Новые протоколы DNS-over-HTTPS и DNS-over-TLS стали настоящим яблоком раздора в ИТ-сообществе.
Шифрование DNS-запросов представляет все больше и больше количество браузеров, но среди экспертов есть те, кто критикует такой подход. Они считают, что новые протоколы не оказывают положительного влияния на безопасность и в лучшем случае «бесполезны».
Давайте рассмотрим некоторые из наиболее популярных аргументов по этому вопросу.
Фото: Маркус Списке.
Источник: Unsplash.com
Возможность мониторинга остается
Протоколы DoH и DoT шифруют запросы к DNS-серверу и ответы на них.По идее, такой подход должен надежно скрывать имена хостов, к которым обращается пользователь, от интернет-провайдера и злоумышленников.
Однако на практике при этом возникает ряд нюансов.
В этом году эксперты аналитической компании SANS Institute опубликовали исследование по анализу DNS-трафика в корпоративных сетях.
Они провели серию тестов и пришли к выводу, что инструменты журналирования, проксирования и криптоанализа обеспечивают точное понимание содержимого зашифрованных DNS-запросов ( стр.
21 ).
В то же время основатель PowerDNS Берт Хьюберт говорит что DoH шифрует данные, которые можно легко получить в открытом виде из других источников.
Например, интернет-провайдеры может определить сайты, посещаемые клиентом по протоколу OCSP ( RFC 6960 ).
Используется для получения статуса отзыва цифрового сертификата.
509 (описаны процедуры распространения открытых ключей).
Ответы OCSP содержат серийный номер TLS-сертификата на сайте, по нему легко определить имя ресурса.
Есть уязвимости
Специалист по информационной безопасности и один из разработчиков дистрибутива с открытым исходным кодом Whonix. примечания что существуют и другие способы получить информацию о сайтах, которые вы посещаете.Один из вариантов – анализ.
Индикация имени сервера (СНИ).
Это расширение протокола TLS, и через него клиенты сами сообщают имя хоста, к которому хотят подключиться.
Информация передается в открытом виде и при желании может быть перехвачена.
Справедливости ради стоит отметить, что имеет уже инструменты, позволяющие шифровать SNI — например, проект Зашифрованный клиент Привет! (ЭКХ).
Он скрывает метаданные, передаваемые во время рукопожатия, но инструмент и его аналоги пока не получили широкого распространения.
Даже если шифровать DNS-запросы и использовать другие меры предосторожности, остается хоть и очевидный, но существенный момент, связанный с IP-адресом ресурса, к которому подключается клиент. По мнению специалистов регионального интернет-регистратора APNIC, этого достаточно для точной идентификации.
Остальные 5% включают IP-адреса, связанные с несколькими ресурсами.
Но эту проблему при желании можно обойти.
Новые кибератаки
Еще в 2019 году специалисты по информационной безопасности Netlab обнаруженный вредоносное ПО Годлуа .Программа злоупотребляет возможностями DNS-over-HTTPS для проведения DDoS-атак.
Используя протокол, вредоносная программа маскирует обмен данными с серверами управления.
В результате антивирусное программное обеспечение не может его обнаружить.
Фото: Рико Ройтиманн.
Источник: Unsplash.com Ээксперты боялся что за Godlua последуют другие вредоносные программы, невидимые для систем пассивного антивирусного мониторинга.
Так и случилось – в конце 2020 года в Huntress Labs обнаруженный новый вирус.
Используя DoH, он получает IP-адреса хостов, входящих в состав вредоносной инфраструктуры.
Нам остается только надеяться, что в ближайшем будущем появятся инструменты, которые помогут выявлять вредоносную активность в зашифрованном трафике корпоративных сетей и предупреждать администраторов о потенциальных рисках.
Что дальше
Можно сделать вывод, что для повышения конфиденциальности необходимо использовать комплексный набор инструментов, в том числе VPN. Одного DNS-шифрования недостаточно, чтобы полностью скрыть историю просмотров.Однако технологии DNS-over-HTTPS и DNS-over-TLS можно рассматривать как еще один важный шаг на пути к безопасному Интернету.
Что еще почитать по теме:
- Что лучше — x86 или ARM?
- На что перейти после ACCEL-PPP
- DNS over HTTPS – безопасность или сложность в работе
- P2P-протокол Dat — как он работает и кто им пользуется
- Технологии шифрования нового поколения: как они работают
Теги: #Сетевые технологии #ИТ-инфраструктура #Системное администрирование #ИТ-стандарты #Стандарты связи #DoH #DNS-over-HTTPS #эксперты vas #эксперты vas #dns over tls
-
Я Хочу Подарок От Google
19 Oct, 24 -
Проблемы Округления В Css
19 Oct, 24 -
Css3-Калькулятор
19 Oct, 24
