"Любить і не любить": DNS over HTTPS

Розбираємо думки щодо особливостей роботи DNS over HTTPS, які останнім часом стали «яблуком розбрату» серед інтернет-провайдерів та розробників браузерів.

/ Unsplash / Steve Halama

Суть розбіжностей

В останній час великі ЗМІ и тематичні майданчики (У тому числі Хабр), часто пишуть про протокол DNS over HTTPS (DoH). Він шифрує запити до DNS-сервера та відповіді на них. Такий підхід дозволяє приховати імена хостів, до яких звертається користувач. З публікацій можна дійти невтішного висновку, що новий протокол (в IETF схвалили його у 2018 році) розділив ІТ-спільноту на два табори.

Половина вважає, що новий протокол підвищить безпеку інтернету і впроваджує його у свої додатки та сервіси. Інша половина переконана, що технологія лише ускладнює роботу системних адміністраторів. Далі розберемо аргументи обох сторін.

Як працює DoH

Перш ніж перейти до розмови про те, чому інтернет-провайдери та інші учасники ринку виступають за або проти DNS over HTTPS, коротко розберемо принципи його роботи.

У разі DoH запит на визначення IP-адреси інкапсулюється в HTTPS-трафік. Потім він йде HTTP-сервер, де обробляється за допомогою API. Ось приклад запиту з RFC 8484 (стр.6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Таким чином, DNS-трафік прихований у трафіку HTTPS. Клієнт і сервер спілкуються стандартним портом 443. В результаті запити до системи доменних імен залишаються анонімними.

Чому його не шанують

Противники DNS over HTTPS кажуть, що новий протокол зменшить безпеку підключень. за словами Пола Віксі (Paul Vixie), члена команди розробників DNS, сісадмінам буде складніше блокувати потенційно шкідливі сайти. Пересічні користувачі при цьому втратить можливість настроїти умовний батьківський контроль у браузерах.

Думку Пола поділяють інтернет-провайдери Великобританії. Законодавство країни зобов'язує їх блокувати ресурси із забороненим контентом. Але підтримка DoH у браузерах ускладнює завдання щодо фільтрації трафіку. Серед критиків нового протоколу також є Центр урядового зв'язку Англії (GCHQ) та фонд Internet Watch Foundation (IWF), що веде реєстр заблокованих ресурсів.

У нашому блозі на Хабрі:

• Війна з робо-дзвінками в США - хто перемагає і чому
• Британські телекоми виплачуватимуть абонентам компенсацію за розриви зв'язку

Експерти зазначають, що DNS over HTTPS може стати загрозою кібербезпеці. На початку липня ІБ-фахівці з Netlab викрили перший вірус, який використав новий протокол для проведення DDoS-атак Godlua. Зловред звертався до DoH для отримання текстових записів (TXT) і вилучення URL-адрес керуючих серверів.

Зашифровані DoH-запити не розпізнавались антивірусним програмним забезпеченням. ІБ-фахівці побоюються, Що після Godlua прийдуть інші шкідливі, невидимі для пасивного моніторингу DNS.

Але не всі проти

На захист DNS over HTTPS у своєму блозі висловився інженер із APNIC Джефф Хьюстон (Geoff Houston). За його словами, новий протокол дозволить боротися з атаками DNS hijacking, які останнім часом стають все більш поширеними. Це факт підтверджує січневий звіт ІБ-компанії FireEye. Розробку протоколу підтримали великі ІТ-компанії.

Ще на початку минулого року DoH почали тестувати у Google. І місяць тому компанія представила General Availability - версію свого DoH-сервісу. У Google сподіваються, що він підвищить безпеку персональних даних у мережі та захистить від MITM-атак.

Інший розробник браузерів - Mozilla - підтримує DNS over HTTPS з літа минулого року. При цьому компанія активно просуває нову технологію в ІТ-середовищі. За це асоціація провайдерів Internet Services Providers Association (ISPA) навіть номінувала Mozilla на премію «інтернет-лиходій року». У відповідь представники компанії зазначили, що розчаровані небажанням операторів зв'язку удосконалювати застарілу інтернет-інфраструктуру

/ Unsplash / Т.Е.Треббієн

На підтримку Mozilla висловилися великі ЗМІ та деякі інтернет-провайдери. Зокрема, у British Telecom вважають, що новий протокол не вплине на фільтрацію контенту та підвищить безпеку британських користувачів. Під тиском громадськості ISPA довелося відкликати «злодійську» номінацію.

Також за впровадження DNS over HTTPS виступили хмарні провайдери, наприклад Cloudflare. Вони вже пропонують DNS-сервіси на основі нового протоколу. Повний список браузерів та клієнтів з підтримкою DoH є на GitHub.

У жодному разі говорити про закінчення протистояння двох таборів поки що не доводиться. ІТ-фахівці прогнозують, що якщо DNS over HTTPS все ж таки судилося стати частиною масового стеку інтернет-технологій, на це піде не одне десятиліття.

Про що ще ми пишемо у нашому корпоративному блозі:

• Як збудована мережа інтернет-провайдера
• Основні сервіси в мережах інтернет-провайдера
• Конвергенція та уніфікація – кілька завдань на одному пристрої

Джерело: habr.com