Содержание
12 распространенных сетевых протоколов и объяснение их функций
Гуннар Ассми — Fotolia
Характеристика
Артикул
1 из 6
Часть:
Основы компьютерных сетей
Работа в сети заставляет Интернет работать, но ни один из них не может быть успешным без протоколов. Общие сетевые протоколы и функции являются ключевыми для связи и подключения через Интернет.
По
- Микаэла Госс,
Редактор сайта
Без сетевых протоколов современный интернет перестал бы существовать.
Общие сетевые протоколы, включая протокол управления передачей (TCP) и интернет-протокол (IP), обеспечивают обмен информацией через Интернет и работают за кулисами настолько эффективно, что многие пользователи не задумываются о них или о том, как работает Интернет.
Сетевым специалистам очень важно знать и понимать сетевые протоколы. Но это не облегчает понимание этих протоколов.
Для начала в этом глоссарии рассматриваются 12 распространенных сетевых протоколов, с которыми должны быть знакомы все сетевые инженеры. Это включает в себя основные функции протоколов, а также то, почему эти общие сетевые протоколы важны.
Описание 12 распространенных сетевых протоколов
Протокол разрешения адресов . ARP преобразует IP-адреса в адреса управления доступом к среде (MAC) и наоборот, чтобы конечные точки локальной сети могли взаимодействовать друг с другом. ARP необходим, потому что IP- и MAC-адреса имеют разную длину: адреса IP версии 4 (IPv4) имеют длину 32 бита, адреса IPv6 — 128 бит, а MAC-адреса — физический аппаратный номер устройства — представляют собой 12 шестнадцатеричных цифр, разделенных на шесть пар. Переводы должны выполняться для правильной связи устройства.
ARP не требуется каждый раз, когда устройства пытаются установить связь, потому что узел локальной сети хранит преобразованные адреса в своем кэше ARP, поэтому этот процесс в основном используется, когда к сети подключаются новые устройства.
Узнайте, как работает ARP.
Протокол пограничного шлюза . BGP обеспечивает работу Интернета. Этот протокол маршрутизации контролирует, как пакеты проходят через маршрутизаторы в автономной системе (АС) — одной или нескольких сетях, управляемых одной организацией или провайдером, — и соединяются с разными сетями. BGP может соединять конечные точки в локальной сети друг с другом, а также может соединять конечные точки в разных локальных сетях друг с другом через Интернет.
Внешний BGP направляет сетевой трафик из различных AS в Интернет и наоборот. Кроме того, внутренний BGP направляет сетевой трафик между конечными точками в пределах одной AS.
На этой диаграмме синим цветом отмечены маршрутизаторы, использующие протокол BGP, что позволяет трафику проходить через сеть поставщика к клиенту или наоборот.
Система доменных имен . DNS — это база данных, которая включает доменное имя веб-сайта, которое люди используют для доступа к веб-сайту, и соответствующие ему IP-адреса, которые устройства используют для обнаружения веб-сайта. DNS переводит доменное имя в IP-адреса, и эти преобразования включены в DNS. Серверы могут кэшировать данные DNS, необходимые для доступа к веб-сайтам. DNS также включает в себя протокол DNS, который входит в пакет IP, и детализирует спецификации, которые DNS использует для преобразования и обмена данными.
DNS важен, потому что он может быстро предоставить пользователям информацию, а также доступ к удаленным хостам и ресурсам в Интернете.
Протокол динамической конфигурации хоста . DHCP назначает IP-адреса конечным точкам сети, чтобы они могли взаимодействовать с другими конечными точками сети по IP. Всякий раз, когда устройство подключается к сети с сервером DHCP в первый раз, DHCP автоматически назначает ему новый IP-адрес и продолжает делать это каждый раз, когда устройство перемещает местоположение в сети.
Когда устройство подключается к сети, происходит рукопожатие DHCP, при котором устройство и DHCP-сервер обмениваются данными. Устройство устанавливает соединение; сервер получает его и предоставляет доступные IP-адреса; устройство запрашивает IP-адрес; и сервер подтверждает это для завершения процесса.
Квитирование DHCP происходит, когда устройство первоначально подключается к сети.
Протокол передачи файлов . FTP — это клиент-серверный протокол, с помощью которого клиент запрашивает файл, а сервер предоставляет его. FTP работает поверх TCP/IP — набора коммуникационных протоколов — и требует канала команд и канала данных для связи и обмена файлами соответственно. Клиенты запрашивают файлы через командный канал и получают доступ к загрузке, редактированию и копированию файла, среди прочих действий, через канал данных.
FTP стал менее популярным, так как большинство систем начали использовать HTTP для обмена файлами.
Однако FTP является распространенным сетевым протоколом для более конфиденциального обмена файлами, например, в банковской сфере.
Протокол передачи гипертекста . Как и FTP, HTTP — это протокол обмена файлами, работающий по протоколу TCP/IP, хотя HTTP в основном работает через веб-браузеры и обычно узнаваем для большинства пользователей. Когда пользователь входит в домен веб-сайта и стремится получить к нему доступ, HTTP обеспечивает доступ. HTTP подключается к серверу домена и запрашивает HTML-код сайта, который представляет собой код, структурирующий и отображающий дизайн страницы.
Другой формой HTTP является HTTPS, что означает HTTP over Secure Sockets Layer или HTTP Secure. HTTPS может шифровать HTTP-запросы и веб-страницы пользователя. Это обеспечивает большую безопасность для пользователей и может предотвратить распространенные угрозы кибербезопасности, такие как атаки «человек посередине».
На этой диаграмме показано, как HTTP предоставляет пользователям доступ к различным компонентам домена веб-сайта.
Интернет-протокол . IP работает аналогично почтовой службе. Когда пользователи отправляют и получают данные со своего устройства, данные объединяются в пакеты, похожие на письма с двумя IP-адресами: один для отправителя и один для получателя. После того, как пакет покидает отправителя, он направляется к шлюзу, подобно почтовому отделению, который направляет его в нужном направлении. Пакеты продолжают проходить через шлюзы, пока не достигнут пункта назначения.
IP обычно сочетается с TCP для формирования TCP/IP, общего набора интернет-протоколов. Вместе IP отправляет пакеты адресатам, а TCP упорядочивает пакеты в правильном порядке, поскольку IP иногда отправляет пакеты не по порядку, чтобы обеспечить максимально быстрое перемещение пакетов.
Сначала открыть кратчайший путь . OSPF работает с IP при отправке пакетов адресатам. IP направлен на отправку пакетов по кратчайшему маршруту, для чего и предназначен OSPF.
OSPF сначала открывает кратчайший или самый быстрый путь для пакетов. Он также обновляет таблицы маршрутизации — набор правил, которые контролируют, куда перемещаются пакеты — и предупреждает маршрутизаторы об изменениях в таблице маршрутизации или сети, когда происходит изменение.
OSPF подобен и поддерживает протокол маршрутной информации, который направляет трафик в зависимости от количества переходов, которые он должен пройти по маршруту, а также заменил протокол RIP во многих сетях. OSPF был разработан как более оптимизированная и масштабируемая альтернатива RIP. Например, RIP отправляет обновленные таблицы маршрутизации каждые 30 секунд, в то время как OSPF отправляет обновления только при необходимости и вносит обновления в конкретную часть таблицы, где произошло изменение.
RIP помогает определить, что путь через маршрутизатор C приводит к меньшему количеству переходов к месту назначения трафика. RIP и OSPF функционируют аналогично друг другу.
Простой протокол передачи почты . SMTP — самый популярный протокол электронной почты, входящий в набор TCP/IP и управляющий тем, как почтовые клиенты отправляют сообщения электронной почты пользователей. Почтовые серверы используют SMTP для отправки сообщений электронной почты от клиента на почтовый сервер на принимающий почтовый сервер. Однако SMTP контролирует не то, как клиенты электронной почты получают сообщения, а только то, как клиенты отправляют сообщения.
Тем не менее, SMTP требует других протоколов для правильной отправки и получения сообщений электронной почты. SMTP может работать с почтовым протоколом 3 или протоколом доступа к сообщениям в Интернете, которые контролируют, как сервер электронной почты получает сообщения электронной почты.
Телнет . Telnet предназначен для удаленного подключения и устанавливает соединения между удаленной конечной точкой и хост-компьютером для обеспечения удаленного сеанса.
Telnet предлагает пользователю удаленной конечной точки войти в систему и после аутентификации предоставляет конечной точке доступ к сетевым ресурсам и данным на хост-компьютере.
Telnet существует с 1960-х годов и, возможно, был первым проектом современного Интернета. Однако в Telnet отсутствуют сложные средства защиты, необходимые для современных коммуникаций и технологий, поэтому он больше не используется.
Протокол управления передачей . TCP — это вторая половина TCP/IP, которая упорядочивает пакеты в таком порядке, чтобы IP мог их доставить. В частности, TCP нумерует отдельные пакеты, потому что IP может отправлять пакеты к месту назначения по разным маршрутам и получать их не по порядку, поэтому TCP исправляет это до того, как IP доставляет пакеты.
TCP также обнаруживает ошибки в процессе отправки, в том числе отсутствие каких-либо пакетов в соответствии с системой нумерации TCP, и требует от IP повторной передачи этих пакетов, прежде чем IP доставит данные по назначению.
С помощью этого процесса пакет TCP/IP управляет связью через Интернет.
Откройте для себя ключевые различия между распространенными сетевыми протоколами TCP и UDP.
Протокол дейтаграмм пользователя . UDP является альтернативой TCP и также работает с IP для передачи чувствительных ко времени данных. UDP обеспечивает передачу данных с малой задержкой между интернет-приложениями, поэтому этот протокол идеально подходит для передачи голоса по IP или других требований к аудио и видео. В отличие от TCP, UDP не ожидает прибытия всех пакетов и не организует их. Вместо этого UDP передает все пакеты, даже если некоторые из них еще не прибыли.
UDP передает исключительно пакеты, в то время как TCP передает, организует и обеспечивает получение пакетов. Хотя UDP работает быстрее, чем TCP, он менее надежен.
Следующие шаги
BGP и OSPF: когда использовать каждый протокол
Введение в инкапсуляцию и декапсуляцию в сети
Последний раз это было опубликовано в августе 2020 г.
Копать глубже в сетевой инфраструктуре
Роль разрешения имен в сети
Автор: Дэймон Гарн
BGP (протокол пограничного шлюза)
Автор: Джон Берк
Протокол пользовательских дейтаграмм (UDP)
Автор: Линда Розенкранс
Протокол управления передачей (TCP)
Автор: Бен Луткевич
Часть: Основы компьютерных сетей
Статья 1 из 6
ПоискЕдиные Коммуникации
-
Услуги Carrier UCaaS расширяют преимущества облачной связиUCaaS становится все более популярным, поскольку операторы связи предоставляют пользователям более сложные и интегрированные пакеты.
Узнайте, почему это может сделать … -
Видео Zoom, предложения UCaaS приближаются к Teams, WebexZoom представила множество функций для своей платформы UCaaS на Zoomtopia, включая службы почты и календаря, а также неформальный …
-
Cisco добавляет дополнительную интеграцию Webex-Teams для гибридной работыПользователи Cisco Webex теперь имеют больше гибридных рабочих функций, включая новую доску и интеграцию с Teams, iPhone и iPad …
Узнайте, почему это может сделать …ПоискMobileComputing
-
Вопросы и ответы Jamf: как упрощенная регистрация BYOD помогает ИТ-специалистам и пользователямРуководители Jamf на JNUC 2022 делятся своим видением будущего с упрощенной регистрацией BYOD и ролью iPhone в …
-
Jamf приобретет ZecOps для повышения безопасности iOSJamf заплатит нераскрытую сумму за ZecOps, который регистрирует активность на устройствах iOS для выявления потенциальных атак.
Компании ожидают … -
Apple преследует растущий премиальный рынок с iPhone 14Apple переключила свое внимание на смартфоны премиум-класса в новейшей линейке iPhone 14 с такими функциями, как режим блокировки, который IT …
Компании ожидают …SearchDataCenter
-
Недорогие суперкомпьютеры HPE нацелены на рынок искусственного интеллектаHPE выпускает недорогие суперкомпьютеры, предназначенные для обработки сложных рабочих нагрузок на основе ИИ. Dell надеется встретиться со своим давним конкурентом в …
-
Серверы Dell PowerEdge следующего поколения предназначены для рабочих нагрузок HPCПоследнее поколение серверов Dell PowerEdge, оснащенное процессором AMD EPYC, в два раза быстрее, чем предыдущее поколение, с …
-
Включите VXLAN в центры обработки данных для повышения скорости сети
СетиVXLAN обеспечивают изоляцию сети и позволяют организациям более эффективно масштабировать сети центров обработки данных.
Рассмотрите VXLAN для расширения…
Рассмотрите VXLAN для расширения…SearchITChannel
-
Партнерская экосистема VMware задействована для ускорения облачных проектовVMware расширяет связи с глобальными системными интеграторами и другими партнерами, поскольку ищет ресурсы, чтобы помочь заказчикам …
-
Облачная экономика остывает, но сделки с ИТ-услугами продолжаютсяОсторожные расходы клиентов замедляют рост более широкого рынка облачных вычислений. Но поставщики ИТ-услуг продолжают заниматься слияниями и поглощениями для…
-
Отчет Capital One по машинному обучению указывает на партнерствоИсследование лиц, принимающих решения в области управления данными, предполагает, что совместная работа будет играть важную роль в развитии корпоративных машин …
DNS-over-HTTPS создает больше проблем, чем решает, говорят эксперты
Протокол DNS-over-HTTPS (DoH) не является панацеей конфиденциальности, которую многие отстаивали в последние месяцы.
См. также
- 10 опасных уязвимостей приложений, на которые стоит обратить внимание (бесплатный PDF)
Если прислушаться к мнению экспертов по сетям и кибербезопасности, протокол несколько бесполезен и вызывает больше проблем, чем исправляет, и критика в адрес DoH и тех, кто продвигает его как жизнеспособный метод сохранения конфиденциальности, нарастает.
TL;DR заключается в том, что большинство экспертов считают DoH нехорошим, и люди должны сосредоточить свои усилия на внедрении более эффективных способов шифрования трафика DNS, таких как DNS-over-TLS, а не на DoH.
Что такое DoH и краткая история
Протокол DNS-over-HTTPS является недавним изобретением. Он был создан несколько лет назад и был предложен в качестве интернет-стандарта в октябре прошлого года (IETF RFC8484). Он уже поддерживается на Android, и в этом году его планируется внедрить в Mozilla Firefox и Google Chrome.
Сам протокол работает, изменяя принцип работы DNS.
До сих пор DNS-запросы выполнялись в виде открытого текста от приложения к DNS-серверу с использованием настроек DNS локальной операционной системы, полученных от ее сетевого провайдера — обычно поставщика интернет-услуг (ISP).
DoH меняет эту парадигму. DoH шифрует DNS-запросы, которые маскируются под обычный HTTPS-трафик — отсюда и название DNS-over-HTTPS. Эти запросы DoH отправляются на специальные DNS-серверы с поддержкой DoH (называемые преобразователями DoH), которые разрешают запрос DNS внутри запроса DoH и отвечают пользователю также в зашифрованном виде.
Из-за всего вышеперечисленного компании и организации, которые имеют продукты с поддержкой DoH, рекламируют DoH как способ помешать интернет-провайдерам отслеживать веб-трафик пользователей и как способ обойти цензуру в деспотичных странах.
Но многие ученые люди говорят, что это ложь. Несколько экспертов в области сетей и кибербезопасности публично раскритиковали некоторые утверждения, связанные с DoH, и попытки распространить его практически повсеместно.
Они говорят, что DoH — это не волшебное лекарство от конфиденциальности пользователей, которое некоторые компании продвигают в своих маркетинговых усилиях, чтобы повысить свой имидж организаций, заботящихся о конфиденциальности.
Эксперты говорят, что эти компании безответственно продвигают недоработанный протокол, который на самом деле не защищает пользователей и создает больше проблем, чем решает, особенно в корпоративном секторе.
В некоторых случаях реакция на помазание DoH как основного решения по сохранению конфиденциальности была откровенно едкой. Критики нанесли удар по протоколу на разных равнинах, которые мы попытаемся систематизировать и классифицировать ниже:
- DoH на самом деле не препятствует отслеживанию пользователей интернет-провайдерами
- DoH создает хаос в корпоративном секторе
- DoH ослабляет кибербезопасность
- DoH помогает преступникам
- DoH не следует рекомендовать диссидентам
- DoH централизует DNS-трафик на нескольких преобразователях DoH
предотвратить отслеживание пользователей интернет-провайдерами
Один из основных моментов, о котором сторонники DoH болтали в прошлом году, заключается в том, что DoH не позволяет интернет-провайдерам отслеживать DNS-запросы пользователей и, следовательно, не позволяет им отслеживать привычки пользователей в веб-трафике.
Да. DoH не позволяет интернет-провайдеру просматривать DNS-запросы пользователя.
Однако DNS — не единственный протокол, используемый при просмотре веб-страниц. Есть еще бесчисленное множество других точек данных, которые интернет-провайдеры могут отслеживать, чтобы знать, куда идет пользователь. Любой, кто говорит, что DoH мешает интернет-провайдерам отслеживать пользователей, либо лжет, либо не понимает, как работает веб-трафик.
Если пользователь получает доступ к веб-сайту, загруженному через HTTP, использование DoH бессмысленно, поскольку интернет-провайдер все равно будет знать, к какому URL-адресу обращается пользователь, просто просматривая открытые HTTP-запросы.
Но это также верно, даже если пользователи обращаются к веб-сайтам HTTPS. Интернет-провайдеры будут знать, к какому сайту подключается пользователь, потому что протокол HTTPS не идеален, а некоторые части соединения HTTPS не зашифрованы.
Эксперты говорят, что DoH не причинит неудобств интернет-провайдерам, потому что они могут легко просматривать эти незашифрованные части HTTPS, такие как поля SNI и соединения OCSP.
DoH шифрует абсолютно нулевые данные, которых еще нет в незашифрованном виде. В нынешнем виде использование DoH обеспечивает только *дополнительные* утечки данных. SNI, IP-адреса, OCSP и оставшиеся HTTP-соединения по-прежнему обеспечивают остальное. Это фальшивая конфиденциальность в 2019 году.
— Берт Хьюберт 🇪🇺 (@PowerDNS_Bert) 22 сентября 2019 г.
Кроме того, интернет-провайдеры в любом случае знают все о трафике каждого. По замыслу они могут видеть, к какому IP-адресу подключается пользователь при доступе к веб-сайту.
Этот IP-адрес нельзя скрыть. Знание конечного IP-адреса позволяет узнать, к какому веб-сайту подключается пользователь, даже если весь его трафик зашифрован. Исследование, опубликованное в августе этого года, показало, что третья сторона может определить с точностью 95%, к каким веб-сайтам подключались пользователи, просто взглянув на IP-адреса.
Любые заявления о том, что DoH мешает интернет-провайдерам отслеживать пользователей, неискренни и вводят в заблуждение, утверждают эксперты.
DoH просто доставляет неудобства интернет-провайдерам, закрывая им глаза на один вектор, но у них все еще есть много других.
DoH обходит корпоративные политики
Вторым основным предметом обсуждения является влияние DoH на корпоративный сектор, где системные администраторы используют локальные DNS-серверы и программное обеспечение на основе DNS для фильтрации и мониторинга локального трафика, чтобы предотвратить доступ пользователей к сайтам, не связанным с работой. и вредоносные домены.
Для предприятий DoH был кошмаром с тех пор, как он был предложен. DoH в основном создает механизм для перезаписи централизованно установленных настроек DNS и позволяет сотрудникам использовать DoH для обхода любых решений фильтрации трафика на основе DNS.
Поскольку современные DNS-серверы не поддерживают запросы DoH, приложения, которые в настоящее время поддерживают DoH, поставляются со списками жестко запрограммированных серверов DoH, эффективно отделяя DoH от обычных настроек DNS операционной системы (нет-нет, большой дизайн программного обеспечения, который разозлил некоторых разработчиков).
уже, например, команда OpenDNS).
Системные администраторы должны следить за настройками DNS в операционных системах, чтобы предотвратить атаки перехвата DNS. Наличие сотен приложений с собственными уникальными настройками DoH — это кошмар, поскольку это делает практически невозможным мониторинг перехвата DNS.
Кроме того, трафик на определенные домены блокируется по определенной причине внутри предприятий.
Как только DoH станет широко доступным, он станет любимым методом обхода корпоративных фильтров для доступа к контенту, который обычно блокируется на их рабочих местах.
Некоторые могут использовать его для доступа к сайтам потокового кино или контенту для взрослых, но после включения DoH остается включенным, и сотрудники могут также случайно посетить вредоносные и фишинговые сайты, что подводит нас к следующему пункту…
DoH ослабляет кибер- security
Многие эксперты говорят, что протокол переворачивает с ног на голову сотни решений кибербезопасности, которые станут бесполезными, как только пользователи начнут использовать DoH в своих браузерах, закрывая инструменты безопасности от наблюдения за действиями пользователей.
И было много экспертов, которые предупреждали об этой проблеме, чьи голоса были заглушены теми, кто утверждал, что DoH — величайшая вещь после нарезанного хлеба.
«Когда протокол DNS зашифрован, организация больше не может использовать данные запроса DNS (тип запроса, ответ, исходный IP-адрес и т. д.), чтобы узнать, пытается ли пользователь получить доступ к известному плохому домену, не говоря уже о блокировке. или перенаправить действия на него», — сказал Эндрю Верткин, директор по стратегии BlueCat, по электронной почте ZDNet ранее на этой неделе.
Rfc 8484 — это кластерная утка для интернет-безопасности. Извините, что дождь на вашем параде. Заключенные захватили приют.
— Пол Викси (@paulvixie) 20 октября 2018 г.
DNS через HTTPS #DoH — это определенно вещь. Я думаю, что это нетривиально повлияет на мониторинг и обнаружение сетевой безопасности. #dailypcap
Довольно прямолинейно, но некоторые хорошие показания:
1) https://t.
2) https://t.co/vDOWEHbBog
3) https://t.co/hNnvLYGKdn рис. twitter.com/AEgM5H9wui— Стив Миллер (@stvemillertime) 24 октября 2018 г.
co/RnSito66aK В документе, опубликованном в прошлом месяце Институтом SANS, одной из крупнейших в мире организаций по обучению кибербезопасности, говорится, что «беспрецедентное использование зашифрованных DNS , особенно DNS через HTTPS, может позволить злоумышленникам и инсайдерам обойти организационный контроль».
Аналогичное предупреждение было повторено в эту пятницу, 4 октября, в бюллетене по безопасности, выпущенном Национальным центром кибербезопасности Нидерландов. Официальные лица Нидерландов предупредили, что организации, использующие решения для мониторинга безопасности на основе DNS, «вероятно, со временем увидят, что их видимость уменьшится», и эти продукты безопасности станут неэффективными.
«Тенденция безошибочна: мониторинг DNS станет сложнее», — заявило голландское агентство.
Компаниям следует рассмотреть альтернативные методы блокировки исходящего трафика, решения, которые не полагаются только на данные DNS. Институт SANS призывает организации не паниковать, но это повлечет за собой финансовые затраты и время на обновление систем, чего многие организации не захотят делать.
И делать это нужно быстро, так как авторы вредоносных программ тоже уже поняли, насколько полезным может быть DoH. Например, в июле появились новости о первом вредоносном ПО, которое использовало DoH для связи со своим сервером управления и контроля без помех с помощью решений для мониторинга локальной сети.
Но исследователи безопасности и администраторы предприятий не глупы. Они также понимают необходимость защиты DNS-запросов от посторонних глаз.
Однако, если бы это зависело от них, они бы выступили за использование DNSSEC и DNS-over-TLS (DoT), протокола, похожего на DoH, но полностью шифрующего DNS-соединение, а не скрывающего DNS-трафик внутри HTTPS. .
DoH — это чрезмерный обход корпоративных и других частных сетей. Но DNS является частью уровня управления, и сетевые операторы должны иметь возможность отслеживать и фильтровать его.
— Пол Викси (@paulvixie) 21 октября 2018 г.
DoH — неудачный ответ на сложную проблему. Я лично предпочитаю DoT (DNS вместо TLS). Передача функции уровня ОС, такой как разрешение имен, в руки приложения через DoH — плохая идея. Посмотрите, что @paulvixie пишет для наиболее информированного комментария.
— Ричард Бейтлих (@taosecurity) 10 сентября 2019 г.
DoT имеет некоторые из тех же недостатков, что и DoH, но если исследователям безопасности придется выбирать между DoH и DoT, последнее вызовет гораздо меньше головной боли, поскольку оно будет работать поверх существующей инфраструктуры DNS, а не создавать собственный класс распознавателей с поддержкой DoH.
«Все основные интернет-провайдеры, развертывающие DoT, и основные операционные системы (ОС), поддерживающие DoT, значительно помогут улучшить конфиденциальность и безопасность, а также сохранить децентрализацию», — сказал Шреяс Заре, создатель DNS-сервера Technitium, который резюмировал влияние DoH на корпоративный сектор в сообщении в блоге в прошлом месяце.
DoH также обходит законные черные списки, а не только цензуру
Еще одним важным моментом, говорящим о DoH, была его способность обходить черные списки на основе DNS, созданные репрессивными правительствами. Используя DoH, пользователи могут обходить брандмауэры на основе DNS, которые были настроены на национальном уровне или на уровне интернет-провайдера, обычно с целью онлайн-цензуры и предотвращения доступа пользователей к политически чувствительному контенту.
Проблема в том, что DoH также обходит черные списки на основе DNS, созданные по законным причинам, например, против доступа к веб-сайтам, посвященным жестокому обращению с детьми, террористическому контенту и веб-сайтам с украденными материалами, защищенными авторским правом.
Вот почему и Mozilla, и Google недавно оказались в затруднительном положении с властями Великобритании и США.
В середине мая баронесса Торнтон, член парламента от Лейбористской партии, упомянула о протоколе DoH и его предстоящей поддержке со стороны производителей браузеров на заседании Палаты общин, назвав его угрозой онлайн-безопасности Великобритании.
GCHQ, британская разведывательная служба, также подвергла критике Google и Mozilla, утверждая, что новый протокол будет препятствовать полицейским расследованиям и что он может подорвать существующую государственную защиту от вредоносных веб-сайтов, предоставив злоумышленникам способ обойти его системы интернет-наблюдения. .
The Internet Watch Foundation (IWF), британская наблюдательная группа, заявленная миссия которой — свести к минимуму доступность онлайн-контента с сексуальными надругательствами над детьми, также подвергла критике Google и Mozilla, заявив, что производители браузеров разрушили многолетнюю работу по защите британского общества. от оскорбительного контента, предоставив новый метод доступа к нелегальному контенту.
В июле британский интернет-провайдер номинировал Mozilla на награду «Интернет-злодей 2019 года» за ее планы по поддержке DoH, ссылаясь на те же причины, что и IWF.
В сентябре Судебный комитет Палаты представителей США начал расследование планов Google по включению DoH, утверждая, что поддержка DoH «может в массовом порядке мешать критически важным функциям Интернета, а также вызывать проблемы конкуренции за данные».
Когда Google и Mozilla объявили о планах поддержки DoH в качестве решения для борьбы с цензурой, все ожидали сопротивления со стороны репрессивных режимов, таких как Китай, Иран или Россия; тем не менее, сопротивление пришло из самых неожиданных мест.
А Mozilla уже сломалась под давлением. В июле организация сообщила ZDNet, что больше не планирует включать DoH по умолчанию для пользователей из Великобритании. Google, с другой стороны, заявил, что разработал поддержку DoH в Chrome таким образом, что ответственность ложится исключительно на компании, предоставляющие DNS-серверы с альтернативными преобразователями DoH.
DoH не следует рекомендовать диссидентам
И еще одна серьезная проблема, с которой сталкивается большинство экспертов по безопасности в связи с DoH, — недавние заявления о том, что она может помочь тем, кто живет в деспотических странах.
Эти заявления были широко высмеяны, а некоторые эксперты по безопасности назвали сторонников DoH безответственными за то, что подвергают жизни людей риску, создавая у них ложное чувство безопасности, если они используют DoH.
Это связано с тем, что DoH не защищает пользователей от отслеживания. Как было объяснено выше, DoH скрывает только DNS-трафик, но все остальное остается видимым.
В сообщении в блоге, опубликованном в прошлом месяце, PowerDNS описал усилия по продвижению идеи о том, что DoH может помочь пользователям в опасных странах, как «очень технологичный шаг», исходящий от людей, которые не полностью понимают ситуацию.
«Важно рассматривать DoH как «частичный VPN», который шифрует только пакеты DNS, но оставляет все остальные пакеты без изменений», — говорится в сообщении PowerDNS.
Вместо этого такие эксперты, как Zare и PowerDNS, рекомендуют пользователям в репрессивных странах использовать приложения с поддержкой DoH в сочетании с Tor или VPN, а не использовать только DoH. Говорить людям, что они могут полностью положиться на DoH, просто вводит в заблуждение.
DoH централизует DNS-трафик на нескольких преобразователях DoH
И существует проблема влияния DoH на всю экосистему DNS, децентрализованную сеть серверов.
Самым большим критиком этого шага был Азиатско-Тихоокеанский сетевой информационный центр (APNIC), который в своем блоге на этой неделе раскритиковал идею отправки трафика DoH на несколько распознавателей DoH вместо использования существующей экосистемы DNS-серверы.
Они утверждают, что шифрование DNS-трафика должно выполняться в текущей инфраструктуре, а не создавать еще один (бесполезный) уровень преобразователей DoH, который затем размещается поверх существующего уровня DNS.
«Централизованное DoH в настоящее время негативно влияет на конфиденциальность, поскольку любой, кто может видеть ваши метаданные, может по-прежнему видеть ваши метаданные, когда DNS передается третьей стороне», — сказал APNIC. «Кроме того, эта третья сторона затем получает полный журнал всех DNS-запросов для каждого устройства таким образом, что его можно даже отследить по IP-адресам».
«Шифрование DNS — это хорошо, но если бы это можно было сделать без привлечения дополнительных сторон, было бы лучше», — добавил APNIC.