DNS over HTTPS – безопасность или сложность в работе

18.11.2019 | VAS Experts

В 2018 году в IETF одобрили новый протокол DNS over HTTPS, но только в последнее время его стали активно обсуждать в СМИ и ИТ-сообществах, причем не только с положительной стороны – среди интернет-провайдеров и разработчиков браузеров развернулись жаркие споры о его особенностях и пользе.

Принцип работы протокола DNS over HTTPS (DoH) заключается в шифровании запросов к DNS-серверу и ответов на них. Имена удалённых серверов, к которым обращается пользователь с использованием DoH, скрываются.

DNS over HTTPS

Причина споров в том, что часть сообщества считает протокол повышающим уровень безопасности в интернете и уже внедряет его в приложениях и сервисах, но другая говорит о появлении дополнительных сложностей в работе системных администраторов.

Чтобы понять суть конфликта, необходимо разобраться в механизме работы DNS over HTTPS. Если при использовании обычного DNS имя хоста и адрес передаются в открытом виде, то в протоколе DoH запрос на получение IP-адреса инкапсулируется в шифрованный HTTPS-трафик. Далее он передается HTTP-серверу и проходит обработку с помощью команд API.

Приведем пример такого запроса из RFC 8484 (стр.6):

:method = GET
:scheme = https
:authority = dnsserver.example.net
:path = /dns-query?dns=AAABAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB
accept = application/dns-message

Как видно из примера, запросы к DNS оказываются анонимны, так как скрыты в трафике HTTPS.

Анонимность – хорошо, но в чем проблема?

Первой причиной отказа от DNS over HTTPS называют снижение безопасности работы в сети Интернет. Системным администратором станет сложнее блокировать вредоносные сайты, так как их имена невозможно изъять из HTTPS-трафика, а обычные пользователи лишатся возможности родительского контроля в браузерах своих устройств.

Законодательство Великобритании, так же, как и в России, обязывает интернет-провайдеров осуществлять блокировку запрещенных сайтов. С использованием протокола DoH фильтровать трафик становится практически невозможно. Против популяризации протокола выступают Центр правительственной связи Англии (GCHQ) и фонд Internet Watch Foundation (IWF), их задача заключается в ведении реестра заблокированных ресурсов.

Даже современные системы фильтрации трафика, такие как СКАТ DPI, не могут выполнять полный анализ HTTPS-трафика. Они используют методы классификации по имени сервиса в сертификате SSL/TLS (Common Name) или в Server Name Indication (SNI), а также сигнатурный анализ потока трафика.

Функционал СКАТ DPI

Вторая проблема использования DNS over HTTPS в появлении новых вредоносных программ, которые используют особенности протокола. Так, например, в июле этого года специалисты по информационной безопасности Netlab обнаружили новый вирус Godlua, использующий DoH для проведения DDoS-атак. Вредоносная программа из DoH получает текстовые записи DNS (TXT) и URL-адреса управляющих серверов.

Угроза кибербезопасности в том, что популярные антивирусные решения не могут распознать зашифрованные DoH-запросы. Дальше будут появляться новые вирусы, и ситуация начнет усугубляться.

Плюсы тоже есть

Новый протокол способен также и усилить кибербезопасность, он позволяет бороться с атаками DNS hijacking, получающими все большее распространение. Подтверждение этому можно найти в отчете компании по информационной безопасности FireEye, также протокол поддерживают и другие крупные ИТ-компании.

С прошлого года DoH тестирует Google, а совсем недавно компания General Availability представила свой DoH-сервис. Google считает, что распространение DoH позволит повысить уровень безопасности персональных данных и обеспечит защиту от MITM-атак.

В свою очередь Mozilla с лета прошлого года поддерживает полноценную работу DNS over HTTPS и занимается активной поддержкой протокола. Ассоциация провайдеров Internet Services Providers Association (ISPA) номинировала за это Mozilla на премию «интернет-злодей года»; представители браузера ответили, что разочарованы тенденцией операторов связи отказываться от модернизации инфраструктуры и «идти в ногу со временем». Правда, номинация была отозвана, когда за Mozilla вступились крупные СМИ и некоторые провайдеры, а British Telecom заявили, что новый протокол только повысит безопасность британских пользователей и не повлияет на качество фильтрации контента.

DoH FireFox Mozilla

Облачные провайдеры также не остались в стороне, и Cloudflare уже предлагает DNS-сервисы на базе DNS over HTTPS.

Споры еще долгое время не улягутся, новая технология всегда встречается в штыки и вызывает море обсуждений. А о повсеместном внедрении нового протокола можно будет говорить через не одно десятилетие. Сейчас со списком браузеров и клиентов с поддержкой DNS over HTTPS можно ознакомится на GitHub.

Поделиться в социальных сетях