Система доменных имен (DNS) обеспечивает нам беспрепятственную работу в Интернете. Если бы этой полезной системы не существовало, нам пришлось бы каждый раз полностью вводить IP-адрес в браузер, чтобы открыть веб-сайт. Благодаря DNS достаточно известных и заметных URL-адресов. Однако до сих пор удобство быстрого открытия веб-страницы достигалось ценой безопасности. Благодаря DNS через TLS (DoT) опасность серфинга была значительно минимизирована. Как работает эта технология?
Зачем нам нужен DNS поверх TLS?
Система доменных имен — это практичная концепция, однако она была изобретена в то время, когда Интернет был еще намного меньше, и проблем с безопасностью было меньше, чем сегодня. Принцип работы DNS прост. Клиент (например, домашний компьютер) запрашивает правильный IP-адрес для доменного имени через сервер имен. Если домен является веб-сайтом, который ранее не посещался или пользователь недавно очистил свой кэш, устанавливается соединение через Интернет. Несмотря на свою практичность, этот метод позволяет хакерам перехватывать обмен данными между клиентом и сервером DNS, поскольку он в основном происходит без какого-либо шифрования.
Следовательно, интернет-преступники могут легко читать или манипулировать сообщениями между участниками соединения. В результате перехватываются запросы и отправляются неверные ответы. Такие атаки известны как перехват DNS. Во время атаки с перехватом DNS пользователи перенаправляются на сайты, которые они не открывали. В лучшем случае их заваливают рекламой. В худшем случае атака заражает устройство вредоносным ПО или пользователи становятся жертвами фишинговой атаки, позволяющей злоумышленникам собирать конфиденциальные данные пользователей.
Но хакеры не одиноки в использовании слабых мест DNS. Государственные органы и интернет-провайдеры иногда используют недостатки DNS для цензуры Интернета или определенных веб-страниц или перенаправления пользователей на страницы товаров. Используя зашифрованное соединение через DoT, пользователи могут защитить себя от преступной деятельности и обхода закона.
DNS через TLS поддерживается Целевой группой по разработке Интернета (IETF), которая описала эту технологию в RFC 7858.
Как работает DNS через TLS?
Протокол безопасности транспортного уровня (TLS) работает на самом высоком уровне стека протоколов TCP/IP и поэтому является неизменным компонентом Интернета и многих других сетей. Этот протокол наиболее известен в связи с HTTPS. TLS обеспечивает безопасность передачи данных от клиента к веб-серверу и, как ожидается, в будущем сделает обмен данными в DNS более безопасным.
При использовании DNS через TLS обмен данными происходит по зашифрованному каналу с использованием простого TCP-соединения и отдельного порта 853, который специально предназначен для обмена информацией о домене. Только два участника этого обмена могут разшифровать и обработать данные. Таким образом, атака «человек посередине» невозможна, поскольку злоумышленник не может обрабатывать данные.
Однако эта технология должна поддерживаться на стороне сервера и клиента. Несколько провайдеров в Интернете предлагают соответствующие DNS-серверы. Если используются старые ноутбуки или настольные ПК, то перед использованием DNS через TLS может потребоваться обновление программного обеспечения. Для Windows и Linux существуют соответствующие решения. Смартфоны под управлением последней версии Android уже могут использовать DNS по TLS.
TLS по-прежнему известен в основном как часть обозначения SSL. Однако протокол Secure Sockets Layer уже устарел.
Преимущества и недостатки DNS поверх TLS
Поскольку традиционный DNS не обеспечивает мер безопасности, с DoT ошибиться невозможно. Поскольку он использует шифрование, у интернет-преступников больше нет возможности использовать сервер для атаки. Аналогичным образом, правительства не могут цензурировать контент — по крайней мере, теоретически. Эксперты критикуют DNS по сравнению с TLS, поскольку он использует определенный порт. Хотя это гарантирует, что доступ пользователей к веб-сайтам невозможно отследить, сам DNS-запрос все равно остается видимым. Группы защиты частной жизни утверждают, что это создает проблему, в то время как сетевые администраторы считают это важной мерой для получения лучшего обзора деятельности в сети.
Еще одним недостатком DNS через TLS является то, что он все еще не получил широкого распространения. За исключением Android 9, все операционные системы должны быть сначала обновлены для обеспечения совместимости. Даже на стороне сервера эта технология (все еще) не так распространена. Хотя существует ряд провайдеров, они не так многочисленны, как можно было бы ожидать от традиционной DNS. В результате некоторые эксперты опасаются, что может возникнуть монополия. Многие серверы имен были предоставлены интернет-провайдерами, но теперь и другие компании могут самостоятельно консолидировать DNS-запросы.
DoT против DoH
Альтернативой DoT, обеспечивающей повышенную безопасность разрешения имен, является DNS через HTTPS (DoH). Оба решения обеспечивают зашифрованную связь, но используют разные порты. И как бы банально это ни звучало, это привело к глубокому разрыву между группами экспертов. В то время как DNS через TLS использует свой собственный порт, DoH использует порт 443, который используется для всех других HTTPS-соединений и означает, что DNS-запрос невозможно отличить от другого трафика при веб-серфинге.
С точки зрения защиты данных это имеет серьезные преимущества. Если DNS-запросы не распознаются, другие пользователи не могут попытаться их запретить. Однако некоторые сетевые администраторы обеспокоены тем, что они могут потерять контроль над сетевым трафиком и не смогут должным образом управлять коммуникациями.
Решения поддерживаются двумя лагерями. IETF — организация, занимающаяся постоянным развитием Интернета, — поддерживает DoT. IETF разрабатывает стандарты, которые во многих случаях могут быть подхвачены другими участниками сети. DNS через HTTPS, с другой стороны, поддерживается различными другими компаниями и организациями, включая Mozilla Foundation и Google.