிறது கடந்த கோடையில் இருந்து HTTPS மூலம் DNS. அதே நேரத்தில், நிறுவனம் IT சூழலில் புதிய தொழில்நுட்பத்தை தீவிரமாக ஊக்குவித்து வருகிறது. இதற்காக இணைய சேவை வழங்குநர்கள் சங்கம் (ISPA) பரிந்துரைக்கப்பட்டது கூட ஆண்டின் சிறந்த இணைய வில்லன் விருதுக்கான மொஸில்லா. பதிலுக்கு, நிறுவனத்தின் பிரதிநிதிகள் குறிப்பிட்டார், தொலைத்தொடர்பு ஆபரேட்டர்கள் தங்கள் காலாவதியான இணைய உள்கட்டமைப்பை மேம்படுத்த தயங்குவதால் விரக்தியடைந்துள்ளனர்.

/அன்ஸ்பிளாஷ்/ TETrebbien

மொஸில்லாவுக்கு ஆதரவாக முக்கிய ஊடகங்கள் பேசுகின்றன மற்றும் சில இணைய வழங்குநர்கள். குறிப்பாக, பிரிட்டிஷ் டெலிகாமில் கருத்தில்புதிய நெறிமுறை உள்ளடக்க வடிகட்டலை பாதிக்காது மற்றும் UK பயனர்களின் பாதுகாப்பை மேம்படுத்தும். பொது அழுத்தத்தின் கீழ் ISPA திரும்ப அழைக்க வேண்டியிருந்தது "வில்லன்" நியமனம்.

கிளவுட் வழங்குநர்கள் எடுத்துக்காட்டாக, HTTPS மூலம் DNS இன் அறிமுகத்தை ஆதரித்தனர் CloudFlare. அவர்கள் ஏற்கனவே புதிய நெறிமுறையின் அடிப்படையில் DNS சேவைகளை வழங்குகிறார்கள். DoH ஐ ஆதரிக்கும் உலாவிகள் மற்றும் கிளையண்டுகளின் முழுமையான பட்டியல் கிடைக்கிறது மகிழ்ச்சியா.

எவ்வாறாயினும், இரண்டு முகாம்களுக்கு இடையிலான மோதலின் முடிவைப் பற்றி இன்னும் பேச முடியாது. HTTPS மூலம் DNS ஆனது முக்கிய இணையத் தொழில்நுட்ப அடுக்கின் ஒரு பகுதியாக மாறும் என ஐடி நிபுணர்கள் கணித்துள்ளனர். ஒரு தசாப்தத்திற்கும் மேலாக.

எங்கள் நிறுவன வலைப்பதிவில் வேறு எதைப் பற்றி எழுதுகிறோம்:

• இணைய வழங்குநர் நெட்வொர்க் எவ்வாறு கட்டமைக்கப்பட்டுள்ளது
• இணைய வழங்குநர் நெட்வொர்க்குகளில் அடிப்படை சேவைகள்
• ஒருங்கிணைப்பு மற்றும் ஒருங்கிணைப்பு - ஒரு சாதனத்தில் பல பணிகள்

ஆதாரம்: www.habr.com