Yoqqan va yoqtirmaganlar: HTTPS orqali DNS

Biz HTTPS orqali DNS xususiyatlariga oid fikrlarni tahlil qilamiz, ular yaqinda Internet-provayderlar va brauzer ishlab chiquvchilari o'rtasida "bahsga" aylangan.

/Usplash/ Stiv Halama

Qarama-qarshilikning mohiyati

So'nggi paytlarda asosiy ommaviy axborot vositalari и tematik platformalar (jumladan, Habr) ko'pincha HTTPS (DoH) protokoli orqali DNS haqida yozadi. U DNS so'rovlari va javoblarini shifrlaydi. Ushbu yondashuv foydalanuvchi tomonidan foydalanilgan xost nomlarini yashirish imkonini beradi. Nashrlardan xulosa qilishimiz mumkinki, yangi protokol (IETF-da tasdiqladi 2018 yilda) IT hamjamiyatini ikkita lagerga ajratdi.

Yarimlarning fikricha, yangi protokol Internet xavfsizligini oshiradi va uni o‘z ilovalari va xizmatlariga joriy qiladi. Qolgan yarmi texnologiya faqat tizim ma'murlari ishini murakkablashtirishiga ishonch hosil qiladi. Keling, ikkala tomonning argumentlarini ko'rib chiqaylik.

DoH qanday ishlaydi

Nega ISPlar va boshqa bozor ishtirokchilari HTTPS orqali DNSni yoqlaydilar yoki ularga qarshi ekanligini muhokama qilishdan oldin, keling, uning qanday ishlashini qisqacha ko'rib chiqamiz.

DoH holatida IP-manzilni aniqlash so'rovi HTTPS trafigiga kiritilgan. Keyin u HTTP serveriga o'tadi va u erda API yordamida qayta ishlanadi. Bu erda RFC 8484 dan namuna so'rovi (sahifa 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Shunday qilib, DNS trafigi HTTPS trafigida yashiringan. Mijoz va server standart 443 portida muloqot qiladi. Natijada, domen nomi tizimiga so'rovlar anonim bo'lib qoladi.

Nega uni kutib olishmaydi

HTTPS orqali DNS muxoliflari ular aytadilaryangi protokol ulanishlar xavfsizligini pasaytiradi. tomonidan ko'ra DNS ishlab chiqish guruhi a'zosi Pol Viksi tizim boshqaruvchilari uchun potentsial zararli saytlarni bloklashni qiyinlashtiradi. Oddiy foydalanuvchilar brauzerlarda shartli ota-ona nazoratini o'rnatish imkoniyatidan mahrum bo'lishadi.

Polning fikriga Buyuk Britaniya provayderlari ham qo'shiladi. Mamlakat qonunchiligi majbur qiladi ularni taqiqlangan kontentga ega resurslarni blokirovka qilish. Ammo brauzerlarda DoH qo'llab-quvvatlashi trafikni filtrlash vazifasini murakkablashtiradi. Yangi protokolning tanqidchilari orasida Angliya hukumati aloqa markazi ham bor (GCHQ) va Internet Watch Foundation (XVJ), bloklangan resurslar reestrini yuritadi.

Habré-dagi blogimizda:

• AQShning robot qo'ng'iroqlari urushi - kim g'alaba qozonmoqda va nima uchun
• Britaniya telekommunikatsiyalari aloqani uzganliklari uchun abonentlarga tovon to‘laydi

Mutaxassislarning qayd etishicha, HTTPS orqali DNS kiberxavfsizlikka tahdid solishi mumkin. Iyul oyi boshida Netlab kompaniyasining axborot xavfsizligi bo'yicha mutaxassislari kashf etilgan DDoS hujumlarini amalga oshirish uchun yangi protokoldan foydalangan birinchi virus - Godlua. Zararli dastur matnli yozuvlarni (.txt) olish va buyruq va boshqaruv serverlarining URL manzillarini olish uchun DoH-ga kirdi.

Shifrlangan DoH so'rovlari antivirus dasturi tomonidan tan olinmadi. axborot xavfsizligi bo'yicha mutaxassislar qo'rquvGodlua-dan keyin passiv DNS monitoringi uchun ko'rinmaydigan boshqa zararli dasturlar keladi.

Ammo hamma ham bunga qarshi emas

Mening blogimda HTTPS orqali DNS himoyasi gapirdi APNIC muhandisi Geoff Xyuston. Uning so‘zlariga ko‘ra, yangi protokol so‘nggi paytlarda tobora ko‘payib borayotgan DNS o‘g‘irlash hujumlariga qarshi kurashda yordam beradi. Bu fakt tasdiqlaydi FireEye axborot xavfsizligi kompaniyasining yanvar hisoboti. Protokolni ishlab chiqish yirik IT kompaniyalari tomonidan ham qo'llab-quvvatlandi.

O'tgan yilning boshida DoH Google'da sinovdan o'tkazila boshlandi. Va bir oy oldin kompaniya taqdim DoH xizmatining umumiy mavjudligi versiyasi. Google umidu tarmoqdagi shaxsiy ma'lumotlar xavfsizligini oshiradi va MITM hujumlaridan himoya qiladi.

Boshqa brauzer ishlab chiqaruvchisi - Mozilla - qo'llab-quvvatlash O'tgan yozdan beri HTTPS orqali DNS. Shu bilan birga, kompaniya IT muhitida yangi texnologiyalarni faol ravishda ilgari surmoqda. Buning uchun Internet xizmatlari provayderlari uyushmasi (ISPA) hatto nomzod qilib ko'rsatilgan Mozilla Yilning Internet Yovuz odami uchun. Bunga javoban kompaniya vakillari deya ta'kidladialoqa operatorlarining eskirgan Internet infratuzilmasini yaxshilashni istamasligidan hafsalasi pir bo'lgan.

/Usplash/ TETrebbien

Mozilla-ni qo'llab-quvvatlash uchun yirik ommaviy axborot vositalari gapirdi va ba'zi internet provayderlari. Xususan, British Telecomda o'ylab ko'ringyangi protokol kontentni filtrlashga ta'sir qilmaydi va Buyuk Britaniya foydalanuvchilarining xavfsizligini oshiradi. ISPA jamoatchilik bosimi ostida chekinishi kerak edi "yovuz" nominatsiya.

Bulutli provayderlar, masalan, HTTPS orqali DNS-ni amalga oshirishni qo'llab-quvvatladilar CloudFlare. Ular allaqachon yangi protokol asosida DNS xizmatlarini taklif qilishadi. DoH-ni yoqadigan brauzerlar va mijozlarning to'liq ro'yxati uchun qarang GitHub.

Har holda, ikki lager o'rtasidagi qarama-qarshilik tugashi haqida hali gapirish shart emas. IT mutaxassislarining taxminlariga ko'ra, agar HTTPS orqali DNS katta Internet-texnologiyalar to'plamining bir qismiga aylansa, bu vaqt talab etadi. bir o'n yil emas.

Korporativ blogimizda yana nima haqida yozamiz:

• ISP tarmog'i qanday qurilgan
• ISP tarmoqlaridagi asosiy xizmatlar
• Konvergentsiya va birlashtirish - bitta qurilmada bir nechta vazifalar

Manba: www.habr.com