پسند اور ناپسند: HTTPS پر DNS

ہم HTTPS پر DNS کی خصوصیات کے بارے میں آراء کا تجزیہ کرتے ہیں، جو حال ہی میں انٹرنیٹ فراہم کرنے والوں اور براؤزر ڈویلپرز کے درمیان "تنازعہ کی ہڈی" بن گئے ہیں۔

/انسپلاش/ اسٹیو حلامہ

اختلاف کا جوہر

آخر میں اہم میڈیا и موضوعاتی پلیٹ فارمز (بشمول Habr)، وہ اکثر HTTPS (DoH) پروٹوکول پر DNS کے بارے میں لکھتے ہیں۔ یہ DNS سرور کی درخواستوں اور ان کے جوابات کو خفیہ کرتا ہے۔ یہ نقطہ نظر آپ کو ان میزبانوں کے ناموں کو چھپانے کی اجازت دیتا ہے جن تک صارف رسائی حاصل کرتا ہے۔ اشاعتوں سے ہم یہ نتیجہ اخذ کر سکتے ہیں کہ نیا پروٹوکول (IETF میں اس کی منظوری دی 2018 میں) نے آئی ٹی کمیونٹی کو دو کیمپوں میں تقسیم کیا۔

نصف کا خیال ہے کہ نیا پروٹوکول انٹرنیٹ سیکیورٹی کو بہتر بنائے گا اور اسے اپنی ایپلی کیشنز اور سروسز میں لاگو کر رہے ہیں۔ دوسرے نصف کو یقین ہے کہ ٹیکنالوجی صرف سسٹم ایڈمنسٹریٹرز کے کام کو مزید مشکل بناتی ہے۔ آگے ہم دونوں فریقوں کے دلائل کا تجزیہ کریں گے۔

DoH کیسے کام کرتا ہے۔

اس سے پہلے کہ ہم یہ دیکھیں کہ ISPs اور دیگر مارکیٹ کے شرکاء HTTPS پر DNS کے حق میں یا اس کے خلاف کیوں ہیں، آئیے مختصراً دیکھتے ہیں کہ یہ کیسے کام کرتا ہے۔

DoH کے معاملے میں، IP ایڈریس کا تعین کرنے کی درخواست HTTPS ٹریفک میں شامل ہے۔ اس کے بعد یہ HTTP سرور پر جاتا ہے، جہاں API کا استعمال کرتے ہوئے اس پر کارروائی کی جاتی ہے۔ یہاں RFC 8484 سے ایک مثال کی درخواست ہے (صفحہ 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

اس طرح، ڈی این ایس ٹریفک HTTPS ٹریفک میں پوشیدہ ہے۔ کلائنٹ اور سرور معیاری پورٹ 443 پر بات چیت کرتے ہیں۔ نتیجتاً، ڈومین نام کے نظام کی درخواستیں گمنام رہتی ہیں۔

وہ احسان کیوں نہیں کرتا؟

HTTPS پر DNS کے مخالفین کہناکہ نیا پروٹوکول کنکشن کی حفاظت کو کم کر دے گا۔ کی طرف سے کے مطابق ڈی این ایس ڈیولپمنٹ ٹیم کے ایک رکن پال وکسی، سسٹم کے منتظمین کے لیے ممکنہ طور پر بدنیتی پر مبنی سائٹس کو بلاک کرنا مزید مشکل بنا دے گا۔ عام صارفین براؤزرز میں مشروط پیرنٹل کنٹرول سیٹ اپ کرنے کی صلاحیت سے محروم ہو جائیں گے۔

پال کے خیالات برطانیہ کے انٹرنیٹ فراہم کنندگان نے شیئر کیے ہیں۔ ملکی قانون سازی۔ واجب انہیں ممنوعہ مواد والے وسائل سے روکیں۔ لیکن براؤزرز میں DoH کی حمایت ٹریفک کو فلٹر کرنے کے کام کو پیچیدہ بنا دیتی ہے۔ نئے پروٹوکول کے ناقدین میں انگلینڈ میں گورنمنٹ کمیونیکیشن سنٹر بھی شامل ہے۔GCHQ) اور انٹرنیٹ واچ فاؤنڈیشن (آئی ڈبلیو ایف)، جو بلاک شدہ وسائل کے رجسٹر کو برقرار رکھتا ہے۔

Habré پر ہمارے بلاگ میں:

• USA میں روبوکالز کے خلاف جنگ - کون جیت رہا ہے اور کیوں
• برٹش ٹیلی کام صارفین کو سروس میں رکاوٹ کا معاوضہ ادا کرے گا۔

ماہرین نوٹ کرتے ہیں کہ HTTPS پر DNS سائبرسیکیوریٹی خطرہ بن سکتا ہے۔ جولائی کے آغاز میں، نیٹ لیب کے انفارمیشن سیکیورٹی ماہرین دریافت کیا پہلا وائرس جس نے DDoS حملوں کو انجام دینے کے لیے نئے پروٹوکول کا استعمال کیا۔ گوڈلوا. میلویئر نے ٹیکسٹ ریکارڈ (TXT) حاصل کرنے اور کمانڈ اور کنٹرول سرور یو آر ایل کو نکالنے کے لیے DoH تک رسائی حاصل کی۔

خفیہ کردہ DoH درخواستوں کو اینٹی وائرس سافٹ ویئر کے ذریعے تسلیم نہیں کیا گیا۔ انفارمیشن سیکیورٹی ماہرین ڈرتے ہیںکہ Godlua کے بعد دوسرے میلویئر آئیں گے، غیر فعال DNS نگرانی کے لیے پوشیدہ۔

لیکن ہر کوئی اس کے خلاف نہیں ہے۔

اپنے بلاگ پر HTTPS پر DNS کے دفاع میں بولا APNIC انجینئر جیف ہیوسٹن۔ ان کے مطابق، نئے پروٹوکول سے DNS ہائی جیکنگ حملوں کا مقابلہ کرنا ممکن ہو جائے گا، جو حال ہی میں تیزی سے عام ہو گئے ہیں۔ یہ حقیقت تصدیق کرتا ہے سائبر سیکیورٹی کمپنی فائر ای کی جنوری کی رپورٹ۔ بڑی آئی ٹی کمپنیوں نے بھی پروٹوکول کی ترقی کی حمایت کی۔

پچھلے سال کے آغاز میں، گوگل پر DoH کا تجربہ ہونا شروع ہوا۔ اور ایک ماہ قبل کمپنی پیش کیا اس کی DoH سروس کا عام دستیابی ورژن۔ گوگل پر امید، کہ یہ نیٹ ورک پر ذاتی ڈیٹا کی حفاظت میں اضافہ کرے گا اور MITM حملوں سے حفاظت کرے گا۔

ایک اور براؤزر ڈویلپر - موزیلا - کی حمایت کرتا ہے گزشتہ موسم گرما سے HTTPS پر DNS۔ اسی وقت، کمپنی آئی ٹی ماحول میں نئی ​​ٹیکنالوجی کو فعال طور پر فروغ دے رہی ہے۔ اس کے لیے انٹرنیٹ سروسز پرووائیڈرز ایسوسی ایشن (ISPA) یہاں تک کہ نامزد انٹرنیٹ ولن آف دی ایئر ایوارڈ کے لیے موزیلا۔ جواب میں، کمپنی کے نمائندوں نوٹ کیاجو ٹیلی کام آپریٹرز کے اپنے فرسودہ انٹرنیٹ انفراسٹرکچر کو بہتر بنانے میں ہچکچاہٹ سے مایوس ہیں۔

/انسپلاش/ TETrebbien

موزیلا کی حمایت میں بڑے میڈیا نے بات کی۔ اور کچھ انٹرنیٹ فراہم کرنے والے۔ خاص طور پر برٹش ٹیلی کام میں غور کریں۔کہ نیا پروٹوکول مواد کی فلٹرنگ کو متاثر نہیں کرے گا اور برطانیہ کے صارفین کی سیکیورٹی کو بہتر بنائے گا۔ عوامی دباؤ کے تحت ISPA واپس بلانا پڑا "ہلنایک" نامزدگی۔

مثال کے طور پر، کلاؤڈ فراہم کرنے والوں نے HTTPS پر DNS متعارف کرانے کی بھی وکالت کی۔ CloudFlare کے. وہ پہلے ہی نئے پروٹوکول کی بنیاد پر DNS خدمات پیش کرتے ہیں۔ DoH کو سپورٹ کرنے والے براؤزرز اور کلائنٹس کی مکمل فہرست پر دستیاب ہے۔ GitHub کے.

کسی بھی صورت میں، دونوں کیمپوں کے درمیان محاذ آرائی کے خاتمے کے بارے میں بات کرنا ابھی ممکن نہیں ہے۔ آئی ٹی ماہرین نے پیش گوئی کی ہے کہ اگر HTTPS پر DNS مرکزی دھارے میں شامل انٹرنیٹ ٹیکنالوجی اسٹیک کا حصہ بننا مقصود ہے، تو یہ ایک دہائی سے زیادہ.

ہم اپنے کارپوریٹ بلاگ میں اور کیا لکھتے ہیں:

• انٹرنیٹ فراہم کرنے والا نیٹ ورک کیسے بنایا جاتا ہے۔
• انٹرنیٹ فراہم کرنے والے نیٹ ورکس میں بنیادی خدمات
• ہم آہنگی اور اتحاد - ایک آلہ پر متعدد کام

ماخذ: www.habr.com