Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.08.2021

Firma Fortinet rozszerzyła...

Firma Fortinet rozszerzyła ofertę o usługę FortiTrust, która dołączyła do innych usług...
26.08.2021

Aplikacje biznesowe

Ready_™ AppStore
26.08.2021

Automatyzacja chmur...

Integracja z Red Hat Ansible
26.08.2021

Backup kodu źródłowego

GitProtect.io dostępny na Github
26.08.2021

Wsparcie pracy hybrydowej

Zdalny SD WAN
26.08.2021

Nowy monitor Philips 498P9Z

Nowy monitor Philips 498P9Z to model wyposażony w 49-calowy, zakrzywiony panel VA o...
26.08.2021

Wytrzymały punkt dostępowy

D-Link DIS-2650AP
26.08.2021

Ekonomiczne dyski

SSD bez DRAM
26.08.2021

Petabajty pojemności

Serwery QNAP

DNS przez HTTPS

Data publikacji: 04-02-2021 Autor: Maciej Olanicki

Daleko idące zakusy regulatorów, aby posiąść większą kontrolę nad tym, kto i co ogląda w internecie, muszą w ten lub inny sposób znajdować swoje reakcje. Za jedną z nich można uznać wzrost zainteresowania producentów oprogramowania i dostawców kluczowych usług internetowych szyfrowaniem połączeń z czymś tak elementarnym dla funkcjonowania sieci jak Domain Name System.

 

W tym roku miną trzy lata od uruchomienia 1.1.1.1 – serwera DNS utrzymywanego przez Cloudflare, lidera rynku dostawców CDN i firmy, bez której trudno sobie wyobrazić funkcjonowanie współczesnego internetu. Od początku 1.1.1.1 był przedstawiany jako DNS, który powstał po to, aby chronić prywatność użytkowników. Bez wątpienia dostawca chciał odróżnić swoją usługę od oferowanych przez Google 8.8.8.8 i 8.8.4.4. Mogło to być zachęcające, gdyż wobec Google już w momencie premiery Google Public DNS w 2009 roku wysuwano poważne zarzuty.


Według krytyków korporacja miała zdecydować się na taki krok, gdyż chciała zbierać dodatkowe informacje o ruchu sieciowym także poza swoimi domenami oraz umocnić pozycję internetowego lidera. Działo się to, gdy Chrome był na rynku zaledwie 14 miesięcy. Dziś korzysta z niego ok. 70% internautów, reklamowe skrypty AdWords masowo śledzą użytkowników pomiędzy witrynami, a większość z nas ma w kieszeni smartfon, który bez usług Google'a utraciłby lwią część swojej funkcjonalności – ówczesne wątpliwości okazały się więc całkiem uzasadnione.


Cloudflare, choć często sygnalizowano przyczynianie się firmy do nadmiernej centralizacji internetu, nie miało takiego wizerunkowego obciążenia jak Google, przez co prywatny, darmowy DNS spotkał się z dużym zainteresowaniem. Rzecz w tym, że cała jego „prywatność” zasadzała się na polityce prywatności, w której dostawca deklaruje, że nie będzie handlował danymi o ruchu, profilował użytkowników i żądał od nich jakichkolwiek danych osobowych, a ponadto zobowiązuje się do przeprowadzania regularnych audytów. Cloudflare uznało zatem, że 1.1.1.1 jest „prywatne”, gdyż sama firma zobowiązywała się nie naruszać prywatności, co trudno uznać za wysoko zawieszoną poprzeczkę. Rezultatem tej konstatacji było zaangażowanie się Cloudflare w popularyzację zaprezentowanego jeszcze w 2018 roku przez Internet Engineering Task Force standardu DNS-over-HTTPS, znanego także jako DoH.


Czas zaszyfrować DNS


Dodatkowa ochrona prywatności nie jest jedynym czynnikiem, który przyczynił się do intensyfikacji prac nad DNS-over-HTTPS. Nie bez znaczenia były wyzwania dotyczące bezpieczeństwa samych DNS-ów.
Do momentu popularyzacji DNSSEC nie istniała w zasadzie żadna gwarancja tego, że zawartość wyświetlona w przeglądarce użytkownika jest tożsama z treścią dostępną pod adresem, na który rozwiązała się domena. Atakujący, który z DNS-a uczynił swój serwer Command and Control, miał w zasadzie całkowitą kontrolę nad tym, jakie witryny (i jaki złośliwy kod) był serwowany użytkownikom w odpowiedzi na ich żądania. Dodajmy do tego brak skutecznych mechanizmów zapobiegania przed IP spoofingiem, DDoS-ami, typosquattingiem, zatruwaniem pamięci podręcznej czy takie kwiatki jak błąd Kaminsky’ego – nietrudno zdać sobie sprawę, że Domain Name System jest daleki od ideału. A przecież jest to protokół – można go więc w mniejszym lub większym stopniu doskonalić (choćby wspomniane rozszerzenie DNSSEC), ale nigdy zmieniać. Liczba awarii wynikających z późniejszych niekompatybilności sprawiłaby zapewne, że świat stanąłby w miejscu.


W takich okolicznościach narodziło się DNS-over-HTTPS – technologia szyfrowania ruchu żądań przesyłanych do serwerów DNS. I trzeba przyznać, że już od momentu narodzin, wręcz na poziomie koncepcyjnym, budziła ona spore kontrowersje.

 

[...]

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"