МЕТОД ЗАХИСТУ ТРАФІКУ ВІД ВТРУЧАННЯ DPI СИСТЕМ НА БАЗІ ВИКОРИСТАННЯ DOH ТА DOT ПРОТОКОЛІВ
DOI:
https://doi.org/10.28925/2663-4023.2020.10.7587Ключові слова:
інтернет протокол, модель TCP/IP, TLS, DNS, HTTPS, DNS-over-HTTPS, DNS-over-TLS, DPIАнотація
Дана стаття присвячена розгляду подальших шляхів забезпечення захисту трафіку від втручання DPI систем. У статті досліджено можливості використання мережевих протоколів та застосування DPI систем. Проведений аналіз проблеми дав змогу визначити вразливі місцями протоколу DNS, який базується на протоколі UDP. Цими вразливими місцями є - спуфінг, перехоплення та переприв’язування трафіку. Також на підставі проведеного аналізу методів захисту DNS трафіку від втручання, авторами обґрунтовано та визначено наступне: 1) усі DNS запити передаються у відкритому вигляді; 2) існуючі підходи забезпечення захисту трафіку не використовують шифрування та, в наслідок чого, не забезпечують конфіденційність інформації; 3) відбувається лише підтвердження автентичності записів. Авторами було сформовано зведену таблицю, в якій визначено надійні методи захисту DNS трафіку. Автори пропонують розробку повноцінного локального проксуючого серверу для забезпечення DNS трафіку, який може звертатися до довірених публічних DNS резолверів за допомогою протоколів doh та dot. Для розуміння принципів взаємодії протоколів було розгорнуто власну локальну реалізацію основних компонентів мережі, з якими найчастіше мають справу користувачі мережі, а саме: 1) веб сервер; 2) DNS сервер; 3) сервер забезпечення криптографічного захисту та приховування відкритих запитів. Практична цінність отриманих результатів полягає у програмній реалізації методів захисту трафіку від втручання DPI систем у середовищі Visual Studio Code за рахунок використання мови програмування Python 3.8, що дає змогу забезпечити криптографічний захист трафіку. Запропоноване рішення локального проксуючого серверу може удосконалюватись в майбутньому за рахунок впровадження локального кешування з додаванням можливості створення правил для певних доменів та їх під доменів. Реалізований тестовий doh сервер може бути розгорнуто на довіреному виділеному сервері за межами можливих точок встановлення фільтруючого обладнання. Така реалізація дасть змогу повністю контролювати власний трафік для резолвінгу доменних імен. Авторами в подальшому планується ряд науково технічних рішень розробки та впровадження ефективних методів, засобів забезпечення вимог, принципів та підходів забезпечення кібернетичної безпеки та організації захисту трафіку від втручання DPI систем в дослідних комп’ютерних системах та мережах.
Завантаження
Посилання
Harold F., Krause M. Information Security Management Handbook, Sixth Edition. – Taylor &. Francis Group, 2007. – 3231 c. (in English)
Arends R., Kosters M., Blacka D. DNS Security (DNSSEC) Opt-In, RFC 4956. – verisign, 2007. – 15 с. (in English)
Dnscrypt 2 Protocol. [Online]. – Available: https://dnscrypt.info/protocol/ (in English)
Hu Z., Zhu L., Heidemann J., Mankin A., Wessels D., Hoffman P. Specification for DNS over Transport Layer Security (TLS), RFC 7858. – USC/ISI, Verisign Labs, ICANN, 2016. – 18 с. (in English)
Hoffman P., mcmanus P. DNS Queries over HTTPS (doh), RFC 8484. – ICANN, Mozilla, 2018. – 21 c. (in English)
Huitema C., Shore M., Mankin A., Dickinson S., Iyengar J. Specification of DNS over Dedicated QUIC Connections. – Private Octopus, Fastly, Salesforce, 2019. – 18 c. (in English)
Cid C., Jacobson M.J. Selected Areas in Cryptography. 25th International Conference Calgary, 2019. – 499 с. (in English)
Stallings W. Cryptography and Network Security. Principles and Practice. 7th ed. – Pearson Education Limited, 2017. – 766 c. (in English)
Oppliger R. SSL and TLS Theory and Practice, Second Edition. – Artech House, London, 2016. – 280 c. (in English)
Mockapetris P. Domain names - concepts and facilities, RFC 1034. – USC/Information Science Institute, 1987. – 55 c. (in English)
Mockapetris P. Domain names - implementation and specification, RFC 1035. – USC/Information Science Institute, 1987. – 55 c. (in English)
Pollard B. HTTP2 in Action. – Manning Publications, 2019. – 384 c. (in English)
Bishop M. Hypertext Transfer Protocol Version 3 (HTTP/3). – IETF Draft, 2016. – 70 с.
Iyengar J., Thomson M. QUIC: A UDP-Based Multiplexed and Secure Transport. – IETF Draft, 2016. – 182 с. (in English).