Oblivious DNS over HTTPS (ODoH): попытка улучшить конфиденциальность DNS

Система доменных имен или DNS — это децентрализованная система именования для всех различных веб-сайтов, существующих в Интернете. Это один из основных строительных блоков Интернета, который существует уже более трех десятилетий. В течение этого периода система подвергалась критике с обоснованными аргументами в отношении реализации и проблем с конфиденциальностью, которые она влечет за собой. И в результате было предпринято несколько попыток решить эти проблемы.

Одним из таких предложений — и совсем недавним — является введение протокола DNS через HTTPS (DoH), который обещает защитить связь DNS, передавая ее в зашифрованном виде. Хотя DoH в теории выглядит многообещающе и ему удается решить одну из проблем с DNS, он непреднамеренно выявляет другую проблему. Чтобы исправить это, теперь у нас есть еще один новый протокол, называемый Oblivious DNS over HTTPS (ODoH), который был совместно разработан Cloudflare, Apple и Fastly. Oblivious DoH — это, по сути, расширение протокола DoH, которое отделяет DNS-запросы от IP-адресов (пользователя), чтобы препятствовать тому, чтобы преобразователь DNS знал сайты, которые посещает пользователь — своего рода [подробнее об этом позже].

« ODoH предназначен для разделения информации о том, кто делает запрос, и о том, что это за запрос », — сказал в блоге Ник Салливан, руководитель отдела исследований Cloudflare.

Забывчивый DNS через HTTPS (или ODoH)

Прежде чем сразу перейти к тому, что такое ODoH, давайте сначала разберемся, что такое DNS, а затем DNS через HTTPS, а также ограничения, которые они приносят.

DNS (система доменных имен)

Система доменных имен или DNS — это децентрализованная система ведения учета всех веб-сайтов в Интернете. Вы можете думать об этом как о хранилище (или телефонном справочнике) телефонных номеров, которое содержит список телефонных абонентов и их соответствующие телефонные номера.

С точки зрения Интернета, DNS является важным игроком в создании системы, которая позволяет вам получить доступ к веб-сайту, просто введя его доменное имя, не требуя, чтобы вы запоминали связанный с ним IP-адрес (протокол Интернета). Благодаря этому вы можете ввести techpp.com в поле адреса, чтобы просмотреть этот сайт, не запоминая его IP-адрес, который может выглядеть примерно так: 103.24.1.167 [не наш IP]. Видите ли, это IP-адрес, необходимый для установления соединения между вашим устройством и веб-сайтом, к которому вы пытаетесь получить доступ. Но поскольку IP-адрес не так легко запомнить, как доменное имя, необходимо, чтобы преобразователь DNS преобразовывал доменные имена в связанные с ними IP-адреса и возвращал запрошенную веб-страницу.

Проблема с ДНС

Хотя DNS упрощает доступ в Интернет, у него есть несколько недостатков, самым большим из которых является отсутствие конфиденциальности (и безопасности), что создает риск для пользовательских данных и оставляет их открытыми для просмотра провайдером или прослушивания некоторыми плохой парень в интернете. Причина, по которой это возможно, связана с тем, что связь DNS (DNS-запрос/запрос и ответ) не зашифрована, то есть происходит в виде обычного текста, и поэтому может быть перехвачена кем-либо посередине (между пользователем и провайдером). .

DoH (DNS через HTTPS)

Как упоминалось ранее, протокол DNS через HTTPS (DoH) был введен для решения этой проблемы (безопасности) DNS. По сути, протокол вместо того, чтобы позволить обмену данными DNS — между клиентом DoH и распознавателем на основе DoH — происходить в виде обычного текста, он использует шифрование для защиты связи. Таким образом, ему удается защитить доступ пользователей к Интернету и в некоторой степени снизить риск атак «человек посередине».

Проблема с ДоХ

В то время как DoH решает проблему незашифрованного обмена данными через DNS, он поднимает проблему конфиденциальности, связанную с предоставлением поставщику услуг DNS полного контроля над вашими сетевыми данными. Поскольку поставщик DNS выступает в качестве посредника между вами и веб-сайтом, к которому вы обращаетесь, он хранит запись вашего IP-адреса и сообщений DNS. В некотором смысле, это вызывает две озабоченности. Во-первых, он оставляет единую сущность с доступом к вашим сетевым данным, что позволяет распознавателю связать все ваши запросы с вашим IP-адресом, а во-вторых, из-за первой проблемы он оставляет связь подверженной единой точке отказа (атаке). .

Протокол ODoH и его работа

Последний протокол ODoH, совместно разработанный Cloudflare, Apple и Fastly, направлен на решение проблемы централизации с помощью протокола DoH. Для этого Cloudflare предлагает, чтобы новая система отделяла IP-адреса от DNS-запросов, чтобы ни один объект, кроме пользователя, не мог одновременно просматривать обе части информации.

ODoH решает эту проблему, внедряя два изменения. Он добавляет уровень шифрования с открытым ключом и сетевой прокси между клиентом (пользователем) и сервером DoH. Таким образом, он гарантирует, что только пользователь имеет доступ как к сообщениям DNS, так и к IP-адресам одновременно.

В двух словах, ODoH действует как расширение протокола DoH, целью которого является достижение следующего:

я. не дать распознавателю DoH узнать, какой клиент запросил какие доменные имена, направив запросы через прокси-сервер для удаления адресов клиентов,

II. запретить прокси-серверу знать содержимое запросов и ответов и не дать распознавателю узнать адреса клиентов, зашифровав соединение по уровням.

Поток сообщений с ODoH

Чтобы понять поток сообщений с ODoH, рассмотрите рисунок выше, на котором прокси-сервер находится между клиентом и целью. Как видите, когда клиент запрашивает запрос (например, example.com), то же самое отправляется прокси-серверу, который затем перенаправляет его на цель. Цель получает этот запрос, расшифровывает его и генерирует ответ, отправляя запрос (рекурсивному) распознавателю. На обратном пути цель шифрует ответ и пересылает его на прокси-сервер, который затем отправляет его обратно клиенту. Наконец, клиент расшифровывает ответ и получает ответ на запрошенный запрос.

В этом случае связь — между клиентом и прокси-сервером и прокси-сервером и целью — осуществляется через HTTPS, что повышает безопасность связи. Мало того, вся связь DNS, происходящая через оба соединения HTTPS — клиент-прокси и прокси-цель — полностью зашифрована, так что прокси не имеет доступа к содержимому сообщения. Тем не менее, несмотря на то, что при таком подходе заботятся как о конфиденциальности пользователя, так и о безопасности, гарантия того, что все работает так, как предлагается, сводится к конечному условию — прокси-сервер и целевой сервер не вступают в сговор. И поэтому компания предполагает, что «пока нет сговора, злоумышленник преуспевает только в том случае, если и прокси, и цель скомпрометированы».

Согласно блогу Cloudflare, вот что гарантируют шифрование и проксирование:

я. Цель видит только запрос и IP-адрес прокси.

II. Прокси-сервер не видит сообщения DNS и не может идентифицировать, читать или изменять ни запрос, отправляемый клиентом, ни ответ, возвращаемый целью.

III. Только предполагаемая цель может прочитать содержимое запроса и дать ответ.

Доступность ODoH

Oblivious DNS over HTTPS (ODoH) на данный момент является лишь предлагаемым протоколом и должен быть одобрен IETF (Internet Engineering Task Force), прежде чем он будет принят в Интернете. Несмотря на то, что Cloudflare предполагает, что на данный момент у него есть такие компании, как PCCW, SURF и Equinix, в качестве прокси-партнеров, которые помогут с запуском протокола, и что он добавил возможность принимать запросы ODoH в своей службе DNS 1.1.1.1. , в том-то и дело, что если веб-браузеры нативно не добавят поддержку протокола, вы не сможете его использовать. Поскольку протокол все еще находится в стадии разработки и тестируется на производительность на различных прокси, уровнях задержки и целях. По этой причине, возможно, не стоит сразу решать судьбу ODoH.

Основываясь на имеющейся информации и данных, протокол кажется многообещающим для будущего DNS — он позволяет достичь той конфиденциальности, которую обещает, без ущерба для производительности. Поскольку к настоящему времени совершенно очевидно, что DNS, играющая решающую роль в функционировании Интернета, по-прежнему страдает от проблем с конфиденциальностью и безопасностью. И, несмотря на недавнее добавление протокола DoH, который обещает улучшить аспект безопасности DNS, принятие все еще кажется далеким из-за проблем с конфиденциальностью, которые он вызывает.

Но если ODoH удастся оправдать свои требования в отношении конфиденциальности и производительности, его комбинация с DoH, работая в тандеме, может решить как проблемы конфиденциальности, так и проблемы безопасности DNS. И, в свою очередь, сделать его более приватным и безопасным, чем сегодня.