Beğenenler ve Beğenmeyenler: HTTPS üzerinden DNS

İnternet sağlayıcıları ve tarayıcı geliştiricileri arasında son zamanlarda “tartışma konusu” haline gelen HTTPS üzerinden DNS özelliklerine ilişkin görüşleri analiz ediyoruz.

/Sıçramayı aç/ Steve Halama

Anlaşmazlığın özü

Son zamanlarda büyük medya и tematik platformlar (Habr dahil), genellikle HTTPS (DoH) protokolü üzerinden DNS hakkında yazıyorlar. DNS sunucusuna gelen istekleri ve bunlara verilen yanıtları şifreler. Bu yaklaşım, kullanıcının eriştiği ana bilgisayarların adlarını gizlemenize olanak tanır. Yayınlardan yeni protokolün (IETF'de) olduğu sonucuna varabiliriz. onayladı 2018'de) BT topluluğunu iki kampa ayırdı.

Yarısı yeni protokolün İnternet güvenliğini artıracağına inanıyor ve bunu kendi uygulamalarına ve hizmetlerine uyguluyor. Diğer yarısı ise teknolojinin sistem yöneticilerinin işini yalnızca daha da zorlaştırdığına inanıyor. Daha sonra her iki tarafın argümanlarını analiz edeceğiz.

DoH nasıl çalışır?

İSS'lerin ve diğer piyasa katılımcılarının neden HTTPS üzerinden DNS'yi desteklediğini veya buna karşı olduğunu anlamadan önce, kısaca nasıl çalıştığına bakalım.

DoH durumunda, IP adresini belirleme isteği HTTPS trafiğinde kapsüllenir. Daha sonra API kullanılarak işlendiği HTTP sunucusuna gider. İşte RFC 8484'ten gelen örnek bir istek (sayfa 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Böylece DNS trafiği HTTPS trafiğinde gizlenir. İstemci ve sunucu, standart 443 numaralı bağlantı noktası üzerinden iletişim kurar. Sonuç olarak, alan adı sistemine yapılan istekler anonim kalır.

Neden tercih edilmiyor?

HTTPS üzerinden DNS'nin muhalifleri diyorlar kiyeni protokolün bağlantıların güvenliğini azaltacağı belirtiliyor. İle göre DNS geliştirme ekibinin bir üyesi olan Paul Vixie, sistem yöneticilerinin potansiyel olarak kötü amaçlı siteleri engellemesini daha da zorlaştıracak. Sıradan kullanıcılar, tarayıcılarda koşullu ebeveyn denetimleri ayarlama olanağını kaybedecek.

Paul'un görüşleri Birleşik Krallık'taki internet sağlayıcıları tarafından paylaşılıyor. Ülke mevzuatı taahhüt onları yasaklanmış içeriğe sahip kaynaklardan engelleyin. Ancak tarayıcılarda DoH desteği, trafiği filtreleme görevini zorlaştırır. Yeni protokolü eleştirenler arasında İngiltere'deki Hükümet İletişim Merkezi de yer alıyor (GCHQ) ve İnternet İzleme Vakfı (IWF), engellenen kaynakların kaydını tutar.

Habré'deki blogumuzda:

• ABD'de otomatik çağrılara karşı savaş - kim kazanıyor ve neden
• İngiliz telekomünikasyon abonelerine hizmet kesintileri için tazminat ödeyecek

Uzmanlar, HTTPS üzerinden DNS'nin bir siber güvenlik tehdidi haline gelebileceğini belirtiyor. Temmuz ayının başında Netlab'ın bilgi güvenliği uzmanları keşfettim DDoS saldırıları gerçekleştirmek için yeni protokolü kullanan ilk virüs - Godlua. Kötü amaçlı yazılım, metin kayıtlarını (TXT) elde etmek ve komut ve kontrol sunucusu URL'lerini çıkarmak için DoH'a erişti.

Şifrelenmiş DoH istekleri antivirüs yazılımı tarafından tanınmadı. Bilgi güvenliği uzmanları korkuGodlua'dan sonra pasif DNS izleme tarafından görülemeyen başka kötü amaçlı yazılımların da geleceği.

Ama herkes buna karşı değil

Blogunda HTTPS üzerinden DNS savunması konuştu APNIC mühendisi Geoff Houston. Ona göre yeni protokol, son zamanlarda giderek yaygınlaşan DNS ele geçirme saldırılarıyla mücadele etmeyi mümkün kılacak. Bu gerçek dogruluyor Siber güvenlik şirketi FireEye'ın Ocak ayı raporu. Büyük BT şirketleri de protokolün geliştirilmesine destek verdi.

Geçtiğimiz yılın başında DoH, Google'da test edilmeye başlandı. Ve bir ay önce şirket sunulan DoH hizmetinin Genel Kullanılabilirlik sürümü. Google'da umutağdaki kişisel verilerin güvenliğini artıracağını ve MITM saldırılarına karşı koruma sağlayacağını söyledi.

Başka bir tarayıcı geliştiricisi - Mozilla - поддерживает Geçen yazdan beri HTTPS üzerinden DNS. Aynı zamanda şirket, BT ortamındaki yeni teknolojileri aktif olarak teşvik ediyor. Bunun için İnternet Servis Sağlayıcıları Derneği (ISPA) hatta aday gösterildi Yılın İnternet Kötü Adamı Ödülü Mozilla'ya verildi. Yanıt olarak şirket temsilcileri ünlüTelekom operatörlerinin eskimiş İnternet altyapılarını iyileştirme konusundaki isteksizliği nedeniyle hayal kırıklığına uğrayanlar.

/Sıçramayı aç/ TETrebbien

Mozilla'yı destekliyoruz Büyük medya konuştu ve bazı İnternet sağlayıcıları. Özellikle British Telecom'da düşünmekyeni protokolün içerik filtrelemeyi etkilemeyeceğini ve Birleşik Krallık kullanıcılarının güvenliğini artıracağını söyledi. Kamuoyu baskısı altında ISPA geri çağrılması gerekiyordu "kötü adam" adaylığı.

Bulut sağlayıcıları ayrıca HTTPS üzerinden DNS'nin kullanılmasını da savundu; örneğin Cloudflare. Zaten yeni protokole dayalı DNS hizmetleri sunuyorlar. DoH'yi destekleyen tarayıcıların ve istemcilerin tam listesine şuradan ulaşabilirsiniz: GitHub.

Her halükarda iki kamp arasındaki çatışmanın sona ermesinden bahsetmek henüz mümkün değil. BT uzmanları, HTTPS üzerinden DNS'nin ana akım İnternet teknolojisi yığınının bir parçası haline gelmesi durumunda bunun zaman alacağını öngörüyor on yıl değil.

Kurumsal blogumuzda başka neler yazıyoruz:

• İnternet sağlayıcı ağı nasıl oluşturulur?
• İnternet sağlayıcı ağlarındaki temel hizmetler
• Yakınsama ve birleştirme - tek cihazda birden fazla görev

Kaynak: habr.com