Thích và không thích: DNS qua HTTPS

Chúng tôi phân tích các ý kiến ​​liên quan đến các tính năng của DNS qua HTTPS, tính năng này gần đây đã trở thành “điểm tranh chấp” giữa các nhà cung cấp Internet và nhà phát triển trình duyệt.

/bỏ dấu vân tay/ Steve Halama

Bản chất của sự bất đồng

Gần đây phương tiện truyền thông lớn и nền tảng chuyên đề (bao gồm cả Habr), họ thường viết về giao thức DNS qua HTTPS (DoH). Nó mã hóa các yêu cầu đến máy chủ DNS và phản hồi chúng. Cách tiếp cận này cho phép bạn ẩn tên của máy chủ mà người dùng truy cập. Từ các ấn phẩm chúng ta có thể kết luận rằng giao thức mới (trong IETF đã phê duyệt nó vào năm 2018) đã chia cộng đồng CNTT thành hai phe.

Một nửa tin rằng giao thức mới sẽ cải thiện bảo mật Internet và đang triển khai nó vào các ứng dụng và dịch vụ của họ. Nửa còn lại cho rằng công nghệ chỉ khiến công việc của người quản trị hệ thống trở nên khó khăn hơn. Tiếp theo, chúng ta sẽ phân tích lập luận của cả hai bên.

DoH hoạt động như thế nào

Trước khi tìm hiểu lý do tại sao các ISP và những người tham gia thị trường khác ủng hộ hoặc phản đối DNS qua HTTPS, hãy xem xét ngắn gọn cách thức hoạt động của nó.

Trong trường hợp DoH, yêu cầu xác định địa chỉ IP được gói gọn trong lưu lượng HTTPS. Sau đó, nó đi đến máy chủ HTTP, nơi nó được xử lý bằng API. Đây là một yêu cầu ví dụ từ RFC 8484 (trang 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Do đó, lưu lượng DNS bị ẩn trong lưu lượng HTTPS. Máy khách và máy chủ giao tiếp qua cổng tiêu chuẩn 443. Do đó, các yêu cầu tới hệ thống tên miền vẫn ẩn danh.

Tại sao anh ta không được ưa chuộng?

Đối thủ của DNS qua HTTPS Nóirằng giao thức mới sẽ làm giảm tính bảo mật của các kết nối. Qua theo Paul Vixie, thành viên nhóm phát triển DNS, sẽ gây khó khăn hơn cho quản trị viên hệ thống trong việc chặn các trang web có khả năng độc hại. Người dùng thông thường sẽ mất khả năng thiết lập quyền kiểm soát của phụ huynh có điều kiện trong trình duyệt.

Quan điểm của Paul được các nhà cung cấp dịch vụ Internet ở Vương quốc Anh chia sẻ. Pháp luật quốc gia bắt buộc chặn chúng khỏi các tài nguyên có nội dung bị cấm. Nhưng việc hỗ trợ DoH trong trình duyệt làm phức tạp thêm nhiệm vụ lọc lưu lượng. Những người chỉ trích giao thức mới còn bao gồm Trung tâm Truyền thông Chính phủ ở Anh (GCHQ) và Tổ chức Theo dõi Internet (IWF), nơi duy trì một sổ đăng ký các tài nguyên bị chặn.

Trong blog của chúng tôi trên Habré:

• Cuộc chiến chống robotcall ở Mỹ - ai đang thắng và tại sao
• Viễn thông Anh sẽ bồi thường cho thuê bao nếu dịch vụ bị gián đoạn

Các chuyên gia lưu ý rằng DNS qua HTTPS có thể trở thành mối đe dọa an ninh mạng. Đầu tháng XNUMX, các chuyên gia bảo mật thông tin của Netlab đã phát hiện virus đầu tiên sử dụng giao thức mới để thực hiện các cuộc tấn công DDoS - Godlua. Phần mềm độc hại đã truy cập DoH để lấy bản ghi văn bản (TXT) và trích xuất URL máy chủ lệnh và kiểm soát.

Các yêu cầu DoH được mã hóa không được phần mềm chống vi-rút nhận ra. Các chuyên gia bảo mật thông tin nỗi sợrằng sau Godlua, phần mềm độc hại khác sẽ xuất hiện, vô hình trước việc giám sát DNS thụ động.

Nhưng không phải ai cũng phản đối

Để bảo vệ DNS qua HTTPS trên blog của anh ấy nói ra Kỹ sư APNIC Geoff Houston. Theo ông, giao thức mới sẽ giúp chống lại các cuộc tấn công chiếm quyền điều khiển DNS vốn ngày càng trở nên phổ biến gần đây. Sự thật này xác nhận Báo cáo tháng XNUMX từ công ty an ninh mạng FireEye. Các công ty CNTT lớn cũng hỗ trợ phát triển giao thức.

Vào đầu năm ngoái, DoH bắt đầu được thử nghiệm tại Google. Và một tháng trước công ty trình bày Phiên bản sẵn có chung của dịch vụ DoH. Trên Google mong, rằng nó sẽ tăng cường tính bảo mật của dữ liệu cá nhân trên mạng và bảo vệ khỏi các cuộc tấn công MITM.

Một nhà phát triển trình duyệt khác - Mozilla - ủng hộ DNS qua HTTPS kể từ mùa hè năm ngoái. Đồng thời, công ty đang tích cực thúc đẩy công nghệ mới trong môi trường CNTT. Đối với điều này, Hiệp hội các nhà cung cấp dịch vụ Internet (ISPA) thậm chí được đề cử Giải thưởng Mozilla cho Nhân vật phản diện trên Internet của năm. Đáp lại, đại diện công ty lưu ý, những người thất vọng trước sự miễn cưỡng của các nhà khai thác viễn thông trong việc cải thiện cơ sở hạ tầng Internet lỗi thời của họ.

/bỏ dấu vân tay/ TETrebbien

Ủng hộ Mozilla các phương tiện truyền thông lớn đã lên tiếng và một số nhà cung cấp Internet. Đặc biệt, tại British Telecom xem xétrằng giao thức mới sẽ không ảnh hưởng đến việc lọc nội dung và sẽ cải thiện tính bảo mật của người dùng ở Vương quốc Anh. Dưới áp lực của công chúng ISPA đã phải được triệu hồi đề cử "nhân vật phản diện".

Ví dụ, các nhà cung cấp đám mây cũng ủng hộ việc giới thiệu DNS qua HTTPS CloudFlare. Họ đã cung cấp dịch vụ DNS dựa trên giao thức mới. Danh sách đầy đủ các trình duyệt và ứng dụng khách hỗ trợ DoH có sẵn tại GitHub.

Dù thế nào đi nữa, vẫn chưa thể nói về cái kết của cuộc đối đầu giữa hai phe. Các chuyên gia CNTT dự đoán rằng nếu DNS qua HTTPS được định sẵn để trở thành một phần của công nghệ Internet chính thống, thì sẽ cần không phải một thập kỷ.

Những gì chúng tôi viết về blog công ty của chúng tôi:

• Mạng lưới nhà cung cấp Internet được xây dựng như thế nào
• Các dịch vụ cơ bản trong mạng của nhà cung cấp Internet
• Hội tụ và thống nhất - nhiều tác vụ trên một thiết bị

Nguồn: www.habr.com