Неосознанный DNS через HTTPS (ODoH): попытка улучшить конфиденциальность DNS

Система доменных имен или DNS — это децентрализованная система именования для всех различных веб-сайтов, существующих в интернете. Это один из основных строительных блоков интернета, который существует более трех десятилетий. На протяжении этого времени система подвергалась критике, с обоснованными аргументами, касающимися реализации и проблем конфиденциальности, которые она вызывает. В результате было сделано несколько попыток решить эти проблемы.

Одной из таких попыток — и очень недавней — является введение протокола DNS через HTTPS (DoH), который обещает обеспечить безопасность DNS-коммуникации, передавая ее в зашифрованном виде. Хотя DoH выглядит многообещающим в теории и решает одну из проблем с DNS, он непреднамеренно поднимает другую проблему на свет. Чтобы исправить это, у нас теперь есть еще один новый протокол, называемый Неосознанный DNS через HTTPS (ODoH), который был совместно разработан Cloudflare, Apple и Fastly. Неосознанный DoH в основном является расширением протокола DoH, которое отделяет DNS-запросы от IP-адресов (пользователя), чтобы предотвратить возможность DNS-резолвера знать, какие сайты посещает пользователь — подробнее об этом позже.

“ Что ODoH должен делать, так это отделять информацию о том, кто делает запрос, и что это за запрос,” сказал Ник Салливан, глава исследований Cloudflare, в блоге.

Неосознанный DNS через HTTPS (или ODoH)

Прежде чем перейти к тому, что такое ODoH, давайте сначала поймем, что такое DNS и, соответственно, DNS через HTTPS, а также ограничения, которые они представляют.

DNS (Система доменных имен)

Система доменных имен или DNS — это децентрализованная система ведения записей всех веб-сайтов в интернете. Вы можете рассматривать это как репозиторий (или телефонный справочник) для телефонных номеров, который содержит список абонентов и их соответствующих телефонных номеров.

С точки зрения интернета, DNS является критически важным элементом в создании системы, которая позволяет вам получить доступ к веб-сайту, просто введя его доменное имя, не требуя от вас запоминать его связанный IP (интернет-протокол) адрес. Благодаря этому вы можете ввести techpp.com в адресной строке, чтобы просмотреть этот сайт, не запоминая его IP-адрес, который может выглядеть как 103.24.1.167 [не наш IP]. Видите ли, именно IP-адрес необходим для установления соединения между вашим устройством и веб-сайтом, к которому вы пытаетесь получить доступ. Но поскольку IP-адрес не так легко запомнить, как доменное имя, существует необходимость в DNS-резолвере, который преобразует доменные имена в их соответствующие IP-адреса и возвращает запрашиваемую веб-страницу.

Проблема с DNS

Хотя DNS упрощает доступ в интернет, у него есть несколько недостатков — самым большим из которых является отсутствие конфиденциальности (и безопасности), что создает риск для данных пользователей и оставляет их открытыми для просмотра со стороны интернет-провайдера или перехвата каким-либо злоумышленником в интернете. Причина, по которой это возможно, заключается в том, что DNS-коммуникация (DNS-запрос/ответ) не зашифрована, что означает, что она происходит в открытом виде и, следовательно, может быть перехвачена кем угодно посередине (между пользователем и интернет-провайдером).

DoH (DNS через HTTPS)

Как уже упоминалось, протокол DNS через HTTPS (DoH) был введен для решения этой (безопасности) проблемы DNS. В основном, что делает протокол, так это то, что вместо того, чтобы позволять DNS-коммуникации — между клиентом DoH и резолвером на основе DoH — происходить в открытом виде, он использует шифрование для обеспечения безопасности коммуникации. Делая это, он управляет безопасностью доступа пользователей в интернет и снижает риски атак типа «человек посередине» — в некоторой степени.

Проблема с DoH

Хотя DoH решает проблему незащищенной коммуникации через DNS, он поднимает проблему конфиденциальности — о том, что поставщик DNS-сервиса полностью контролирует ваши сетевые данные. Поскольку поставщик DNS выступает в качестве посредника между вами и веб-сайтом, к которому вы получаете доступ, он хранит запись вашего IP-адреса и DNS-сообщений. Таким образом, это вызывает две проблемы. Во-первых, это оставляет единую сущность с доступом к вашим сетевым данным — позволяя резолверу связывать все ваши запросы с вашим IP-адресом, и во-вторых, из-за первой проблемы это оставляет коммуникацию подверженной единой точке отказа (атаки).

Протокол ODoH и его работа

Последний протокол, ODoH, совместно разработанный Cloudflare, Apple и Fastly, направлен на решение проблемы централизации с протоколом DoH. Для этого Cloudflare предлагает, чтобы новая система отделяла IP-адреса от DNS-запросов, чтобы ни одна единая сущность, кроме пользователя, не могла одновременно видеть обе части информации.

ODoH решает эту проблему, внедряя два изменения. Он добавляет уровень шифрования с открытым ключом и сетевой прокси между клиентом (пользователем) и сервером DoH. Делая это, он утверждает, что гарантирует, что только пользователь имеет доступ как к DNS-сообщениям, так и к IP-адресам в одно и то же время.

В двух словах, ODoH действует как расширение протокола DoH, которое направлено на достижение следующего:

i. предотвратить резолвер DoH от знания, какой клиент запрашивает какие доменные имена, перенаправляя запросы через прокси, чтобы удалить адреса клиентов,

ii. предотвратить прокси от знания содержимого запросов и ответов, и удерживать резолвер от знания адресов клиентов, шифруя соединение в слоях.

Поток сообщений с ODoH

Чтобы понять поток сообщений с ODoH, рассмотрим рисунок выше, на котором прокси-сервер находится между клиентом и целевым сервером. Как вы можете видеть, когда клиент запрашивает запрос (например, example.com), тот же запрос отправляется на прокси-сервер, который затем пересылает его на целевой сервер. Целевой сервер получает этот запрос, расшифровывает его и генерирует ответ, отправляя запрос на (рекурсивный) резолвер. На обратном пути целевой сервер шифрует ответ и пересылает его на прокси-сервер, который затем отправляет его обратно клиенту. Наконец, клиент расшифровывает ответ и получает ответ на свой запрашиваемый запрос.

В этой настройке коммуникация — между клиентом и прокси, а также между прокси и целевым сервером — происходит через HTTPS, что добавляет безопасности коммуникации. Не только это, вся DNS-коммуникация, происходящая через оба HTTPS-соединения — клиент-прокси и прокси-цель — зашифрована от конца до конца, так что прокси не имеет доступа к содержимому сообщения. Однако, несмотря на это, хотя конфиденциальность и безопасность пользователей обеспечиваются в этом подходе, гарантия того, что все функционирует так, как предполагается, сводится к конечному условию — прокси и целевой сервер не сговариваются. И поэтому компания утверждает, что “пока нет сговора, злоумышленник может добиться успеха только в том случае, если и прокси, и цель скомпрометированы.”

Согласно блогу Cloudflare, вот что гарантирует шифрование и проксирование:

i. Целевой сервер видит только запрос и IP-адрес прокси.

ii. Прокси не имеет видимости в DNS-сообщения, не имея возможности идентифицировать, читать или изменять как запрос, отправляемый клиентом, так и ответ, возвращаемый целевым сервером.

iii. Только целевой сервер может читать содержимое запроса и производить ответ.

Доступность ODoH

Неосознанный DNS через HTTPS (ODoH) в настоящее время является лишь предложенным протоколом и должен быть одобрен IETF (Рабочей группой по интернет-инженерии), прежде чем он будет принят в интернете. Хотя Cloudflare утверждает, что на данный момент у него есть такие компании, как PCCW, SURF и Equinix в качестве партнеров по проксированию, чтобы помочь с запуском протокола, и что он добавил возможность принимать запросы ODoH на своем DNS-сервисе 1.1.1.1, правда в том, что, если веб-браузеры не добавят поддержку протокола на нативном уровне, вы не сможете его использовать. Поскольку протокол все еще находится на стадии разработки и тестируется на производительность через различные прокси, уровни задержки и цели. По этой причине может быть неразумно сразу же решать судьбу ODoH.

Основываясь на доступной информации и данных, протокол действительно кажется многообещающим для будущего DNS — при условии, что он сможет достичь той конфиденциальности, которую обещает, не жертвуя производительностью. Поскольку теперь очевидно, что DNS, играющий критическую роль в функционировании интернета, все еще страдает от проблем конфиденциальности и безопасности. И несмотря на недавнее добавление протокола DoH, который обещает повысить безопасность DNS, его принятие все еще кажется далеким из-за возникающих проблем конфиденциальности.

Но если ODoH сможет оправдать свои заявления в отношении конфиденциальности и производительности, его сочетание с DoH, работая в тандеме, может решить как проблемы конфиденциальности, так и безопасности DNS. И, в свою очередь, сделать его гораздо более приватным и безопасным, чем он есть сегодня.