Забывчивый DNS через HTTPS (ODoH): попытка улучшить конфиденциальность DNS

Система доменных имен или DNS – это децентрализованная система именования для всех различных веб-сайтов, существующих в Интернете. Это один из основных строительных блоков Интернета, который существует уже более трех десятилетий. В течение этого периода система подвергалась критике с обоснованными аргументами по поводу реализации и проблем конфиденциальности, которые она вызывает. В результате было предпринято несколько попыток решить эти проблемы.

Забывчивый DNS через HTTPS (ODoH)

Одним из таких предложений – и совсем недавним – является введение протокола DNS over HTTPS (DoH), который обещает защитить связь DNS путем ее передачи в зашифрованном виде. Хотя DoH теоретически выглядит многообещающим и ему удается исправить одну из проблем с DNS, он непреднамеренно выявляет еще одну проблему. Чтобы исправить это, теперь у нас есть еще один новый протокол, называемый Oblivious DNS over HTTPS (ODoH), который был совместно разработан Cloudflare, Apple и Fastly. Oblivious DoH – это в основном расширение протокола DoH, которое отделяет запросы DNS от IP-адресов (пользователя), чтобы преобразователь DNS не знал сайты, которые посещает пользователь – своего рода [more on this later].

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

«ODoH предназначен для разделения информации о том, кто делает запрос, и о том, что это за запрос.– сказал Ник Салливан, руководитель отдела исследований Cloudflare, в блоге.

Забывчивый DNS через HTTPS (или ODoH)

Прежде чем перейти непосредственно к тому, что такое ODoH, давайте сначала разберемся, что такое DNS, а затем DNS over HTTPS, а также ограничения, которые они порождают.

DNS (система доменных имен)

Система доменных имен или DNS – это децентрализованная система хранения записей обо всех веб-сайтах в Интернете. Вы можете думать об этом как о репозитории (или телефонном справочнике) для телефонных номеров, который содержит список телефонных абонентов и их соответствующие номера телефонов.

DNS работает
ИЗОБРАЖЕНИЕ: Общее время работы

Что касается Интернета, DNS играет важную роль в создании системы, которая позволяет вам получить доступ к веб-сайту, просто введя его доменное имя, без необходимости запоминать связанный с ним IP-адрес (Интернет-протокол). В связи с этим вы можете ввести techpp.com в поле адреса для просмотра этого сайта без необходимости запоминать его IP-адрес, который может выглядеть примерно как 103.24.1.167 [not our IP]. Видите ли, это IP-адрес, который необходим для установления соединения между вашим устройством и веб-сайтом, к которому вы пытаетесь получить доступ. Но поскольку IP-адрес не так легко запомнить, как доменное имя, существует потребность в преобразователе DNS для преобразования доменных имен в связанные с ними IP-адреса и возврата запрошенной веб-страницы.

Проблема с DNS

Хотя DNS упрощает доступ к Интернету, у него есть несколько недостатков, самым большим из которых является отсутствие конфиденциальности (и безопасности), что создает риск для пользовательских данных и оставляет их доступными для просмотра интернет-провайдерам или прослушивания некоторыми плохой парень в Интернете. Причина, по которой это возможно, связана с тем, что связь DNS (запрос / запрос и ответ DNS) не зашифрована, что означает, что она происходит в виде простого текста и, следовательно, может быть перехвачена кем-либо посередине (между пользователем и интернет-провайдером). .

DoH (DNS через HTTPS)

Как упоминалось ранее, протокол DNS over HTTPS (DoH) был введен для решения этой проблемы (безопасности) DNS. По сути, протокол делает то, что вместо того, чтобы разрешить обмен данными DNS – между клиентом DoH и преобразователем на основе DoH – происходить в виде обычного текста, он использует шифрование для защиты связи. Таким образом, ему удается обезопасить доступ пользователей к Интернету и в некоторой степени снизить риски атак типа «злоумышленник в середине».

DNS через HTTPS (DoH) работает

Проблема с DoH

Хотя DoH решает проблему незашифрованного обмена данными через DNS, он вызывает озабоченность в отношении конфиденциальности – предоставление поставщику услуг DNS полного контроля над вашими сетевыми данными. Поскольку, поскольку провайдер DNS действует как посредник между вами и веб-сайтом, к которому вы обращаетесь, он хранит запись вашего IP-адреса и сообщений DNS. В некотором роде это вызывает две проблемы. Во-первых, он оставляет единую сущность с доступом к вашим сетевым данным, позволяя преобразователю связывать все ваши запросы с вашим IP-адресом, а во-вторых, из-за первой проблемы он оставляет связь подверженной единой точке отказа (атаке). .

Протокол ODoH и его работа

Последний протокол ODoH, совместно разработанный Cloudflare, Apple и Fastly, направлен на решение проблемы централизации с протоколом DoH. Для этого Cloudflare предлагает, чтобы новая система отделяла IP-адреса от DNS-запросов, чтобы ни один объект, кроме пользователя, не мог просматривать обе части информации одновременно.

ODoH решает эту проблему, внося два изменения. Он добавляет уровень шифрования с открытым ключом и сетевой прокси между клиентом (пользователем) и сервером DoH. Тем самым он утверждает, что гарантирует, что только пользователь имеет доступ как к сообщениям DNS, так и к IP-адресам одновременно.

ODoH работает

Вкратце, ODoH действует как расширение протокола DoH, которое направлено на достижение следующего:

я. не позволять преобразователю DoH знать, какой клиент запрашивал какие доменные имена, путем направления запросов через прокси для удаления адресов клиентов,

II. не позволять прокси-серверу знать содержимое запросов и ответов, а распознавателю не знать адреса клиентов за счет послойного шифрования соединения.

Поток сообщений с ODoH

Чтобы понять поток сообщений с ODoH, рассмотрим рисунок выше, на котором прокси-сервер находится между клиентом и целью. Как видите, когда клиент запрашивает запрос (скажем, example.com), то же самое поступает на прокси-сервер, который затем перенаправляет его на цель. Цель получает этот запрос, расшифровывает его и генерирует ответ, отправляя запрос (рекурсивному) преобразователю. На обратном пути цель шифрует ответ и пересылает его прокси-серверу, который затем отправляет его обратно клиенту. Наконец, клиент расшифровывает ответ и получает ответ на запрошенный запрос.

В этом случае связь – между клиентом и прокси, прокси и целью – осуществляется по протоколу HTTPS, что повышает безопасность связи. Не только это, вся DNS-связь, происходящая через оба HTTPS-соединения – клиент-прокси и прокси-цель – зашифрована сквозным шифрованием, так что прокси не имеет доступа к содержимому сообщения. Тем не менее, несмотря на то, что в этом подходе заботятся как о конфиденциальности пользователя, так и о безопасности, гарантия того, что все работает так, как предлагается, сводится к конечному условию – прокси и целевой сервер не вступают в сговор. И поэтому компания предполагает, что «до тех пор, пока нет сговора, злоумышленник добивается успеха, только если и прокси, и цель скомпрометированы».

Согласно блогу Cloudflare, вот что гарантируют шифрование и проксирование:

я. Цель видит только запрос и IP-адрес прокси.

II. Прокси-сервер не видит сообщений DNS и не может идентифицировать, читать или изменять ни запрос, отправляемый клиентом, ни ответ, возвращаемый целью.

iii. Только предполагаемая цель может прочитать содержимое запроса и дать ответ.

Доступность ODoH

Забывший DNS через HTTPS (ODoH) – это всего лишь предлагаемый протокол на данный момент, и он должен быть одобрен IETF (Internet Engineering Task Force), прежде чем он будет принят в Интернете. Несмотря на то, что Cloudflare предполагает, что до сих пор у него есть такие компании, как PCCW, SURF и Equinix, в качестве прокси-партнеров, которые помогают с запуском протокола, и что он добавил возможность принимать запросы ODoH в своей службе DNS 1.1.1.1. , правда в том, что если веб-браузеры не добавят поддержку протокола, вы не сможете его использовать. Поскольку протокол все еще находится в стадии разработки и тестируется на производительность для различных прокси, уровней задержки и целей. По этой причине, возможно, не стоит сразу решать судьбу ODoH.

Судя по имеющейся информации и данным, протокол действительно выглядит многообещающим для будущего DNS – при условии, что ему удается достичь той конфиденциальности, которую он обещает, без ущерба для производительности. Поскольку к настоящему времени совершенно очевидно, что DNS, играющая критически важную роль в функционировании Интернета, все еще страдает от проблем с конфиденциальностью и безопасностью. И, несмотря на недавнее добавление протокола DoH, который обещает добавить аспект безопасности DNS, его внедрение все еще кажется далеким из-за проблем с конфиденциальностью, которые он вызывает.

Но если ODoH удастся оправдать свои требования с точки зрения конфиденциальности и производительности, его комбинация с DoH, работая в тандеме, может решить как проблемы конфиденциальности, так и безопасности DNS. И, в свою очередь, сделать его более приватным и безопасным, чем сегодня.

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *