Запросы DNS небезопасны

Обновлено: 21.11.2024

Все, что вам нужно, чтобы узнать о безопасности DNS. Способы защиты DNS-сервера, принадлежащего вашей компании.

Система доменных имен (DNS), которая поддерживает присутствие вашей компании в Интернете, представляет собой централизованную сеть, управляемую различными организациями по всему миру. В него входят операторы серверов корневого домена и домена верхнего уровня, службы рекурсивных имен, авторитетные службы имен, предлагаемые управляемыми операторами DNS, и регистраторы доменов, которые обрабатывают доменные имена.

Проще говоря, DNS – это сложная инфраструктура, без которой Интернет в том виде, в каком мы его знаем сегодня, не существовал бы. А в нынешнем цифровом мире, когда пользователям требуется плавное и стабильное онлайн-взаимодействие, безопасность DNS стала более сложной, чем когда-либо. Вот что вам нужно знать об этой теме и ее важности для обеспечения безопасности вашей организации.

Определение безопасности DNS

Термин безопасность DNS относится к мерам защиты, которые включают протокол DNS. Как вы, возможно, уже знаете, DNS (система доменных имен) не создавалась с учетом концепции безопасности.

Когда была изобретена эта инфраструктура, угроз безопасности не было, как сейчас. В то время мы имели дело с гораздо меньшей и гораздо более безопасной средой, но по мере того, как ее масштабы и доступность увеличивались, тем более многообещающими они становились в глазах злоумышленников.

Во-вторых, с течением времени в инфраструктуру DNS вносилось множество дополнений, иногда, возможно, без особой осмотрительности. Эти аспекты способствовали отсутствию безопасности DNS. Поэтому неудивительно, что множество DNS-угроз в настоящее время угрожают как крупным, так и малым компаниям, а также обычным потребителям.

  • 87 % организаций стали жертвами атак с использованием DNS.
  • В среднем каждая организация подвергалась 7,6 DNS-атакам.
  • Средняя стоимость одной атаки составила 950 000 долларов США.
  • DNS-атаки вызвали простои приложений в 76 % организаций.
  • 42 % организаций не используют выделенное решение для обеспечения безопасности DNS.

Как вы могли понять из приведенных выше данных, такая сложная и широко распространенная инфраструктура, как DNS, не может быть неуязвима для киберагрессии. Возможно, вы слышали рассказы или «слухи» об атаках «человек посередине», отравлении DNS, перехвате DNS и так далее. Эти типы атак являются той самой причиной, по которой разработчики развернули то, что называется DNSSEC, первый и самый старый уровень безопасности системы доменных имен.

Что такое DNSSEC?

В 1997 году IETF выпустила первый RFC (запрос на комментарии) о DNSSEC (расширениях безопасности системы доменных имен) — это спецификации, помогающие защитить DNS. Это называется расширением, потому что по умолчанию DNS-запросы не защищены. Это может сделать каждого из «участников», участвующих в разрешении DNS, уязвимым для одного или нескольких типов атак.

DNSSEC обеспечивает безопасность и конфиденциальность данных (аспект, который обычно не обрабатывается через DNS), служит краеугольным камнем цифрового доверия и предотвращает угрозы DNS, такие как отравление кеша. Серверы DNSSEC подписывают все ответы сервера цифровой подписью. С помощью проверки подписи сопоставитель DNSSEC может проверить, идентичны ли данные, полученные с действительного сервера, данным на авторитетном DNS-сервере.

Если это не так, запрос будет отклонен. Кроме того, DNSSEC может обнаруживать атаки «человек посередине» благодаря аутентификации источника данных, однако имейте в виду, что он не предотвращает такие атаки. Таким образом, DNSSEC — это подмножество безопасности DNS, а не ее синоним.

Как насчет безопасного DNS? DNSSEC и безопасный DNS в некоторой степени взаимосвязаны, но не сливаются воедино. Первый относится к методологии, используемой для защиты DNS-серверов, данных и клиентов от незаконного прослушивания и кражи данных.

Безопасный DNS — это способ применения указанной методологии DNSSEC. Можно считать безопасный DNS последней модой в защите от вредоносных программ и незаменимым инструментом в анализе угроз. Читатель должен иметь в виду тот факт, что безопасный DNS должен быть реализован наряду с другими мерами безопасности DNS.

Несколько экспертов, компаний и национальных организаций выразили очень убедительную озабоченность по поводу DoH и его особенностей.

Каталин Чимпану работала корреспондентом ZDNet по безопасности с сентября 2018 г. по февраль 2021 г.

См. также

Если мы прислушаемся к экспертам в области сетей и кибербезопасности, этот протокол несколько бесполезен и создает больше проблем, чем исправляет, и критика в адрес DoH и тех, кто продвигает его как жизнеспособный метод сохранения конфиденциальности, растет.

Суть TL;DR заключается в том, что большинство экспертов считают DoH нехорошим, и люди должны сосредоточить свои усилия на внедрении более эффективных способов шифрования трафика DNS, таких как DNS-over-TLS, а не на DoH.

Что такое DoH и краткая история

Сам протокол работает, изменяя принцип работы DNS. До сих пор DNS-запросы выполнялись в виде открытого текста, от приложения к DNS-серверу, с использованием настроек DNS локальной операционной системы, полученных от ее сетевого провайдера (обычно поставщика интернет-услуг (ISP)).

Из-за всего вышеперечисленного компании и организации, у которых есть продукты с поддержкой DoH, рекламируют DoH как способ помешать интернет-провайдерам отслеживать веб-трафик пользователей и как способ обойти цензуру в деспотичных странах.

Но многие ученые люди говорят, что это ложь. Несколько экспертов в области сетей и кибербезопасности публично раскритиковали некоторые утверждения, связанные с DoH, и попытки распространить его практически повсеместно.

Они говорят, что DoH — это не волшебное лекарство от конфиденциальности пользователей, которое некоторые компании продвигают в своих маркетинговых усилиях, чтобы повысить свой имидж как организации, которая заботится о конфиденциальности.

Эксперты говорят, что эти компании безответственно продвигают недоработанный протокол, который на самом деле не защищает пользователей и создает больше проблем, чем решает, особенно в корпоративном секторе.

В некоторых случаях реакция на помазание DoH как основного решения для сохранения конфиденциальности была откровенно едкой. Критики нанесли удар по протоколу на разных равнинах, которые мы попытаемся систематизировать и классифицировать ниже:

  • DoH на самом деле не препятствует отслеживанию пользователей интернет-провайдерами
  • DoH создает хаос в корпоративном секторе.
  • DoH ослабляет кибербезопасность
  • DoH помогает преступникам
  • DoH не следует рекомендовать диссидентам
  • DoH централизует DNS-трафик на нескольких преобразователях DoH.

DoH на самом деле не препятствует отслеживанию пользователей интернет-провайдерами

Один из основных моментов, о котором сторонники DoH болтали в прошлом году, заключается в том, что DoH не позволяет интернет-провайдерам отслеживать DNS-запросы пользователей и, следовательно, не позволяет им отслеживать привычки пользователей в Интернете.

Да. DoH не позволяет интернет-провайдеру просматривать DNS-запросы пользователя.

Однако DNS — не единственный протокол, используемый при просмотре веб-страниц. Есть еще бесчисленное множество других точек данных, которые интернет-провайдеры могут отслеживать, чтобы знать, куда идет пользователь. Любой, кто говорит, что DoH мешает интернет-провайдерам отслеживать пользователей, либо лжет, либо не понимает, как работает веб-трафик.

Более того, интернет-провайдеры в любом случае знают все о трафике каждого. По замыслу они могут видеть, к какому IP-адресу подключается пользователь при доступе к веб-сайту.

Этот IP-адрес нельзя скрыть. Знание конечного IP-адреса позволяет узнать, к какому веб-сайту подключается пользователь, даже если весь его трафик зашифрован. Исследование, опубликованное в августе этого года, показало, что третья сторона может определить с точностью 95 %, к каким веб-сайтам подключались пользователи, просто взглянув на IP-адреса.

Эксперты утверждают, что любые заявления о том, что DoH мешает интернет-провайдерам отслеживать пользователей, неискренни и вводят в заблуждение. DoH просто доставляет неудобства интернет-провайдерам, не позволяя им видеть один вектор, но у них есть множество других.

DoH обходит корпоративные политики

Второй важный момент — влияние DoH на корпоративный сектор, где системные администраторы используют локальные DNS-серверы и программное обеспечение на основе DNS для фильтрации и мониторинга локального трафика, чтобы предотвратить доступ пользователей к сайтам, не связанным с работой, и доменам вредоносных программ.< /p>

Для предприятий DoH был кошмаром с тех пор, как он был предложен. По сути, DoH создает механизм для перезаписи централизованно установленных настроек DNS и позволяет сотрудникам использовать DoH для обхода любых решений для фильтрации трафика на основе DNS.

Поскольку современные DNS-серверы не поддерживают запросы DoH, приложения, которые в настоящее время поддерживают DoH, поставляются со списками жестко запрограммированных серверов DoH, эффективно отделяя DoH от обычных настроек DNS операционной системы (нет-нет, большой дизайн программного обеспечения, который возмутил некоторых разработчиков, таких как команда OpenDNS).

Системные администраторы должны следить за настройками DNS в операционных системах, чтобы предотвратить атаки перехвата DNS. Наличие сотен приложений с собственными уникальными настройками DoH — это кошмар, поскольку это делает мониторинг перехвата DNS практически невозможным.

Кроме того, трафик к определенным доменам блокируется по определенной причине внутри предприятий.

После того, как DoH станет широко доступным, он станет любимым методом обхода корпоративных фильтров для доступа к контенту, который обычно блокируется на их рабочих местах.

Некоторые могут использовать его для доступа к сайтам потоковой передачи фильмов или материалам для взрослых, но после включения DoH остается включенным, и сотрудники также могут случайно посетить вредоносные и фишинговые сайты, что подводит нас к следующему пункту.

DoH ослабляет кибербезопасность

Многие эксперты говорят, что протокол переворачивает с ног на голову сотни решений по кибербезопасности, которые станут бесполезными, как только пользователи начнут использовать DoH в своих браузерах, закрывая инструменты безопасности от наблюдения за действиями пользователей.

И было много экспертов, которые предупреждали об этой проблеме, чьи голоса были заглушены теми, кто утверждал, что DoH — это лучшее, что есть после нарезанного хлеба.

"Когда протокол DNS зашифрован, организация больше не может использовать данные запроса DNS (тип запроса, ответ, исходный IP-адрес и т. д.), чтобы узнать, пытается ли пользователь получить доступ к заведомо недопустимому домену, не говоря уже о том, чтобы вызвать блокируя или перенаправляя действия по нему», — сообщил ZDNet Эндрю Верткин, директор по стратегии BlueCat по электронной почте ранее на этой неделе.

Довольно прямолинейно, но есть несколько хороших чтений:

В документе, опубликованном в прошлом месяце, SANS Institute, одна из крупнейших в мире организаций по обучению кибербезопасности, заявила, что «беспрепятственное использование зашифрованного DNS, особенно DNS через HTTPS, может позволить злоумышленникам и инсайдерам обойти организационный контроль. "

Подобное предупреждение было повторено в эту пятницу, 4 октября, в бюллетене по безопасности, выпущенном Национальным центром кибербезопасности Нидерландов. Официальные лица Нидерландов предупредили, что организации, использующие решения для мониторинга безопасности на основе DNS, «вероятно, со временем увидят, что их видимость ухудшится», и эти продукты безопасности станут неэффективными.

"Тенденция безошибочна: мониторинг DNS станет сложнее", — заявило голландское агентство.

Совет заключается в том, что компаниям следует рассмотреть альтернативные методы блокировки исходящего трафика, решения, которые не зависят только от данных DNS. Институт SANS призывает организации не паниковать, но это потребует финансовых затрат и времени на обновление систем, на что многие организации не захотят идти.

И им нужно сделать это быстро, так как авторы вредоносных программ также уже поняли, насколько полезным может быть DoH. Например, в июле появились новости о первой вредоносной программе, которая использовала DoH для связи со своим командным и управляющим сервером без помех с помощью решений для мониторинга локальной сети.

Но исследователи безопасности и корпоративные администраторы не глупы. Они также понимают необходимость защиты DNS-запросов от посторонних глаз.

DoT имеет некоторые из тех же недостатков, что и DoH, но если исследователям безопасности придется выбирать между DoH и DoT, последний вызовет гораздо меньше головной боли, поскольку он будет работать поверх существующей инфраструктуры DNS, а не создавать свою собственную. класс резолверов с поддержкой DoH.

"Все основные интернет-провайдеры, развертывающие DoT, и основные операционные системы (ОС), поддерживающие DoT, значительно помогут улучшить конфиденциальность и безопасность, а также сохранить децентрализацию", – сказал Шреяс Заре, создатель DNS-сервера Technitium, который подытожил влияние DoH на корпоративный сектор в сообщении блога в прошлом месяце.

DoH также обходит законные черные списки, а не только цензуру

Еще одним важным моментом, который обсуждался в отношении DoH, была его способность обходить черные списки на основе DNS, созданные репрессивными правительствами. Используя DoH, пользователи могут обходить брандмауэры на основе DNS, которые были настроены на национальном уровне или на уровне интернет-провайдера, обычно с целью онлайн-цензуры и предотвращения доступа пользователей к политически чувствительному контенту.

Проблема в том, что DoH также обходит черные списки на основе DNS, созданные по законным причинам, например, против доступа к веб-сайтам с жестоким обращением с детьми, террористическому контенту и веб-сайтам с украденными материалами, защищенными авторским правом.

Вот почему и Mozilla, и Google в последнее время оказались в затруднительном положении с властями Великобритании и США.

В середине мая баронесса Торнтон, член парламента от Лейбористской партии, упомянула о протоколе DoH и его предстоящей поддержке со стороны производителей браузеров на заседании Палаты общин, назвав его угрозой онлайн-безопасности Великобритании.

GCHQ, британская разведывательная служба, также подвергла критике Google и Mozilla, заявив, что новый протокол будет препятствовать проведению полицейских расследований и что он может подорвать существующую государственную защиту от вредоносных веб-сайтов, предоставив злоумышленникам способ обойти его слежку в Интернете. системы.

The Internet Watch Foundation (IWF), британская наблюдательная группа, заявленная миссия которой состоит в том, чтобы свести к минимуму доступность контента с сексуальными надругательствами над детьми в Интернете, также подвергла критике Google и Mozilla, заявив, что производители браузеров разрушили многолетнюю работу по защите британских public от оскорбительного контента, предоставив новый метод доступа к нелегальному контенту.

В июле британский интернет-провайдер номинировал Mozilla на награду "Интернет-злодей 2019 года" за планы по поддержке DoH, ссылаясь на те же причины, что и IWF.

В сентябре Судебный комитет Палаты представителей США начал расследование планов Google по включению DoH, заявив, что поддержка DoH "может в массовом масштабе помешать критически важным функциям Интернета, а также вызвать проблемы с конкуренцией данных".

Когда Google и Mozilla объявили о планах поддержки DoH в качестве решения для борьбы с цензурой, все ожидали сопротивления со стороны репрессивных режимов, таких как Китай, Иран или Россия. тем не менее, отказ пришел из самых неожиданных мест.

И Mozilla уже сломалась под давлением. В июле организация сообщила ZDNet, что больше не планирует включать DoH по умолчанию для пользователей из Великобритании. Google, с другой стороны, заявил, что разработал поддержку DoH в Chrome таким образом, что ответственность ложится исключительно на компании, предоставляющие DNS-серверы с альтернативными преобразователями DoH.

DoH не следует рекомендовать диссидентам

Еще одна серьезная проблема, с которой сталкивается большинство экспертов по безопасности в связи с DoH, — недавние заявления о том, что он может помочь тем, кто живет в деспотических странах.

Эти утверждения были широко высмеяны, а некоторые эксперты по безопасности назвали сторонников DoH безответственными за то, что подвергают жизни людей риску, создавая у них ложное чувство безопасности, если они используют DoH.

Это связано с тем, что DoH не защищает пользователей от отслеживания. Как было объяснено выше, DoH скрывает только DNS-трафик, но все остальное остается видимым.

В своем блоге, опубликованном в прошлом месяце, PowerDNS описала усилия по продвижению идеи о том, что DoH может помочь пользователям в опасных странах, как "очень технологичный шаг", исходящий от людей, которые не до конца понимают ситуацию.< /p>

«Полезно рассматривать DoH как «очень частичную VPN», которая шифрует только пакеты DNS, но оставляет все остальные пакеты без изменений», — говорится в сообщении PowerDNS.

Вместо этого такие эксперты, как Zare и PowerDNS, рекомендуют пользователям в деспотических странах использовать приложения с поддержкой DoH в сочетании с Tor или VPN, а не только DoH. Говорить людям, что они могут полностью положиться на DoH, просто вводит в заблуждение.

DoH централизует DNS-трафик на нескольких преобразователях DoH

И существует проблема влияния DoH на всю экосистему DNS, децентрализованную сеть серверов.

Самым большим критиком этого шага был Азиатско-Тихоокеанский сетевой информационный центр (APNIC), который в своем блоге на этой неделе раскритиковал идею отправки трафика DoH на несколько распознавателей DoH вместо использования существующей экосистемы. DNS-серверов.

Они утверждают, что шифрование DNS-трафика должно выполняться в текущей инфраструктуре, а не создавать еще один (бесполезный) уровень преобразователей DoH, который затем размещается поверх существующего уровня DNS.

«Централизованное DoH в настоящее время негативно влияет на конфиденциальность, поскольку любой, кто может видеть ваши метаданные, по-прежнему может видеть ваши метаданные, когда DNS передается третьей стороне», — говорится в сообщении APNIC. «Кроме того, эта третья сторона затем получает полный журнал всех DNS-запросов для каждого устройства, что позволяет отслеживать даже IP-адреса.

"Шифрование DNS — это хорошо, но если бы это можно было сделать без привлечения дополнительных сторон, это было бы еще лучше", — добавил APNIC.

Пользователи, которые хотят скрыть свой веб-трафик, по-прежнему должны рассматривать VPN и Tor как более безопасные решения, а DoH — как дополнительный уровень защиты, если он доступен.

Компаниям потребуется инвестировать в новые способы мониторинга и фильтрации трафика, поскольку эра систем на основе DNS, похоже, подходит к концу, и потребуются гибридные решения с возможностями перехвата TLS. Такие системы уже существуют, но они дороги, и это основная причина, по которой многие компании до сих пор полагались на системы на основе DNS.

Ваша информация будет храниться в тайне.

Это архивная запись из блога Netsparker (теперь Invicti). Обратите внимание, что содержимое может не отражать текущие названия продуктов и функции в предложении Invicti.

Что такое DNS и как он работает?

Насколько отстает DNS?

В 1983 году, когда DNS только изобрели, DNS-запросы и ответы отправлялись через Интернет в виде открытого текста, и они до сих пор отправляются. Теперь, когда в Интернете так много поставлено на карту, появилась дополнительная необходимость в шифровании DNS-трафика.

Однако, как и многие другие фундаментальные строительные блоки современного Интернета, DNS не был готов к шумихе!

Давайте посмотрим, как это работает и почему это, вероятно, не решение всех проблем с конфиденциальностью DNS.

Во-первых, давайте рассмотрим технические аспекты, описанные в последнем Internet Draft и реализованные в реальных приложениях.

Запросы GET и POST

Если вы отправляете данные с помощью запроса POST:

  • Поле заголовка Content-Type указывает тип мультимедиа:
    • Идентификатор описывает один тип мультимедиа (application/dns-message), но основные поставщики DoH, о которых мы поговорим, используют другой тип (application/dns-json). ), который лучше подходит для веб-приложений.
    • Есть дополнительное преимущество: вам не нужно кодировать сообщение.
    • Как описано выше, это связано с кодировкой.

    Если вы отправляете данные с помощью запроса GET:

    • Это больше, чем запрос POST:
      • Вы должны использовать кодировку base64url, что означает, что закодированное сообщение примерно на треть больше, чем исходное.
      • Кэширование запросов GET хорошо поддерживается даже на старых кэш-серверах
      • Это неудивительно, поскольку в идентификаторе GET в качестве имени параметра GET упоминается "dns".

      Однако, несмотря на то, что запросы GET более удобны для кэширования, чем запросы POST, все же есть одна проблема. Обычно пакеты DNS имеют поле идентификатора, которое используется для сопоставления пакетов запроса и ответа. Это уникальный случайный идентификатор, который приводит к разным URL-адресам запросов для одного и того же запроса. Поэтому клиенты должны установить для этого поля идентификатора значение «0».

      Однако есть способ использовать DoH без обновления операционной системы или браузера. Очевидно, что вы должны обновлять браузеры и операционные системы, но позвольте мне рассказать вам, почему большинству людей с телефонами Android потребуется много времени, чтобы использовать DoH (даже несмотря на то, что Google добавил его в Android Pie).

      Почему вы не увидите нативный DoH на своем телефоне Android в течение длительного времени

      Из болезненного личного опыта могу объяснить. Некоторое время назад я купил новый смартфон Samsung. Затем Google выпустила новую версию Android. Обновление включает в себя крутой пересмотр пользовательского интерфейса и некоторые новые функции.

      Тогда я ждал. Тем не менее, месяц за месяцем мой экран сообщал мне: «Ваш телефон обновлен». Эта досадная задержка была связана с тем, что Samsung сильно настраивает Android на своих телефонах. Тогда их версия Android называлась TouchWiz и была полна вредоносных программ. После жалоб они постепенно удаляли большинство раздражающих функций и программного обеспечения до такой степени, что люди больше не могли узнавать его как TouchWiz, и им пришлось переименовать его. (Я не выдумываю.) Несмотря на то, что теперь у них меньше функций, специфичных для Samsung, которые нужно адаптировать к новым версиям Android, получение нового обновления по-прежнему занимает слишком много времени.

      У моего друга было гораздо более старое устройство Android того же производителя, и на нем всегда была установлена ​​последняя версия Android. Это потому, что он прошил на телефон новую операционную систему CyanogenMod. Это было стороннее программное обеспечение, у которого не было пользовательского интерфейса TouchWiz, но это была последняя доступная версия Android. Помимо других проблем, иронично, что вы можете получить полностью пропатченный, современный телефон, прошив стороннее программное обеспечение через несколько дней или недель после того, как Android опубликовал его, но вам нужно было ждать месяцы, пока производитель вашего телефона сделает то же самое. . Очевидно, что это аннулирует вашу гарантию, и обычный пользователь даже не будет знать, что такое возможно. Таким образом, несмотря на то, что Android 9 будет поддерживать DoH, могут пройти месяцы или даже годы, прежде чем вы сможете его использовать.

      Существует ли альтернативный способ использования DoH, даже если ваша ОС или браузер его не поддерживает?

      Есть несколько вариантов:

      1. Он запрашивает один из корневых серверов Интернета:
        • Вопрос: "Я хочу посетить www.example.com, вы знаете, где он находится?"
        • Ответ: "Нет, но вот серверы имен для .com. Попытайте удачу там!"
      2. Затем он запрашивает DNS-серверы .com:
        • Вопрос: "Итак, не могли бы вы сообщить мне IP-адрес www.example.com?"
        • Ответ: "Вы должны обратиться к серверам имен example.com".
      3. Наконец, он запрашивает DNS-серверы example.com:
        • Вопрос: "Какой IP-адрес www.example.com?"
        • Ответ: "IP-адрес: 123.123.123.123"

      Минимизация имени DNS-запроса

      Существует решение проблемы, описанной выше, и оно даже не связано с DoH. Это называется минимизацией имени запроса DNS, и вот как это работает.

      1. Он запрашивает корневые серверы Интернета:
        • Вопрос: "Знаете ли вы серверы имен для .com?"
        • Ответ: "Да, вот их IP-адрес"
      2. Далее серверы имен .com запрашивают:
        • Вопрос: "Знаете ли вы серверы имен для example.com?"
        • Ответ: "Да, это IP-адрес сервера имен example.com"
      3. Наконец, он запрашивает DNS-серверы example.com:
        • Вопрос: "Знаете ли вы IP-адрес www.example.com?"
        • Ответ: "Да, это 123.123.123.123"

      Есть некоторые проблемы с доверием

      К сожалению, TRR — это совершенно другой зверь. Я не знаю, чем обосновывается решение Mozilla, но я предполагаю, что, поскольку для этого требуется огромная пропускная способность и тот факт, что Mozilla может захотеть включить TRR по умолчанию в будущих версиях Firefox, они хотели построить инфраструктуру, которая была бы одновременно и надежной, и надежной. и защищен от DDoS-атак.Если вы думаете о надежности и защите от DDoS, на ум сразу приходит Cloudflare. Mozilla сотрудничает с ними и использует их сервер 1.1.1.1 для реализации DoH.

      У некоторых людей это вызывает проблемы. Но если вы посещаете только Facebook и Twitter, вам все равно, знает ли Cloudflare о ваших DNS-запросах. Однако, если вы репортер, проводящий исследования для статей и работающий с конфиденциальной информацией, вы можете не захотеть направлять все свои DNS-запросы через американскую компанию, которая потенциально может отследить их до вас. Но у внешнего сервера DoH есть несколько преимуществ. Например, если вы работаете в небезопасной общедоступной сети, вам не нужно связываться с DNS-сервером через открытый текст, если вы используете зашифрованный сервер Cloudflare. Кроме того, все запросы сервера 1.1.1.1 будут видеть только DNS-сервер Cloudflare, запрашивающий IP-адрес, принадлежащий данному имени хоста, а не ваш IP-адрес.

      Насколько часто технологические компании теряют данные клиентов?

      Вопрос в том, заслуживает ли доверия Cloudflare? Ну да, конечно. И они обещают удалить любую информацию о вас, которую они хранят, в течение 24 часов. Но ошибки случаются.

      • Только в этом году Twitter признался, что случайно сохранил незашифрованные пароли своих пользователей в файле журнала.
      • Затем немецкий регистратор доменов DomainFactory непреднамеренно раскрыл конфиденциальные данные учетных записей пользователей, которые были получены злоумышленником. Я хотел бы сообщить, что это был тщательно продуманный взлом группы опытных злоумышленников, которые месяцами исследовали веб-сайт и инфраструктуру компании с целью продажи данных. Но уязвимость была до боли простой. Похоже, что они предоставили некоторые данные об ошибках через XML-канал (зачем вам это делать?!), когда пользователь каким-то образом вызвал ошибку, и многие его конфиденциальные данные просочились через этот канал. Вы можете задаться вопросом, что вызвало ошибку для стольких пользователей? Виной тому — опять же, мне жаль, что я это не выдумывал — на самом деле была ошибка в поле gdpr_policy_accepted. (Если вы не знаете, что такое GDPR и почему это иронично на нескольких уровнях, вы можете освоиться, прочитав наш Технический документ: Путь к соответствию GDPR.) Они попросили пользователя подтвердить свою политику защиты данных, но когда пользователь нажал «Да», произошла ошибка, и данные, которые должны быть защищены, стали доступны для чтения всем. Это произошло потому, что серверная часть ожидала логическое значение, но вместо этого получила строку, вызвав сообщение об ошибке, содержащее пользовательские данные, которые оказались в общедоступном XML-канале. Ой!

      Суть в том, что люди совершают ошибки, даже те, кто работает в ИТ-отделах крупных корпораций. Даже в Cloudflare.

      Единая точка отказа

      Также стоит отметить, что даже если данные клиентов находятся в безопасности, возможны перебои в работе. Если 1.1.1.1 станет DNS-сервером по умолчанию для Firefox и возникнут какие-либо проблемы с доступностью, ни один пользователь Firefox не сможет отправлять DNS-запросы или, следовательно, открывать веб-сайт (при условии, что они не изменили настройки по умолчанию). Если вы считаете, что сбои невозможны, учитывая огромные ресурсы, которыми может похвастаться Cloudflare, помните, что даже у AWS в прошлом году был серьезный сбой. Возможно, вы не заметили сбоя, просто взглянув на страницу состояния Amazon, поскольку он полагался на AWS (сервис, который он должен отслеживать), чтобы правильно работать и отображать свой статус!

      Вот почему Firefox позволяет вам использовать собственный доверенный рекурсивный распознаватель. Вам нужно только изменить IP в настройках — но много ли пользователей знают о TRR и как его изменить или почему? Один процент был бы очень щедрой оценкой, и это беспокоит.

      Формат ответов DoH

      Прежде чем мы поговорим о CORS, давайте подумаем о формате ответов DoH. I-D описывает тип мультимедиа application/dns-message, который по существу представляет собой необработанный пакет DNS в ответном сообщении HTTP. Это полезно для большинства компьютерных программ, так как для этого формата сообщений уже доступны синтаксические анализаторы. Однако в ID говорится, что это позволит веб-приложениям «получать доступ к информации DNS через существующие API-интерфейсы браузера». Не существует существующего API браузера, позволяющего декодировать пакеты DNS, поэтому это делается на стороне сервера и Google, а Cloudflare может отправлять обратно сообщение в формате JSON (который, с другой стороны, может быть легко декодирован браузером).

      Однако, если ваше веб-приложение, которое хочет получить доступ к этим данным, не работает на том же хосте, что и сервер DoH, вы столкнетесь с проблемой. Вы не можете получить доступ к данным из-за единой политики происхождения (SOP). Вот почему в Internet Draft упоминается CORS. Это позволяет вам получить доступ к данным в любом случае, даже если источники не совпадают.

      Но — давайте предположим, что ваш локальный сервер также имеет такой API — опасно ли это?

      Как видите, полезность TRR/DoH зависит от множества факторов.Вам нужно подумать о том, хотите ли вы, чтобы ваши DNS-запросы направлялись через американскую компанию, и подходит ли это для вашей модели угроз. Вот, я сказал это! С другой стороны, также не рекомендуется отправлять все ваши DNS-запросы в виде открытого текста.

      Если, в конце концов, вы решите, что TRR или DoH вам не подходят, отключите их в текущих реализациях следующим образом.

      Файрфокс

      1. Если вы хотите отключить DoH в Firefox, вы должны быть смелыми, так как вам нужно открыть about:config и отклонить пугающее сообщение «Это может привести к аннулированию вашей гарантии!» диалоговое окно.

      1. После этого вам нужно найти network.trr.mode в строке поиска. У вас останется ровно один вариант. В поле можно ввести несколько чисел. И хотя это само собой разумеется, 2 активирует DoH, а 5, очевидно, деактивирует его. (Ноль и 1 было бы проще, но я уверен, что в какой-то степени это имеет смысл.)

      Андроид

      Если DoH включен по умолчанию в Android Pie, есть простой способ отключить его. Как сообщается, в меню «Настройки сети и Интернета» есть параметр «Частный DNS». Как упоминалось в блоге разработчиков Android, есть кнопка, которую нужно проверить, чтобы отключить его. К сожалению, я не могу самостоятельно проверить это утверждение просто потому, что мой последний Android-телефон был произведен Samsung (что, что неудивительно, говорит мне, что мой телефон обновлен). Таким образом, несмотря на то, что технологические компании делают все возможное, чтобы изменить DNS к лучшему, некоторые вещи остаются неизменными.

      В этой статье мы рассмотрели технологию DoH и DNS, а также историю системы доменных имен. Хотя DoH еще не получил широкого распространения, это хорошее и необходимое дополнение к DNS, если оно реализовано правильно. Мы установили, что от вашего личного использования Интернета зависит, хотите ли вы направлять свои DNS-запросы через американскую компанию. Если вы не доверяете Cloudflare или Google, вы можете в качестве альтернативы настроить свой собственный преобразователь DoH, но просто остерегайтесь уязвимостей, таких как разрешающая реализация CORS, о ​​которой мы говорили в этом посте.

      Обычные DNS-запросы и ответы не шифруются. Однако есть много технологий, которые надеются это изменить; некоторые из них являются проприетарными решениями, некоторые являются новыми стандартами. Мы кратко обсудим каждый из них в этой статье.

      Прежде чем появятся какие-либо конкретные решения для шифрования DNS, всегда существует универсальная VPN (виртуальная частная сеть), которая будет шифровать не только трафик DNS, но и весь сетевой трафик. Существуют буквально сотни и тысячи различных продуктов VPN, которые могут обеспечить конфиденциальность помимо зашифрованного трафика DNS, поэтому, если вас беспокоит общая конфиденциальность, выбор продукта VPN может быть более эффективным, чем выбор способа шифрования сообщений DNS.

      Кривая DNS

      DNSCurve — это проприетарное решение, изобретенное исследователем безопасности Дэниелом Дж. Бернштейном, который, как известно, создал программные пакеты DNS djbdns, уделяя особое внимание безопасности. Д-р Бернстайн предложил DNSCurve в качестве технологии замены DNSSEC, чтобы обеспечить аутентификацию, целостность данных и конфиденциальность одновременно. Сила DNSCurve заключается в том, что он обеспечивает более надежное и эффективное использование криптографических ключей, чем DNSSEC, и обеспечивает полную конфиденциальность при обмене данными с DNS-сервером. Однако отсутствие опубликованного стандарта IETF затрудняло развертывание и внедрение для поставщиков. По состоянию на 2019 г. она не была развернута достаточно широко, чтобы отрасль могла судить о жизнеспособности этой технологии.

      DNSCrypt

      IPSECA

      В этом черновике IETF, отчасти похожем на VPN-подход, предлагается новая конфигурация, при которой клиенты могут получать и проверять удостоверение IPSEC, запрашивая DNS-сервер (с помощью DNSSEC-DANE), и использует оппортунистическое шифрование для установления туннеля IPSEC для DNS-сервер. Необходимым условием этого подхода является полное развертывание DNSSEC. Это предложение является лишь проектом и на данный момент должно рассматриваться как «экспериментальное».

      Конфиденциальный DNS

      В этом черновике IETF рекомендуется публиковать ключ шифрования DNS-сервера, чтобы при подключении клиент мог получить ключ шифрования с DNS-сервера, а затем использовать ключ шифрования для защиты всего обмена данными с этого момента с сервер. Предпосылкой является то, что ключ шифрования с сервера аутентифицирован, а не подделан, что требует механизма аутентификации, такого как DNSSEC. Как и IPSECA, это всего лишь черновик, и его следует рассматривать как «экспериментальный».

      DNS через TCP (DoT)

      Этот новый стандарт (RFC 7858) отправляет зашифрованный DNS-трафик через TCP-порт 853. С 2019 года многие поставщики начали предоставлять поддержку DoT как на стороне клиента, так и на стороне сервера. Это защищает «последнюю милю» между клиентом и сервером, а также может использоваться для защиты связи между серверами. DoT можно развернуть как дополнение к DNSSEC. Чтобы узнать больше о DoT.

      DNS через DTLS

      Как и DoT, этот новый стандарт (RFC 8094) отправляет зашифрованный DNS-трафик через UDP-порт 853. Эта технология решает все те же проблемы, что и DoT, и ведет себя так же, как DoT, за исключением использования DTLS для шифрования через UDP. .

      Новинка — DoH (8484)

      Заключение

      Какой бы продукт или решение вы ни выбрали, помните, что шифрование — это сквозная технология, поэтому вам все равно нужно доверять другому концу. Просто потому, что связь DNS между вами и вашим интернет-провайдером зашифрована, она не защищает вашу конфиденциальность, если ваш интернет-провайдер просто разворачивается и делает ваши данные DNS доступными для всего мира. Кроме того, если DNSSEC отсутствует, информация, полученная вами по зашифрованному каналу, все равно может быть подделана где-то вверх по течению, и вы по-прежнему можете быть подвержены отравлению кеша DNS или атакам перехвата.

      Читайте также: