[Информационная безопасность, Сетевые технологии, DNS] Cloudflare, Apple и Fastly объявили о создании нового протокола DNS
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Cloudflare, Apple и Fastly заявили о разработке нового стандарта DNS, который отделяет IP-адреса от запросов. Oblivious DNS over HTTPS (ODoH) имеет открытый исходный код.
Обычная система доменных имен (DNS) сопоставляет используемые доменные имена, такие как cloudflare.com, с IP-адресами и другой информацией, необходимой для подключения к этому домену. DNS-запросы отправляются в открытом виде. Это означает, что на сетевом пути между устройством и преобразователем DNS может появиться третье лицо, которое будет видеть и запрос с именем хоста, и IP-адрес гаджета.
Чтобы защитить DNS от постороннего вмешательства, был разработан стандарт DNS через HTTPS (DoH) и DNS через TLS (DoT). Оба протокола предотвращают перехват, перенаправление или изменение запросов между клиентом и преобразователем. Клиентская поддержка DoT и DoH растет, она реализована в последних версиях Firefox, iOS и других. Однако пока Cloudflare остается одним из немногих провайдеров, предлагающих общедоступную услугу DoH/DoT.
Ключевой компонент ODoH — это прокси, не связанный с целевым преобразователем. Протокол запустили при поддержке прокси-партнеров, включая PCCW, SURF и Equinix.
ODoH добавляет уровень шифрования с открытым ключом, а также сетевой прокси между клиентами и серверами DoH, например 1.1.1.1. Комбинация этих двух дополнительных элементов гарантирует, что только пользователь имеет доступ как к сообщениям DNS, так и к собственному IP-адресу одновременно. Цель расшифровывает запросы, зашифрованные клиентом, через прокси. Точно так же цель шифрует ответы и возвращает их прокси. При этом цель видит только запрос и IP-адрес прокси, расшифровывая их с помощью ключа DNSSEC. Прокси-сервер не видит сообщений DNS и не может идентифицировать, читать или изменять ни запрос, отправляемый клиентом, ни ответ, возвращаемый целью. Клиент может выбрать и изменить свои прокси и цели в любой момент. Таким образом, успешная атака может быть реализована, только если и прокси, и цель скомпрометированы.
Добавленное шифрование является «сквозным» между клиентом и целью и не зависит от шифрования на уровне соединения, обеспечиваемого TLS/HTTPS. Для поддержки функций прокси требуется два отдельных соединения TLS. В частности, прокси завершает TLS-соединение от клиента и инициирует другое TLS-соединение с целью. ODoH дополнительно шифрует сообщения между клиентом и целью, поэтому прокси-сервер не имеет доступа к содержимому сообщения.
Клиенты передают зашифрованные запросы прокси-серверу через HTTPS-соединение. После получения прокси-сервер пересылает запрос указанной цели. Затем цель дешифрует запрос, выдает ответ, отправляя запрос рекурсивному преобразователю, например, 1.1.1.1, и шифрует ответ. Зашифрованный запрос от клиента содержит инкапсулированный ключевой материал, из которого целевые объекты получают симметричный ключ шифрования ответа.
«Наряду с повышенной безопасностью и производительностью базовой глобальной сети PCCW, доступ к которой можно получить по запросу через Console Connect, производительность прокси-серверов в сети улучшена резолверами Cloudflare 1.1.1.1. Эта модель впервые полностью отделяет клиентский прокси от резолверов», — заявил Майкл Глинн, вице-президент по цифровым автоматизированным инновациям в PCCW Global
На диаграмме ниже показано кумулятивное распределение времени запроса/ответа в DoH, ODoH и DoH при передаче по сети Tor.
По сравнению с другими вариантами DNS, ориентированными на конфиденциальность, ODoH сокращает время запроса вдвое и более.
Открытый исходный код реализаций ODoH доступен на Rust, odoh-rs и Go, odoh-go.
Протокол поддерживается TLS-расширением ESNI (Encrypted Server Name Indication), которое позволит передавать идентификатор запрошенного хоста в шифрованном виде. В 2018 году его разработали Mozilla, Cloudflare, Fastly и Apple.
===========
Источник:
habr.com
===========
Похожие новости:
- [Гаджеты, Звук, IT-компании] Apple представила наушники AirPods Max
- [Информационная безопасность] Безопасность в диком поле IoT. Первый опыт атаки по побочным каналам
- [Информационная безопасность, Тестирование IT-систем] Pentest Enumiration for macOS
- [Информационная безопасность, Законодательство в IT, IT-компании] PickPoint оценила, сколько товара украли из взломанных постаматов
- [Процессоры] «Блумберг»: в линейке чипов Apple появится 32-ядерный процессор
- [Информационная безопасность] АНБ утверждает, что российские хакеры атакуют платформы VMware (перевод)
- [Информационная безопасность, Системное администрирование, Сетевые технологии, Облачные сервисы, Сетевое оборудование] Избавляемся от головной боли или зачем нужна система хранения USB-ключей в условиях пандемии
- [Информационная безопасность, Реверс-инжиниринг, Автомобильные гаджеты] Датчики давления в шинах автомобиля: пробуем провести DoS-атаку (перевод)
- [Информационная безопасность, IT-компании] Вирус-вымогатель парализовал работу мексиканского подразделения Foxconn и требует выкуп $34.6 млн
- [Информационная безопасность, Системное администрирование, Сетевые технологии, Сетевое оборудование] Fortinet Security Fabric на практике. Часть 4. Взаимная интеграция
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_setevye_tehnologii (Сетевые технологии), #_dns, #_cloudflare, #_apple, #_fastly, #_dns, #_doh, #_https, #_shifrovanie (шифрование), #_proksi (прокси), #_ipadres (ip-адрес), #_tls, #_protokoly_peredachi_dannyh (протоколы передачи данных), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_setevye_tehnologii (
Сетевые технологии
), #_dns
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 05:45
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Cloudflare, Apple и Fastly заявили о разработке нового стандарта DNS, который отделяет IP-адреса от запросов. Oblivious DNS over HTTPS (ODoH) имеет открытый исходный код. Обычная система доменных имен (DNS) сопоставляет используемые доменные имена, такие как cloudflare.com, с IP-адресами и другой информацией, необходимой для подключения к этому домену. DNS-запросы отправляются в открытом виде. Это означает, что на сетевом пути между устройством и преобразователем DNS может появиться третье лицо, которое будет видеть и запрос с именем хоста, и IP-адрес гаджета. Чтобы защитить DNS от постороннего вмешательства, был разработан стандарт DNS через HTTPS (DoH) и DNS через TLS (DoT). Оба протокола предотвращают перехват, перенаправление или изменение запросов между клиентом и преобразователем. Клиентская поддержка DoT и DoH растет, она реализована в последних версиях Firefox, iOS и других. Однако пока Cloudflare остается одним из немногих провайдеров, предлагающих общедоступную услугу DoH/DoT. Ключевой компонент ODoH — это прокси, не связанный с целевым преобразователем. Протокол запустили при поддержке прокси-партнеров, включая PCCW, SURF и Equinix. ODoH добавляет уровень шифрования с открытым ключом, а также сетевой прокси между клиентами и серверами DoH, например 1.1.1.1. Комбинация этих двух дополнительных элементов гарантирует, что только пользователь имеет доступ как к сообщениям DNS, так и к собственному IP-адресу одновременно. Цель расшифровывает запросы, зашифрованные клиентом, через прокси. Точно так же цель шифрует ответы и возвращает их прокси. При этом цель видит только запрос и IP-адрес прокси, расшифровывая их с помощью ключа DNSSEC. Прокси-сервер не видит сообщений DNS и не может идентифицировать, читать или изменять ни запрос, отправляемый клиентом, ни ответ, возвращаемый целью. Клиент может выбрать и изменить свои прокси и цели в любой момент. Таким образом, успешная атака может быть реализована, только если и прокси, и цель скомпрометированы. Добавленное шифрование является «сквозным» между клиентом и целью и не зависит от шифрования на уровне соединения, обеспечиваемого TLS/HTTPS. Для поддержки функций прокси требуется два отдельных соединения TLS. В частности, прокси завершает TLS-соединение от клиента и инициирует другое TLS-соединение с целью. ODoH дополнительно шифрует сообщения между клиентом и целью, поэтому прокси-сервер не имеет доступа к содержимому сообщения. Клиенты передают зашифрованные запросы прокси-серверу через HTTPS-соединение. После получения прокси-сервер пересылает запрос указанной цели. Затем цель дешифрует запрос, выдает ответ, отправляя запрос рекурсивному преобразователю, например, 1.1.1.1, и шифрует ответ. Зашифрованный запрос от клиента содержит инкапсулированный ключевой материал, из которого целевые объекты получают симметричный ключ шифрования ответа. «Наряду с повышенной безопасностью и производительностью базовой глобальной сети PCCW, доступ к которой можно получить по запросу через Console Connect, производительность прокси-серверов в сети улучшена резолверами Cloudflare 1.1.1.1. Эта модель впервые полностью отделяет клиентский прокси от резолверов», — заявил Майкл Глинн, вице-президент по цифровым автоматизированным инновациям в PCCW Global На диаграмме ниже показано кумулятивное распределение времени запроса/ответа в DoH, ODoH и DoH при передаче по сети Tor. По сравнению с другими вариантами DNS, ориентированными на конфиденциальность, ODoH сокращает время запроса вдвое и более. Открытый исходный код реализаций ODoH доступен на Rust, odoh-rs и Go, odoh-go. Протокол поддерживается TLS-расширением ESNI (Encrypted Server Name Indication), которое позволит передавать идентификатор запрошенного хоста в шифрованном виде. В 2018 году его разработали Mozilla, Cloudflare, Fastly и Apple. =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ), #_setevye_tehnologii ( Сетевые технологии ), #_dns |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 05:45
Часовой пояс: UTC + 5