Awọn ayanfẹ ati awọn ikorira: DNS lori HTTPS

A ṣe itupalẹ awọn imọran nipa awọn ẹya ti DNS lori HTTPS, eyiti o ti di “egungun ariyanjiyan” laipẹ laarin awọn olupese Intanẹẹti ati awọn olupilẹṣẹ ẹrọ aṣawakiri.

/ Unsplash/ Steve Halama

Koko-ọrọ ti iyapa

Laipẹ media pataki и thematic awọn iru ẹrọ (pẹlu Habr), wọn nigbagbogbo kọ nipa DNS lori ilana HTTPS (DoH). O encrypts awọn ibeere si olupin DNS ati awọn idahun si wọn. Ọna yii n gba ọ laaye lati tọju awọn orukọ ti awọn ogun ti olumulo wọle. Lati awọn atẹjade a le pinnu pe ilana tuntun (ninu IETF fọwọsi o ni 2018) pin agbegbe IT si awọn ibudó meji.

Idaji gbagbọ pe ilana tuntun yoo mu aabo Intanẹẹti dara si ati pe wọn n ṣe imuse sinu awọn ohun elo ati iṣẹ wọn. Idaji miiran ni idaniloju pe imọ-ẹrọ nikan jẹ ki iṣẹ ti awọn alakoso eto jẹ ki o nira sii. Nigbamii ti, a yoo ṣe itupalẹ awọn ariyanjiyan ti ẹgbẹ mejeeji.

Bawo ni DoH ṣiṣẹ

Ṣaaju ki a to sinu idi ti awọn ISPs ati awọn alabaṣepọ ọja miiran wa fun tabi lodi si DNS lori HTTPS, jẹ ki a wo ni ṣoki bi o ṣe n ṣiṣẹ.

Ninu ọran ti DoH, ibeere lati pinnu adiresi IP naa ni a fi sinu ijabọ HTTPS. Lẹhinna o lọ si olupin HTTP, nibiti o ti ṣiṣẹ ni lilo API. Eyi ni ibeere apẹẹrẹ lati ọdọ RFC 8484 (oju-iwe 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Nitorinaa, ijabọ DNS ti farapamọ ni ijabọ HTTPS. Onibara ati olupin ṣe ibasọrọ lori ibudo boṣewa 443. Bi abajade, awọn ibeere si eto orukọ ìkápá wa ailorukọ.

Kilode ti a ko ṣe ojurere?

Awọn alatako ti DNS lori HTTPS sọpe ilana tuntun yoo dinku aabo awọn asopọ. Nipasẹ gẹgẹ bi Paul Vixie, ọmọ ẹgbẹ ti ẹgbẹ idagbasoke DNS, yoo jẹ ki o nira diẹ sii fun awọn alabojuto eto lati dènà awọn aaye irira ti o ni agbara. Awọn olumulo deede yoo padanu agbara lati ṣeto awọn iṣakoso awọn obi ni ipo ninu awọn aṣawakiri.

Awọn iwo Paul jẹ pinpin nipasẹ awọn olupese intanẹẹti UK. Ofin orilẹ-ede awọn ọranyan dènà wọn lati awọn orisun pẹlu akoonu eewọ. Ṣugbọn atilẹyin fun DoH ninu awọn aṣawakiri ṣe idiju iṣẹ ṣiṣe ti sisẹ ijabọ. Awọn alariwisi ti ilana tuntun naa tun pẹlu Ile-iṣẹ Ibaraẹnisọrọ Ijọba ni England (GCHQ) ati Internet Watch Foundation (IMF), eyiti o ṣetọju iforukọsilẹ ti awọn orisun dina.

Ninu bulọọgi wa lori Habré:

• Ogun robocall AMẸRIKA - tani n bori ati idi
• Awọn tẹlifoonu Ilu Gẹẹsi yoo san ẹsan awọn alabapin fun awọn idilọwọ iṣẹ

Awọn amoye ṣe akiyesi pe DNS lori HTTPS le di irokeke cybersecurity. Ni ibẹrẹ Oṣu Keje, awọn alamọja aabo alaye lati Netlab se awari ọlọjẹ akọkọ ti o lo ilana tuntun lati ṣe awọn ikọlu DDoS - Godlua. malware naa wọle si DoH lati gba awọn igbasilẹ ọrọ (TXT) ati jade aṣẹ ati awọn URL olupin iṣakoso.

Awọn ibeere DoH ti paroko ko jẹ idanimọ nipasẹ sọfitiwia antivirus. Awọn alamọja aabo alaye bẹrupe lẹhin Godlua malware miiran yoo wa, airi si ibojuwo DNS palolo.

Ṣugbọn kii ṣe gbogbo eniyan ni o lodi si

Ni aabo ti DNS lori HTTPS lori bulọọgi rẹ sọ jade APNIC ẹlẹrọ Geoff Houston. Gege bi o ti sọ, ilana tuntun yoo jẹ ki o ṣee ṣe lati koju awọn ikọlu ifasilẹ DNS, eyiti o ti di pupọ si i. Otitọ yii jẹrisi Iroyin January lati ile-iṣẹ cybersecurity FireEye. Awọn ile-iṣẹ IT nla tun ṣe atilẹyin idagbasoke ti ilana naa.

Ni ibẹrẹ ọdun to kọja, DoH bẹrẹ lati ni idanwo ni Google. Ati oṣu kan sẹhin ile-iṣẹ naa gbekalẹ Ẹya Wiwa Gbogbogbo ti iṣẹ DoH rẹ. Lori Google ireti, pe yoo mu aabo data ti ara ẹni pọ si lori nẹtiwọọki ati daabobo lodi si awọn ikọlu MITM.

Olùgbéejáde aṣawakiri miiran - Mozilla - awọn atilẹyin DNS lori HTTPS lati igba ooru to kọja. Ni akoko kanna, ile-iṣẹ n ṣe igbega si imọ-ẹrọ tuntun ni agbegbe IT. Fun eyi, Ẹgbẹ Awọn Olupese Awọn Iṣẹ Intanẹẹti (ISPA) ani yiyan Mozilla fun Internet villain ti Odun Eye. Ni idahun, awọn aṣoju ile-iṣẹ woye, ti o ni ibanujẹ nipasẹ aifẹ ti awọn oniṣẹ ẹrọ telecom lati mu ilọsiwaju awọn amayederun Ayelujara ti igba atijọ.

/ Unsplash/ TETrebbien

Ni atilẹyin Mozilla pataki media sọ jade ati diẹ ninu awọn olupese Intanẹẹti. Ni pato, ni British Telecom rope ilana tuntun naa kii yoo ni ipa sisẹ akoonu ati pe yoo mu aabo ti awọn olumulo UK dara si. Labẹ gbangba titẹ ISPA ni lati yọkuro "Villain" yiyan.

Awọn olupese awọsanma tun ṣeduro ifihan ti DNS lori HTTPS, fun apẹẹrẹ Oju awọsanma. Wọn ti pese awọn iṣẹ DNS tẹlẹ ti o da lori ilana tuntun. Atokọ pipe ti awọn aṣawakiri ati awọn alabara ti o ṣe atilẹyin DoH wa ni GitHub.

Ni eyikeyi idiyele, ko tii ṣee ṣe lati sọrọ nipa opin ija laarin awọn ibudó mejeeji. Awọn amoye IT ṣe asọtẹlẹ pe ti DNS lori HTTPS ba pinnu lati di apakan ti akopọ imọ-ẹrọ Intanẹẹti akọkọ, yoo gba. diẹ ẹ sii ju ọdun mẹwa lọ.

Kini ohun miiran ti a kọ nipa ninu bulọọgi ajọ wa:

• Bawo ni nẹtiwọki olupese ayelujara ti wa ni itumọ ti
• Awọn iṣẹ ipilẹ ni awọn nẹtiwọki olupese Intanẹẹti
• Iyipada ati isokan - awọn iṣẹ ṣiṣe lọpọlọpọ lori ẹrọ kan

orisun: www.habr.com