Использовать DNS через https вместо системных настроек DNS
Обновлено: 04.07.2024
Давайте кратко рассмотрим плюсы и минусы DoH и узнаем, как включить его в вашем любимом браузере.
Что такое DNS?
Устройства обмениваются данными через Интернет, используя уникальные IP-адреса, которые представляют собой строки цифр, разделенные точками, например 172.217.1.174 (в случае IPv4), или строки букв и цифр, разделенные двоеточиями, например 2607:f8b0:400b:809: :200e (IPv6).
(Эти конкретные адреса принадлежат Google.)
Именно здесь на помощь приходит DNS. Система доменных имен – это, по сути, всемирный каталог доменных имен и связанных с ними IP-адресов. Незаметно ваш браузер запрашивает DNS-сервер, который преобразует доменные имена в IP-адреса, понятные вашему компьютеру.
Что не так с обычным DNS?
Основная проблема обычного DNS заключается в том, что запросы передаются по сети в незашифрованном виде, что позволяет шпионам легко узнать, какие сайты вы посещаете.
На приведенном ниже снимке экрана показаны результаты работы популярного инструмента сетевого анализа WireShark, сделанные во время просмотра MUO.
Мы видим, что браузер взаимодействует с IPv6-адресом 2606:4700::6810:f8f9, который принадлежит общедоступной службе DNS Cloudflare. Но сами запросы зашифрованы и выглядят как случайные ненужные данные для любого, кто их перехватывает.
Поскольку технология DoH находится в стадии разработки, ее реализация в каждом браузере немного отличается.
Последние несколько месяцев Google и Mozilla постепенно внедряли эту функцию для пользователей, поэтому, следуя приведенным ниже инструкциям, вы можете обнаружить, что она уже включена.
- Нажмите на три вертикальные точки в правом верхнем углу и выберите "Настройки".
- Нажмите «Безопасность» под заголовком «Конфиденциальность и безопасность».
- Включите параметр «Использовать безопасный DNS» в разделе «Дополнительно».
- Оставьте переключатель рядом с выбранным С вашим текущим поставщиком услуг, чтобы использовать вашего текущего поставщика услуг*, или выберите С и выберите один из доступных вариантов.
*Обратите внимание, что большинство провайдеров DNS в настоящее время не поддерживают DoH, поэтому вам не следует полагаться на провайдера по умолчанию, если вы не можете подтвердить, что он поддерживает протокол.
- Нажмите на три горизонтальные точки в правом верхнем углу и выберите "Настройки".
- Нажмите "Конфиденциальность, поиск и службы" в меню слева.
- Прокрутите вниз до заголовка "Безопасность".
- Оставьте переключатель Использовать текущего поставщика услуг выбранным, чтобы использовать текущего поставщика услуг, или выберите Выбрать поставщика услуг, чтобы использовать собственный сервер.
Какого провайдера выбрать?
Сейчас наиболее популярны Google и Cloudflare. Если вы предпочитаете их избегать, вы можете обратиться к списку альтернативных поставщиков DoH.
Некоторые ИТ-эксперты критикуют DoH за то, что он затрудняет мониторинг DNS-трафика в законных целях, таких как обнаружение вредоносного ПО или применение родительского контроля.
Компания Google решила некоторые из этих проблем, заявив в своем блоге, что такие элементы управления по-прежнему будут работать с их реализацией DoH, и что организации могут полностью отключить DoH, если это необходимо.
Все сводится к тому, что мы ценим больше: конфиденциальность пользователей или видимость для администраторов. Поскольку основные браузеры планируют в конечном итоге развернуть DoH по умолчанию для всех, похоже, что первый победил в этом случае.
Это не предотвращает все формы отслеживания
DoH шифрует только DNS-запросы, оставляя некоторые другие части вашего веб-трафика уязвимыми для перехвата:
Утечка IP-адресов немного смягчается тем фактом, что несколько сайтов могут сосуществовать с одним и тем же IP-адресом, что затрудняет определение того, какой сайт вы посетили. Есть также основания для оптимизма в отношении SNI, так как будущая технология под названием Encrypted Client Hello (ECH) обещает зашифровать его.
В настоящее время, если вам нужно более надежное решение для обеспечения конфиденциальности, рассмотрите возможность использования VPN или сети Tor.
Возврат к незашифрованному DNS
Еще одна потенциальная проблема возникает, когда провайдер DNS не может разрешить запрос, например, если вы неправильно написали домен.
Что произойдет в этом случае, зависит от конкретной реализации DoH. В настоящее время Chrome использует DNS-сервер вашей системы по умолчанию, который для большинства людей не зашифрован. Это может привести к утечке конфиденциальной информации.
Развивающаяся технология
Несмотря на то, что есть еще некоторые проблемы, которые необходимо устранить, стоит включить DoH в браузере, чтобы помочь защититься от атак типа «злоумышленник посередине» и других нарушений вашей конфиденциальности.
DoH повышает конфиденциальность, скрывая поиск доменных имен от кого-то, кто прячется в общедоступной сети Wi-Fi, от вашего интернет-провайдера или кого-либо еще в вашей локальной сети. DoH, если он включен, гарантирует, что ваш интернет-провайдер не сможет собирать и продавать личную информацию, связанную с вашим поведением в Интернете.
- Некоторые люди и организации полагаются на DNS для блокировки вредоносного ПО, включения родительского контроля или фильтрации доступа вашего браузера к веб-сайтам. Когда DoH включен, он обходит ваш локальный преобразователь DNS и отменяет эти специальные политики. При включении DoH по умолчанию для пользователей Firefox позволяет пользователям (с помощью настроек) и организациям (с помощью корпоративных политик и поиска в канареечном домене) отключать DoH, когда это мешает предпочтительной политике.
- Когда DoH включен, Firefox по умолчанию направляет запросы DoH на DNS-серверы, которыми управляет доверенный партнер, который может видеть запросы пользователей. В Mozilla действует строгая политика Trusted Recursive Resolver (TRR), которая запрещает нашим партнерам собирать личную идентифицирующую информацию. Чтобы снизить этот риск, наши партнеры по контракту обязаны соблюдать эту политику.
- DoH может быть медленнее, чем традиционные DNS-запросы, но при тестировании мы обнаружили, что влияние минимально, и во многих случаях DoH работает быстрее.
Мы завершили развертывание DoH по умолчанию для всех пользователей Firefox для ПК в США в 2019 году и для всех пользователей Firefox для ПК из Канады в 2021 году. Мы начали развертывание по умолчанию для пользователей Firefox для ПК из России и Украины в марте 2022 года. В настоящее время мы работая над развертыванием DoH в большем количестве стран. При этом DoH включается для пользователей в «откатном» режиме. Например, если поиск доменных имен, использующий DoH, по какой-либо причине завершается неудачей, Firefox отступает и использует DNS по умолчанию, настроенный операционной системой (ОС), вместо отображения ошибки.
Кроме того, Firefox проверит определенные функции, которые могут быть затронуты, если включен DoH, в том числе:
- Включен ли родительский контроль?
- Фильтрует ли DNS-сервер по умолчанию потенциально вредоносное содержимое?
- Управляется ли устройство организацией, у которой может быть специальная конфигурация DNS?
Если какой-либо из этих тестов определит, что DoH может мешать работе функции, DoH не будет включен. Эти тесты будут выполняться каждый раз, когда устройство подключается к другой сети.
Вы можете включить или отключить DoH в настройках подключения Firefox:
Вы можете настроить исключения, чтобы Firefox использовал преобразователь вашей ОС вместо DoH:
- Введите about:config в адресной строке и нажмите Enter.
Может появиться страница с предупреждением. Нажмите «Принять риск и продолжить», чтобы перейти на страницу about:config.
- Выполните поиск network.trr.excluded-domains.
- Нажмите кнопку Изменить рядом с параметром.
- Добавьте домены, разделенные запятыми, в список и нажмите на галочку, чтобы сохранить изменения.
Эти замечательные люди помогли написать эту статью:
Волонтер
Расширяйтесь и делитесь своим опытом с другими. Отвечайте на вопросы и улучшайте нашу базу знаний.
р>
Довольно прямолинейно, но есть несколько хороших чтений:
В документе, опубликованном в прошлом месяце, SANS Institute, одна из крупнейших в мире организаций по обучению кибербезопасности, заявила, что «беспрепятственное использование зашифрованного DNS, особенно DNS через HTTPS, может позволить злоумышленникам и инсайдерам обойти организационный контроль. "
Похожее предупреждение было повторено в эту пятницу, 4 октября, в бюллетене по безопасности, выпущенном Национальным центром кибербезопасности Нидерландов. Официальные лица Нидерландов предупредили, что организации, использующие решения для мониторинга безопасности на основе DNS, «вероятно, со временем увидят, что их видимость ухудшится», и эти продукты безопасности станут неэффективными.
"Тенденция безошибочна: мониторинг DNS станет сложнее", — заявило голландское агентство.
Совет заключается в том, что компаниям следует рассмотреть альтернативные методы блокировки исходящего трафика, решения, которые не зависят только от данных DNS. Институт SANS призывает организации не паниковать, но это потребует финансовых затрат и времени на обновление систем, чего многие организации не захотят делать.
И им нужно сделать это быстро, так как авторы вредоносных программ также уже поняли, насколько полезным может быть DoH. Например, в июле появились новости о первой вредоносной программе, которая использовала DoH для связи со своим командным и управляющим сервером без помех с помощью решений для мониторинга локальной сети.
Но исследователи безопасности и корпоративные администраторы не глупы. Они также понимают необходимость защиты DNS-запросов от посторонних глаз.
DoT имеет некоторые из тех же недостатков, что и DoH, но если исследователям безопасности придется выбирать между DoH и DoT, последний вызовет гораздо меньше головной боли, поскольку он будет работать поверх существующей инфраструктуры DNS, а не создавать свою собственную. класс резолверов с поддержкой DoH.
"Все основные интернет-провайдеры, развертывающие DoT, и основные операционные системы (ОС), поддерживающие DoT, значительно помогут улучшить конфиденциальность и безопасность, а также сохранить децентрализацию", – сказал Шреяс Заре, создатель DNS-сервера Technitium, который подытожил влияние DoH на корпоративный сектор в сообщении блога в прошлом месяце.
DoH также обходит законные черные списки, а не только цензуру
Еще одним важным моментом, который обсуждался в отношении DoH, была его способность обходить черные списки на основе DNS, созданные репрессивными правительствами.Используя DoH, пользователи могут обходить брандмауэры на основе DNS, которые были настроены на национальном уровне или на уровне интернет-провайдера, обычно с целью онлайн-цензуры и предотвращения доступа пользователей к политически чувствительному контенту.
Проблема в том, что DoH также обходит черные списки на основе DNS, созданные по законным причинам, например, против доступа к веб-сайтам с жестоким обращением с детьми, террористическому контенту и веб-сайтам с украденными материалами, защищенными авторским правом.
Вот почему и Mozilla, и Google в последнее время оказались в затруднительном положении с властями Великобритании и США.
В середине мая баронесса Торнтон, член парламента от Лейбористской партии, упомянула о протоколе DoH и его предстоящей поддержке со стороны производителей браузеров на заседании Палаты общин, назвав его угрозой онлайн-безопасности Великобритании. р>
GCHQ, британская разведывательная служба, также подвергла критике Google и Mozilla, заявив, что новый протокол будет препятствовать проведению полицейских расследований и что он может подорвать существующую государственную защиту от вредоносных веб-сайтов, предоставив злоумышленникам способ обойти его интернет-наблюдение. системы.
The Internet Watch Foundation (IWF), британская наблюдательная группа, заявленная миссия которой состоит в том, чтобы свести к минимуму доступность контента с сексуальными надругательствами над детьми в Интернете, также подвергла критике Google и Mozilla, заявив, что производители браузеров разрушили многолетнюю работу по защите британских public от оскорбительного контента, предоставив новый метод доступа к нелегальному контенту.
В июле британский интернет-провайдер номинировал Mozilla на награду "Интернет-злодей 2019 года" за планы по поддержке DoH, ссылаясь на те же причины, что и IWF.
В сентябре Судебный комитет Палаты представителей США начал расследование планов Google по включению DoH, заявив, что поддержка DoH "может в массовом масштабе помешать критически важным функциям Интернета, а также вызвать проблемы с конкуренцией данных".
Когда Google и Mozilla объявили о планах поддержки DoH в качестве решения для борьбы с цензурой, все ожидали, что противодействие будет исходить от репрессивных режимов, таких как Китай, Иран или Россия. тем не менее, отказ пришел из самых неожиданных мест.
И Mozilla уже сломалась под давлением. В июле организация сообщила ZDNet, что больше не планирует включать DoH по умолчанию для пользователей из Великобритании. Google, с другой стороны, заявил, что разработал поддержку DoH в Chrome таким образом, что ответственность ложится исключительно на компании, предоставляющие DNS-серверы с альтернативными преобразователями DoH.
DoH не следует рекомендовать диссидентам
Еще одна серьезная проблема, с которой сталкивается большинство экспертов по безопасности в связи с DoH, — недавние заявления о том, что он может помочь тем, кто живет в деспотических странах.
Эти утверждения были широко высмеяны, а некоторые эксперты по безопасности назвали сторонников DoH безответственными за то, что подвергают жизни людей риску, создавая у них ложное чувство безопасности, если они используют DoH.
Это связано с тем, что DoH не защищает пользователей от отслеживания. Как было объяснено выше, DoH скрывает только DNS-трафик, но все остальное остается видимым.
В своем блоге, опубликованном в прошлом месяце, PowerDNS описала усилия по продвижению идеи о том, что DoH может помочь пользователям в опасных странах, как "очень технологичный шаг", исходящий от людей, которые не до конца понимают ситуацию.< /p>
«Полезно рассматривать DoH как «очень частичную VPN», которая шифрует только пакеты DNS, но оставляет все остальные пакеты без изменений», — говорится в сообщении PowerDNS.
Вместо этого такие эксперты, как Zare и PowerDNS, рекомендуют пользователям в деспотических странах использовать приложения с поддержкой DoH в сочетании с Tor или VPN, а не только DoH. Говорить людям, что они могут полностью положиться на DoH, просто вводит в заблуждение.
DoH централизует DNS-трафик на нескольких преобразователях DoH
Кроме того, существует проблема влияния DoH на всю экосистему DNS, децентрализованную сеть серверов.
Самым большим критиком этого шага был Азиатско-Тихоокеанский сетевой информационный центр (APNIC), который в своем блоге на этой неделе раскритиковал идею отправки трафика DoH на несколько распознавателей DoH вместо использования существующей экосистемы. DNS-серверов.
Они утверждают, что шифрование DNS-трафика должно выполняться в текущей инфраструктуре, а не создавать еще один (бесполезный) уровень преобразователей DoH, который затем размещается поверх существующего уровня DNS.
«Централизованное DoH в настоящее время негативно влияет на конфиденциальность, поскольку любой, кто может видеть ваши метаданные, по-прежнему может видеть ваши метаданные, когда DNS передается третьей стороне», — говорится в сообщении APNIC. «Кроме того, эта третья сторона затем получает полный журнал всех DNS-запросов для каждого устройства, что позволяет отслеживать даже IP-адреса.
"Шифрование DNS — это хорошо, но если бы это можно было сделать без привлечения дополнительных сторон, это было бы еще лучше", — добавил APNIC.
Пользователи, которые хотят скрыть свой веб-трафик, по-прежнему должны рассматривать VPN и Tor как более безопасные решения, а DoH — как дополнительный уровень защиты, если он доступен.
Компаниям потребуется инвестировать в новые способы мониторинга и фильтрации трафика, поскольку эра систем на основе DNS, похоже, подходит к концу, и потребуются гибридные решения с возможностями перехвата TLS. Такие системы уже существуют, но они дороги, и это основная причина, по которой многие компании до сих пор полагались на системы на основе DNS.
Читайте также: