О последствиях криптозащиты DNS-запросов

На этой неделе Microsoft объявила о поддержке в будущих обновлениях своей операционной системы Windows 10 протокола DNS over HTTPS (DoH), позволяющего шифровать запросы к DNS-серверам, подробности см., например, здесь. Microsoft объясняет инновацию тем, что сохранить децентрализацию DNS можно только в случае всеобщего принятия и использования протокола DoH, что и может быть обеспечено его поддержкой в Windows. Заявление Microsoft активно обсуждается в России: и специалистов, и обывателей прежде всего интересует, как поддержка DoH повлияет на исполнение закона об устойчивом Рунете. D-Russia.ru предлагает вашему вниманию текст нашего эксперта Александра Венедюхина.

Обычные клиентские компьютеры, а точнее — их операционные системы, используют для поиcка информации в DNS внешние серверы, называемые резолверами. Обычно это сервер, предоставленный в автоматическом режиме ближайшим провайдером доступа (интернет-провайдером). Иногда — общедоступный сервер, вроде хорошо известных 8.8.8.8 (Google) и 1.1.1.1 (Cloudflare), работу с которым пользователь должен настроить вручную. DNS-over-HTTPS — технология, защищающая пользовательский DNS-трафик на «последней миле», то есть на участке между компьютером пользователя и только что упомянутым резолвером (сервер, осуществляющий поиск в DNS).

Технология скрывает от третьей стороны, прослушивающей канал, содержание DNS-запросов и DNS-ответов. В самом простом случае таковыми будут доменное имя (запрос) и IP-адрес (ответ). Традиционно, в классической DNS, соответствующая информация передаётся в открытом виде. DNS-over-TLS (transport layer security, протокол криптозащищённой передачи данных – ред.) – это гораздо более технологичный вариант решения той же задачи, который, тем не менее, в контексте обычного пользователя Интернета можно считать аналогичным DNS-over-HTTPS (собственно, в этом последнем словосочетании, HTTPS – тоже работает через TLS).

Как технология «последней мили» DNS-over-HTTPS может поддерживаться всяким DNS-сервером (резолвером), а не только некоторыми избранными, но такую поддержку должен настроить оператор сервера. Согласно публикации Microsoft, корпорация собирается ввести поддержку DNS-over-HTTPS в клиентские операционные системы, что позволит использовать защищённый канал для работы с DNS. Однако речь пока не идёт о том, что в системных настройках всем будет принудительно установлен некий центральный сервер (например, принадлежащий Microsoft), который поддерживает DNS-over-HTTPS. (Полностью, конечно, такой вариант, как бы ни хотелось, исключать нельзя.)

Технология касается только обмена данными между компьютером пользователя и резолвером DNS, сама по себе она не способна повлиять на прохождение IP-трафика, как-то: позволить обойти «блокировки по IP», изменить маршруты трафика или сделать нечто подобное, что могло бы повлиять на независимость национального сегмента Сети. Это просто метод защиты DNS-трафика от просмотра. Более того, если взглянуть на проблему с другой стороны, ничто, в принципе, не мешает массово внедрить независимые резолверы DNS с поддержкой DNS-over-HTTPS и DNS-over-TLS внутри Рунета (и это было бы очень хорошим шагом) — соответственно, пользователи, при желании, смогут подключаться к ним.

Но есть и аспекты, в которых полный переход на защищённую работу с DNS играет ключевую роль и меняет расстановку сил. Во-первых, эти технологии позволят противодействовать подмене DNS-ответов на транзитных узлах, что нейтрализует попытки простой блокировки доступа, работающей на уровне DNS и перехватывающей ответы других DNS-серверов. Во-вторых, продвинутые системы инспекции трафика не смогут просматривать пользовательские DNS-запросы и, таким образом, обнаруживать в пассивном режиме IP-адреса и доменные имена «подозрительных ресурсов». Но оба этих аспекта имеют смысл только в том случае, если пользователь настроил некоторые «внешние DNS-серверы» в качестве резолверов для операционной системы, а не использует резолверы интернет-провайдера (последние полностью провайдером контролируются).

Кроме того, DNS-over-HTTPS обладает следующей особенностью: отличить здесь системный DNS-трафик от «обычного» HTTPS, по которому пользователи просматривают веб-сайты, весьма трудно, а это означает, что не удастся простым способом выборочно блокировать трафик, оставляя доступ к вебу, но отрезая DNS-ответы и DNS-запросы, которые идут внутри HTTPS. Тем не менее, открытые DNS-серверы, обслуживающие клиентов по DNS-over-HTTPS, могут быть выявлены активным сканированием, и их, конечно, можно заблокировать. Но делать это придётся по IP, то есть опять будут неприятные побочные эффекты. Особенно в том случае, если сервис DNS-over-HTTPS вдруг заработает, к примеру, на тех же IP-адресах, с которых Microsoft раздаёт обновления операционной системы. Или на IP-адресах google.com.

Об авторе: Александр Венедюхин, один из наиболее авторитетных в России экспертов, исследователь (dxdt.ru). 

ВАШ КОММЕНТАРИЙ:

Please enter your comment!
Please enter your name here