Как DNS-over-HTTPS меняет правила игры в кибербезопасности

С развитием цифровых технологий растут и риски кибератак. Одним из ключевых элементов интернет-инфраструктуры является система доменных имен (DNS). Традиционная DNS, хоть и лежит в основе работы интернета, в последние годы оказалась под угрозой в силу уязвимостей, связанных с незащищенностью перед злоумышленниками. Однако введение технологии DNS-over-HTTPS (DoH) в 2018 году поменяло игру, обеспечив дополнительный уровень безопасности. Как именно DoH влияет на кибербезопасность, и все ли так гладко при переходе на эту технологию?

DNS-over-HTTPS: основы технологии

DNS (Domain Name System) — это система, отвечающая за разрешение доменных имен в IP-адреса, что позволяет пользователям и сервисам находить друг друга в сети. Традиционно запросы к DNS-серверам передаются по протоколу UDP, что открывает возможность злоумышленникам перехватывать трафик и изменять его. Злоумышленники могут использовать методы атаки типа Man-in-the-Middle (MITM) для анализа DNS-запросов, что позволяет им вмешиваться в процесс разрешения доменных имен, перенаправляя пользователя на вредоносные сайты.

Одним из главных преимуществ DoH является шифрование трафика. С помощью него DNS-запросы шифруются с использованием HTTPS, что делает их недоступными для перехвата и вмешательства. Даже если трафик будет перехвачен, его содержимое останется защищенным благодаря SSL/TLS-шифрованию.

Также, внедрение DoH оставляет меньше возможностей злоумышленникам для манипуляций с результатами DNS-резолвинга. Обычные DNS-сервера могут быть настроены на подмену данных в ответах, перенаправляя пользователей на мошеннические сайты. DoH, будучи зашифрованным, значительно усложняет задачу злоумышленников, которым необходимо получить доступ к DNS-ответам.

Трудности внедрения DoH

Несмотря на очевидные преимущества, внедрение DNS-over-HTTPS сопровождается рядом вызовов, особенно для крупных корпоративных сетей и поставщиков услуг безопасности.

1. Контроль и мониторинг сетевого трафика. Одна из ключевых проблем при переходе на DoH — это сложность контроля за трафиком. Многие организации используют традиционные инструменты для анализа DNS-запросов с целью выявления подозрительной активности. В случае с DoH трафик становится зашифрованным, что затрудняет мониторинг и блокировку нежелательных или вредоносных ресурсов на уровне сети.
   
   Для решения этой проблемы организации могут использовать специальные решения, которые интегрируют защиту на уровне DNS и продолжают отслеживать вредоносные активности даже при использовании DoH.
    
2. Пропускная способность и задержки. Использование HTTPS для передачи DNS-запросов может увеличить нагрузку на сеть и вызвать небольшие задержки. Это может быть критичным для сетей с высокой интенсивностью запросов. Тем не менее, современные решения оптимизируют работу DoH, минимизируя эти недостатки.
    
3. Конфликт с корпоративными политиками безопасности. В некоторых корпоративных средах использование DoH может конфликтовать с политиками безопасности. Например, организации, которые предпочитают централизованный контроль за DNS-запросами через внутренние DNS-серверы, могут столкнуться с тем, что пользователи используют сторонние DoH-серверы, что усложняет защиту сети от внешних угроз. Для таких случаев нужно перехватывать трафик и принудительно направлять на нужные сервера. 
    
4. Влияние на инфраструктуру корпоративных сетей. Для многих организаций переход на DoH может потребовать значительных изменений в инфраструктуре безопасности. Использование новых технологий шифрования и анализ трафика потребует внедрения новых инструментов для мониторинга и защиты, что может стать дорогостоящим и требовать обучения сотрудников.

Будущее DoH в кибербезопасности

Появление DNS-over-HTTPS — это лишь один из шагов в эволюции интернет-безопасности. Как и любая технология, она вызывает много вопросов и требует тщательной оценки. Тем не менее, преимущества DoH в области защиты конфиденциальности и уменьшения рисков атак на инфраструктуру очевидны.

Для компаний внедрение DoH может стать одним из важных этапов модернизации системы безопасности. Однако это не должно быть единственным шагом. Сочетание DoH с другими инструментами, такими как анализ трафика, предиктивная аналитика и контент-фильтрация, поможет создать многоуровневую защиту, адаптированную к современным угрозам.

Кроме того, важно правильно выбрать партнера по безопасности. Например, мы в SkyDNS уже сейчас предлагаем комплексное решение по защите на уровне DNS, включая поддержку DoH. Это позволяет бизнесу не только обеспечить защиту конечных пользователей, но и сохранить контроль над сетевой активностью, что критично для соблюдения корпоративных стандартов и правил безопасности.