تعریف DNS بر روی HTTPS، پروتکل DNS بر روی TLSو توضیح ترافیک رمزگذاری DNS

منتشر‌شده در csoonline به تاریخ ۲۹ مارس ۲۰۲۱
لینک منبع DNS over HTTPS, DNS over TLS explained: Encrypting DNS traffic

پروتکل سیستم نام دامنه (DNS) که ستون فقرات اینترنت است، طی چند سال گذشته تحت یک سری اصلاحات و بهبود قرار گرفته است. فقدان حفاظت دقیق در مشخصات اصلیDNS و کشف ضعف‌های امنیتی در طول زمان، مانند اشکال ده‌ساله کامینسکی، ضمیمه‌های امنیت سیستم نام دامنه (DNSSEC) را در سال ۲۰۱۰ به وجود آورد.

دامنه DNSSEC برای ایجاد حفاظت رمزنگاری از طریق امضاهای دیجیتال ایجاد شد، به طوری که مشتریان DNS در سراسر جهان می‌توانند با اقتدار تایید کنند که پاسخDNS از یک سرور معتبر DNS می‌آید و اینکه پاسخ در حال انتقال تغییر نمی‌کند. پس برخی از شما ممکن است تعجب کنید که اگر DNSSEC می‌تواند به اندازه کافی امنیت را تامین کند، نیاز به DNS بر روی HTTPS و DNS بر رویTLS چیست؟

دامنه DNSSEC تنها اعتبار پاسخ‌های DNS و یکپارچگی داده‌ها را تضمین می‌کند اما حریم خصوصی را تضمین نمی‌کند. پروتکل‌هایی مانند DNS بر روی HTTPS (DoH) یا DNS بر رویTLS (DoT) رمزگذاری end-to-end را فراهم می‌کنند، بنابراین محرمانه بودن داده‌ها را تضمین می‌کنند. به عبارت دیگر ترافیک DNS شما در حال حاضر از رمزگذاری end-to-end به عنوان ترافیک وب شما به و از سایت‌های HTTPS بهره می‌برد.

مطالعه مقاله تفاوت HTTP و HTTPS توصیه می‌شود.

تعریف DNS در HTTPS چیست؟

به طور پیش‌فرض، پروتکل DNS روی پروتکل مجموعه داده کاربر(UDP) ، یک پروتکل لایه انتقال عمل می‌کند، اگرچه DNS نیز می‌تواند برای اجرای پروتکل کنترل انتقال(TCP) ساخته شود. DoH پیام‌های DNS رمزگذاری‌شده در HTTPS را برخلاف UDP سریع‌تر انتقال می‌دهد. از آنجا که HTTPS پروتکل HTTP در حال اجرا بر روی TLS (امنیت لایه حمل و نقل) است، DoH در واقع، DNS بر روی HTTP بر روی TLS است.

با DoH، هم پرسش‌های DNS و هم پاسخ‌هایDNS از طریق HTTPS منتقل می‌شوند و از پورت ۴۴۳ استفاده می‌کنند که این امر ترافیک را از سایر ترافیک وب HTTPS غیرقابل‌تشخیص می‌سازد. برای مثال، با استفاده از سرویس DoH گوگل می‌توانید حوزه CSOOnline.com را درست از طریق مرورگر وب خود حل کنید. نحوه تایپ کردن یکURL HTTPS در مرورگر شما برای حل نام دامنه در HTTPS شبیه به بازدید از هر وبسایت منظمی است که از SSL / TLS استفاده می‌کند.

پاسخ DNS که توسط گوگل برگشت، آدرس IP سرور CSO را نشان می‌دهد. در‌حالی‌که این واقعیت که شما از سرویس DoH گوگل استفاده می‌کنید ممکن است برای یک مدیر شبکه شناخته شود، با فرض این که یک پروکسی در نیدل شرکتی (MitM) بین شما و DoH گوگل وجود ندارد، هیچ‌کس نمی‌تواند مشخص کند که شما سعی دارید چه دامنه‌ای را جستجو کنید (CSO آنلاین) یا پاسخ به درخواست DNS شما (نتیجه Json)چیست. بنابراین، استفاده از DoH هم حریم خصوصی شما (محرمانه بودن اطلاعات) و هم یکپارچگی اطلاعات دریافتی را تضمین می‌کند - یعنی، پاسخ DNS در انتقال دستکاری نشده است.

تحویل DNS بر روی کانال رمزگذاری end-to-end نیز می‌تواند مشکل‌ساز شود. به عنوان مثال، مهاجمان قبلا از DNS در سرویس‌هایHTTPS برای پنهان کردن ترافیک مخرب سو استفاده کرده‌اند.

مهاجمان دامنه بدخواهانه خود را بر رویDoH گوگل یا هر ارائه‌دهنده DoH برای این موضوع حل و فصل خواهند کرد. پاسخ رمزگذاری‌شده بازگشتی حاوی رکوردهای Tبعدی برای دامنه کنترل‌شده مهاجم با بار مفید بدخواهانه رمزگذاری‌شده می‌باشد که پس از آن می‌تواند توسط malware تجزیه شود. اساسا، این روشی است که مهاجمان می‌توانند از پروتکل‌های امن DNS برای تسهیل فعالیت‌های فرماندهی و کنترل خود(C2) سو استفاده کنند. از آنجا که فراهم‌کنندگان DoH دارای موارد استفاده کسب‌وکار قانونی هستند، مسدود کردن ترافیک ورودی یا خروجی بین شبکه‌های شرکتی شما و فراهم‌کنندگان DoH چالش برانگیز خواهد بود.

تعریف DNS بر روی TLS چیست؟

در اصل DoT به جای HTTPS که در لایه اپیکیشن زندگی می‌کند، پرسوجوهای DNS را بر روی پروتکل TLS (در لایه انتقال) رمزگذاری می‌کند. برخلافDoH، DoT یک لایه از HTTPS سطح کاربرد را رد می‌کند.

در اصل DoT درخواست‌ها و پاسخ‌های DNS را بر روی TLS رمزگذاری می‌کند و اطمینان حاصل می‌کند که این پیام‌ها در طول انتقال خود تغییر نمی‌کنند. DoT روی هم رفته از یک پورت متفاوت استفاده می‌کند: ۸۵۳-جدا از پورت های مورد استفاده HTTPS (پورت ۴۴۳) یا DNS قدیمی ساده (پورت ۵۳). همانند DoH، DoT نیز از رمزگذاری end-to-end بهره می‌برد زیرا ارتباط بین یک مشتری DNS و برطرف‌کننده روی TLS رخ می‌دهد.

ممکن است به مطالعه مقاله بهترین زبان برنامه‌نویسی برای یادگیری در سال ۲۰۲۱ چیست؟ علاقمند باشید.

کدام پروتکل DNS بهتر است؟

آیا DoH برای مذاکره بهتر از DoT است یا نه. مدیران شبکه ممکن است برتری اندکی نسبت به DoT داشته باشند زیرا در هنگام نظارت بر سوالات DNS انعطاف‌پذیری بیشتری به آن‌ها می‌دهد. این می‌تواند به خصوص زمانی مفید باشد که متخصصان امنیتی می‌خواهند ترافیک مخرب DNS و شاخص‌های سازش(IOCs) را از شبکه خود مسدود کنند.

پروتکل DoH حریم خصوصی بالایی را برای کاربر نهایی فراهم می‌کند زیرا پرسوجوهای DNS کاربر در حال حاضر در کنار ترافیک HTTPS ترکیب می‌شوند و مدیر شبکه نمی‌تواند مشخص کند که چه حوزه‌هایی حل شده‌اند و یا پاسخ‌های DNS بازگردانده می‌شوند. این امر متاسفانه به این معناست که مسدود کردن DoH توسط مدیران شبکه بدون تاثیر گذاشتن بر ارتباطات تجاری قانونی بسیار سخت‌تر است.

به عنوان مثال، فایروال‌های شرکت را می‌توان به راحتی برای اضافه کردن سیاستی پیکربندی کرد که در آن فیلترهای جهانی ترافیک را از بالای پورت ۸۵۳عبور می‌دهند (برای مسدود کردن DoT) ، اما فیلتر کردن پورت ۴۴۳ (برای DoH) به سادگی یک گزینه عملی نیست زیرا می‌تواند مانع قانونی‌ترین ترافیک وب شود.

نکته دیگری که باید به آن اشاره شود این است که DoT بسیار سبک‌وزن است چون در لایه انتقال زندگی می‌کند، در‌حالی‌که DoH دارای HTTPS است که در لایه کاربرد زندگی می‌کند. لایه‌های کم‌تر درگیر به اندازه کوچک‌تر بسته DoT و شاید یک تقویت عملکرد کوچک (تاخیر کم‌تر) در مقایسه با DoH منجر می‌شوند.

نبرد تنها بین DoT و DoH نیست پیشرفت‌های بیشتر در فضا توسط شرکت‌های زیرساخت شبکه مانند کلودسلیر همچنین مجموعه DNS را گسترش داده است تا شامل پروتکل‌های «سرگرمی» جدیدتر، مانندDNS از طریق توییتر، DNS از طریق تور، DNS از طریق تلگرام یا DNS از طریق ایمیل باشد.

شرکت Cloudflare یک سرویس Onion ارائه می‌دهد که به بازدیدکنندگان اجازه می‌دهد تا از سایت‌های مشتریان خود برای استفاده از شبکه تور استفاده کنند. حل‌کننده 1.1.1.1 از Cloudflare's از DoH و DoT پشتیبانی می‌کند و از طریق سرویس Onion در دسترس است. ما آن را DNS بر روی تور می‌نامیم. نیک سالیوان، رئیس تحقیقات در کلودسلیر می‌گوید: «ما همچنین یک بات توییتر را در صفحه شخصی خود داریم که به پیام‌های فرمت‌شده به @1111Resolver رسلور گوش می‌دهد، آن‌ها را به پرسش‌های DNS تبدیل می‌کند، پرسش‌ها را با ۱.۱.۱ حل می‌کند، و نتیجه را خنثی می‌کند.»

پروتکل‌های تازه ابداع‌شده، که بسیاری از آن‌ها از کانال‌های رمزگذاری شده مانند HTTPS یا SOCKS (تور) استفاده می‌کنند، هنوز هم گزینه‌های بیشتری را برای کاربر نهایی معرفی کرده‌اند اما می‌توانند چالش‌های بیشتری را برای متخصصان امنیتی در هنگام فیلتر کردن ترافیک ایجاد کنند. به عنوان مثال، مسدود کردن DNS از طریق تویی‌تر می‌تواند به معنای مسدود کردن توییتر باشد، مگر اینکه کار پیچیده‌تری اتخاذ شود. اما استفاده از یک کار در اطراف مانند یک شرکت نماینده MitM ، بسیاری از حمایت‌های ارائه‌شده توسط DoH را با توجه به محرمانه بودن و حریم خصوصی کاربر باطل می‌کند.

بنابراین، با استفاده از هر پروتکل DNS، آیا DoT یا DoH به نیازهای سازمان شما بستگی دارد و چه چیزی یک مصالحه قابل‌قبول بین حریم خصوصی کاربر و نظارت بر شبکه منطقی را تعریف می‌کند.

این متن با استفاده از ربات مترجم مقاله برنامه نویسی ترجمه شده و به صورت محدود مورد بازبینی انسانی قرار گرفته است.در نتیجه می‌تواند دارای برخی اشکالات ترجمه باشد.

مقالات لینک‌شده در این متن می‌توانند به صورت رایگان با استفاده از مقاله‌خوان ترجمیار به فارسی مطالعه شوند.