طوال فترة وجود الإنترنت ، كان الانفتاح أحد الخصائص المميزة له ، ولا يزال معظم حركة مرور اليوم تنتقل دون أي تشفير. يتم تقديم معظم طلبات صفحات HTML والمحتوى ذي الصلة بنص عادي ، ويتم إرجاع الردود بالطريقة نفسها ، على الرغم من وجود بروتوكول HTTPS منذ عام 1994.
ومع ذلك ، في بعض الأحيان هناك حاجة للأمن و / أو السرية. على الرغم من أن تشفير حركة المرور على الإنترنت أصبح واسع الانتشار في مجالات مثل الخدمات المصرفية عبر الإنترنت والتسوق ، إلا أن مسألة الحفاظ على السرية في العديد من بروتوكولات الإنترنت لم يتم حلها بهذه السرعة. على وجه الخصوص ، عند الاستعلام عن عنوان IP لموقع ما لمضيف ، يتم دائمًا إرسال استعلام DNS بنص واضح ، مما يسمح لجميع أجهزة الكمبيوتر وموفري الخدمة بتحديد الموقع الذي تزوره ، حتى إذا كنت تستخدم HTTPS بعد إنشاء اتصال.
فكرة أن التشفير ضروري أيضًا لاستعلامات DNS ليست جديدة ، وتم إجراء المحاولات الأولى في 2000 - DNSCrypt ، DNS عبر TLS (DoT) ، إلخ. تعمل Mozilla و Google وشركات الإنترنت الكبيرة الأخرى على الترويج لطريقة جديدة لتشفير استعلامات
DNS :
DNS عبر HTTPS (DoH).
لا تقوم DoH بتشفير استعلام DNS فحسب ، بل تنقله أيضًا إلى خادم الويب "العادي" ، وليس خادم DNS ، لذلك لا يمكن تمييز حركة مرور DNS عن HTTPS العادي. هذه العملة لها وجهان. يحمي هذا الإجراء استعلام DNS نفسه ، مثل DNSCrypt أو DoT ، كما أنه يجعل من المستحيل على الرجال من خدمات الأمن للشركات الكبيرة تتبع
خداع DNS ، ونقل المسؤولية عن وظائف الشبكة المهمة من نظام التشغيل إلى التطبيق. كما أنه لا يساعد بأي شكل من الأشكال في إخفاء عنوان IP لموقع الويب الذي طلبته للتو - بعد كل شيء ، تذهب إليه على أي حال.
مقارنةً بـ DoT ، تقوم DoH بمركزية المعلومات حول المواقع التي قمت بزيارتها في العديد من الشركات: اليوم ، Cloudflare ، الذي يعد بالتخلص من بياناتك في غضون 24 ساعة ، وشركة Google ، التي تنوي حفظ جميع تفاصيل كل ما كنت تخطط له واستثماره.
DNS والخصوصية هما موضوعان مهمان ، لذلك دعونا نتعمق في التفاصيل.
خادم DNS والثقة
يعود مفهوم نظام اسم المجال إلى
ARPANET ، عندما يحتوي الملف النصي الوحيد على كل عقدة ARPANET - تحت اسم HOSTS.TXT - على جميع المراسلات بين أسماء الأنظمة المتصلة بـ ARPANET وعناوينها الرقمية. عندما قمت بتجديد هذا الملف بنفسك ، كان من السهل التحقق من صحته. مع نمو الشبكة ، أصبح من غير الواقعي الاحتفاظ بنسخ مركزية ومحلية من هذه الملفات. بحلول أوائل الثمانينات ، كانت المحاولات قد بدأت بالفعل في إنشاء نظام أتمتة لهذه العملية.
تمت كتابة خادم الاسم الأول (Berkeley Internet Name Domain Server أو BIND) في عام 1984 من قبل مجموعة من الطلاب في جامعة كاليفورنيا ، بيركلي ، استنادًا إلى RFC 882 و RFC 883. بحلول عام 1987 ، تم مراجعة معيار DNS عدة مرات ، مما أدى إلى ظهور RFC 1034 و RFC 1035 والتي منذ ذلك الحين إلى حد كبير لم تتغير.
أساس بنية DNS هو هيكلها الشجري ، حيث يتم تقسيم العقد والأوراق إلى مناطق. المنطقة الجذر لـ DNS هي المستوى العلوي ، وتتألف من ثلاثة عشر مجموعة من خوادم الجذر التي تشكل خوادم DNS الرسمية للجذر. يستقبل أي خادم DNS جديد (مرفوع من قبل مزود أو شركة) سجلات DNS من واحد على الأقل من هذه الخوادم الأساسية.
تضيف كل منطقة DNS لاحقة مجال آخر لنظام الاسم. عادةً ما تحتفظ كل دولة بنطاقاتها الخاصة ، ويتم تقديم نطاقات .org أو .com غير المرتبطة بالبلدان بشكل منفصل. يبدأ استعلام لاسم المضيف عبر DNS باسم نطاق (على سبيل المثال ، .com) ، ثم باسم (google على سبيل المثال) ، متبوعًا بنطاقات فرعية محتملة. إذا لم يتم تخزين البيانات مؤقتًا بعد ، فقد تحتاج إلى إجراء عدة انتقالات عبر مناطق DNS لحل الطلب.
DNSSEC: إضافة الثقة إلى نظام DNS
قبل المتابعة إلى تشفير استعلامات DNS ، تحتاج إلى التأكد من أننا نثق في خادم DNS. أصبحت هذه الحاجة واضحة في التسعينيات ، وأدت إلى الامتدادات التشغيلية الأولى لمعيار أمان DNS (DNSSEC) ، و RFC 2353 ، و RFC 4033 المنقحة (DNSSEC-bis).
2006 خريطة الانترنتيعمل DNSSEC من خلال توقيع سجلات استعلام DNS باستخدام مفتاح عمومي. يمكن تأكيد صحة سجل DNS من خلال المفاتيح العامة لمنطقة جذر DNS ، وهو طرف ثالث موثوق به في هذا السيناريو. ينشئ مالكو المجال مفاتيحهم ، موقعة من مشغلي المناطق وإضافتهم إلى DNS.
على الرغم من أن DNSSEC يسمح لك أن تكون واثقًا نسبيًا من أن الإجابات من خادم DNS حقيقية ، يجب تضمين هذا البروتوكول في نظام التشغيل. لسوء الحظ ، تقوم أنظمة تشغيل قليلة بتنفيذ خدمة DNS يمكنها القيام بأكثر من مجرد "معرفة DNSSEC" - أي أنها لا تؤكد بالفعل استجابات DNS. لذلك ، اليوم لا يمكنك التأكد من أن الإجابات التي تتلقاها من DNS حقيقية.
مشكلة مع DoH
افترض أنك تستخدم DNSSEC. أنت جاهز لتشفير الرسائل لإضافة الخصوصية إلى نقل البيانات الخاصة بك. قد يكون هناك العديد من الأسباب للحفاظ على استفسارات DNS سرية من أعين المتطفلين. من بين الأبرياء تجاوز مرشحات الشركة ومقدمي الخدمات ، مما يحظر تتبع عادات الإنترنت ، وما إلى ذلك. من بين المحاولات الأكثر خطورة محاولات تجنب الاضطهاد من قبل الحكومة للتعبير عن وجهات نظر سياسية على الإنترنت. بطبيعة الحال ، لا يسمح تشفير استعلامات DNS للناس بالتجسس على هذه الاستعلامات ، ولكن نتيجة لذلك ، يتم تجاهل المشكلات الأكبر المتعلقة بأمان DNS ، وبالطبع ، يتم تجاهل جميع بروتوكولات الاتصال الأخرى.
المنافسون الرئيسيون هنا هم DoT باستخدام TLS و DoH باستخدام HTTPS. الفرق الأكثر وضوحًا بين الاثنين هو المنفذ: يتم تشغيل DoT على منفذ TCP مخصص 853 ، ويمزج DoH مع حركة مرور HTTPS الأخرى على المنفذ 443. وهذا يمنح ميزة مثيرة للجدل تتمثل في جعل استعلامات DNS غير قابلة للتمييز عن حركة المرور الأخرى ، مما يجعل من المستحيل لمشغلي الشبكات (القطاعين الخاص والشركات) ) امن شبكتك الخاصة ، كما أعلن بول فيكسي ، أحد مهندسي DNS ،
على تويتر العام الماضي.
والثاني من الاختلافات الرئيسية هو أنه إذا كان DoT يرسل ببساطة استعلامات DNS عبر TLS ، فإن DoH هو أساس DNS over-HTTP-over-TLS ، ويتطلب تطبيق / Dns-message الخاص بنوع الوسائط ، ويجعل الأمور أكثر تعقيدًا. يؤدي خلط DoH مع البروتوكولات الحالية إلى ظهور كل استعلام DNS واستجابة من خلال مكدس HTTPS. هذا كابوس للتطبيقات المدمجة كما أنه غير متوافق مع جميع أنواع المعدات الموجودة تقريبًا.
تتمتع ميزة DoT بميزة أخرى - لقد تم بالفعل تنفيذ هذا البروتوكول ، وأطول بكثير من DoH ، والذي تستخدمه شركات مثل Cloudflare و Google وكذلك مزودي الإنترنت المحليين ؛ يستخدم برنامج الخادم القياسي مثل BIND DoT مباشرة خارج الصندوق. في نظام التشغيل Android Pie OS (الإصدار 9) ، سيتم
استخدام DNS عبر TLS
افتراضيًا إذا كان خادم DNS المحدد يدعم DoT.
لماذا التبديل إلى DoH إذا كانت دائرة النقل تتداول بالفعل؟ إذا تجاوزت التطبيقات غير القياسية مثل Firefox نظام DNS القائم على DoT واستخدمت نظام استرداد اسم المجال الخاص بها عبر DoH ، فسيصبح هذا الموقف صعباً للغاية من وجهة نظر الأمان. يبدو نقل DNS إلى التطبيقات الفردية ، والذي يحدث الآن ، خطوة إلى الوراء. هل تعرف طريقة DNS التي يستخدمها كل تطبيق؟ هل تعلم أنه يمزج هذه العملية مع حركة مرور TCP على المنفذ 443؟
التشفير لا يتداخل مع التطفل
تقف شركتان كبيرتان ، Cloudflare و Mozilla ، على DNS عبر HTTPS ، وقد أصدرت الأخيرة شريطًا فكاهيًا
صغيرًا لطيفًا ، حيث تحاول شرح مخطط DoH. مما لا يثير الدهشة ، أنهم لا يذكرون DNSSEC على الإطلاق (على الرغم من أنه يطلق عليه "حرج" في RFC 8484) ، وبدلاً من ذلك يقدمون شيئًا يسمى "محلل العودية الموثوقة" (TRR) ، والذي يمثل أساسًا النصيحة "استخدام موثوق به" خادم DNS "الذي يعني موزيلا Cloudflare.
بالإضافة إلى DoH ، يذكرون معيار تصغير QNAME (
RFC 7816 ) ، والذي يجب أن
يقلل من كمية المعلومات غير الهامة التي يرسلها خادم DNS. في الوقت نفسه ، لا يعتمد هذا المعيار على DoH بأي طريقة وسيعمل بدون أي تشفير DNS. كما هو الحال مع DNSSEC ، يتم تعزيز الأمن والخصوصية من خلال تطوير معيار DNS.
الأكثر إثارة للاهتمام هو الوارد في قسم "ماذا TRR + DoH لا إصلاح"؟ كما قال العديد من الخبراء ، لا يمنع تشفير DNS التطفل. أي طلب لاحق إلى عنوان IP تم استلامه بطريقة سرية بشكل رهيب سيظل مرئيًا بشكل واضح. ومع ذلك ، سيعرفون أنك زرت Facebook.com أو موقع المنشقين. لن يؤدي تشفير DNS أو حركة مرور الإنترنت إلى إخفاء المعلومات الحيوية لتشغيل شبكة مثل الإنترنت.
هل تصبح شبكة الإنترنت المستقبلية نقطة فشل واحدة؟
تقدم Mozilla التعامل مع مشكلة التطفل عبر بروتوكول الإنترنت ببساطة عن طريق القول بأن هذه ليست مشكلة من خلال استخدام Cloud. كلما زاد عدد مواقع الويب وشبكات توزيع المحتوى (CDN) على عدد صغير من الخدمات (Cloudflare ، و Azure ، و AWS ، وما إلى ذلك) ، كلما قل عنوان IP الفردي هذا - فأنت بحاجة فقط إلى الاعتقاد بأن العنوان الذي تم اختياره الخدمة السحابية الخاصة بك لن تسرق بياناتك ولن تسقط ليوم واحد.
هذا العام ، 24 يونيو ، كان هناك انخفاض كبير في الخدمات ، عندما تسبب خطأ في التكوين من قبل موفر Verizon في جعل Cloudflare و Amazon و Linode وغيرهم كثيرًا غير متاحين لمعظم اليوم. في 2 يوليو من هذا العام
، سقطت Cloudflare لمدة نصف ساعة تقريبًا ، ومعها العديد من المواقع التي تعتمد على خدماتها.
من قبيل الصدفة ، تكمن خدمة Office365 السحابية من Microsoft أيضًا لعدة ساعات في ذلك اليوم ، ولهذا السبب لم يتمكن العديد من المستخدمين من استخدام خدماتها. في عطلة نهاية الأسبوع قبل عيد العمال [يحتفل بالعيد الوطني الأمريكي في أول يوم اثنين من شهر سبتمبر / تقريبًا. أدى انقطاع التيار الكهربائي في مركز البيانات AWS US-East-1 إلى تيرابايت من بيانات العميل المخزنة هناك
مع تغطية حوض النحاس . من الواضح أنه لا تزال هناك بعض العيوب لفكرة فوائد مركزية الإنترنت.
الأغاني القديمة بطريقة جديدة
بشكل مثير للدهشة ، لا يوجد أي ذكر للشبكات الخاصة الافتراضية (VPN) خلال مناقشة الخصوصية والتتبع هذه. إنها تحل مشكلات تشفير البيانات واستعلامات DNS ، مع إخفاء عنوان IP والمزيد ، وذلك ببساطة عن طريق نقل النقطة التي يتصل بها الكمبيوتر أو الجهاز الآخر المتصل بالإنترنت. استخدم المعارضون داخل الأنظمة الاستبدادية شبكات VPN على مدار عقود للتحايل على الرقابة على الإنترنت ؛ تعد شبكات VPN ، بما في ذلك الميزات الخاصة مثل Tor ، عنصرا حاسما في حرية الإنترنت.
كيف يعمل تورإذا كنت تثق في شركة تجارية كبيرة مثل Cloudflare في مخطط مثل DoH ، فسيكون من السهل العثور على مزود VPN موثوق به لا يقوم بتخزين أو بيع بياناتك. يتمتع مستعرض Opera عمومًا بدعم وكيل مجاني ومضمّن يوفر
العديد من مزايا VPN .
في النهاية ، يمكننا أن نقول أن DoH تؤكد اختصارها ، وتؤدي بشكل سيء إلى أن DoT تعمل بشكل جيد بالفعل ["Doh!" - علامة تعجب تشير إلى غباء الفعل المثالي ، خاصةً الشخص / تقريبًا. العابرة.]. نحتاج إلى التركيز أكثر على التنفيذ الشامل لـ DNSSEC ، إلى جانب DoT وتقليل QNAME. وإذا كنت تهتم بالخصوصية الحقيقية ، فأنت بحاجة إلى اللجوء إلى VPN.