Jump to content

DNS через TLS

DNS через TLS
Аббревиатура ДоТ
Статус Предлагаемый стандарт
Последняя версия RFC   7858 , RFC   8310
Май 2016 г. и март 2018 г.
Организация IETF
Авторы
Интернет-безопасность
протоколы
Управление ключами
Прикладной уровень
Система доменных имен
Интернет-уровень

DNS через TLS ( DoT ) — это протокол сетевой безопасности для шифрования и упаковки запросов и ответов системы доменных имен (DNS) через протокол безопасности транспортного уровня (TLS). Целью метода является повышение конфиденциальности и безопасности пользователей за счет предотвращения перехвата и манипулирования данными DNS с помощью атак «человек посередине» . для Известный номер порта DoT — 853.

Хотя DNS поверх TLS применим к любой транзакции DNS, он был впервые стандартизирован для использования между заглушками или пересылающими преобразователями и рекурсивными преобразователями в RFC   7858 , май 2016 г. Последующие усилия IETF определяют использование DoT между рекурсивными и авторитетными серверами («Авторитетный DNS поверх TLS» или «ADoT»). [1] и соответствующая реализация между авторитетными серверами (зонная передача через TLS или «xfr-over-TLS»). [2]

Серверное программное обеспечение

[ редактировать ]

BIND поддерживает соединения DoT начиная с версии 9.17. [3] Более ранние версии предлагали возможность DoT путем проксирования через stunnel . [4] Unbound поддерживает DNS через TLS с 22 января 2023 года. [5] [6] Unwind поддерживает DoT с 29 января 2023 года. [7] [8] Благодаря поддержке DNS через TLS в Android Pie некоторые блокировщики рекламы теперь поддерживают использование зашифрованного протокола как относительно простой способ доступа к своим сервисам по сравнению с любыми обычно используемыми обходными методами, такими как VPN и прокси-серверы. [9] [10] [11] [12]

Клиентское программное обеспечение

[ редактировать ]

Android Клиенты под управлением Android Pie или более поздней версии поддерживают DNS через TLS и будут использовать его по умолчанию, если сетевая инфраструктура, например интернет-провайдер , поддерживает его. [13] [14]

В апреле 2018 года Google объявил, что Android Pie будет включать поддержку DNS через TLS. [15] позволяя пользователям устанавливать DNS-сервер для всего телефона как для Wi-Fi, так и для мобильных подключений - опция, которая исторически была возможна только на с root-доступом устройствах . DNSDist от PowerDNS также объявил о поддержке DNS через TLS в версии 1.3.0. [16]

Пользователи Linux и Windows могут использовать DNS через TLS в качестве клиента через демон-заглушку NLnet Labs или Knot Resolver. [17] Альтернативно они могут установить getdns-utils [18] использовать DoT напрямую с инструментом getdns_query. Непривязанный преобразователь DNS от NLnet Labs также поддерживает DNS через TLS. [19]

от Apple В iOS 14 появилась поддержка DNS через TLS (и DNS через HTTPS) на уровне ОС. iOS не позволяет вручную настраивать серверы DoT и требует использования стороннего приложения для внесения изменений в конфигурацию. [20]

systemd-resolved — это реализация только для Linux, которую можно настроить для использования DNS через TLS, отредактировав /etc/systemd/resolved.conf и включение настройки DNSOverTLS. [21] [22] В большинстве основных дистрибутивов Linux по умолчанию установлен systemd. [23] [ циклическая ссылка ]

Публичные решатели

[ редактировать ]

DNS поверх TLS был впервые реализован в общедоступном рекурсивном преобразователе компанией Quad9 в 2017 году. [24] [25] Другие операторы рекурсивных преобразователей, такие как Google и Cloudflare, последовали этому примеру в последующие годы, и теперь это широко поддерживаемая функция, обычно доступная в большинстве крупных рекурсивных преобразователей. [26] [27] [28] [29] [30] [31] [32] [33] [12]

Критика и соображения по реализации

[ редактировать ]

DoT может препятствовать анализу и мониторингу DNS-трафика в целях кибербезопасности. DoT использовался для обхода родительского контроля , который работает на (незашифрованном) стандартном уровне DNS; Circle, маршрутизатор родительского контроля, который использует DNS-запросы для проверки доменов на соответствие черному списку, из-за этого по умолчанию блокирует DoT. [34] Однако есть провайдеры DNS, которые предлагают фильтрацию и родительский контроль, а также поддержку DoT и DoH. [35] [36] [37] [38] [39] [12] В этом сценарии DNS-запросы проверяются по спискам блокировки сразу после их получения провайдером, а не до того, как они покинут маршрутизатор пользователя.

Как и любое общение, шифрование DNS-запросов само по себе не защищает конфиденциальность. Он защищает от сторонних наблюдателей, но не гарантирует, что конечные точки сделают с (затем расшифрованными) данными.

Клиенты DoT не обязательно напрямую запрашивают какие-либо авторитетные серверы имен . Клиент может полагаться на сервер DoT, используя традиционные запросы (порт 53 или 853), чтобы наконец достичь авторитетных серверов. Таким образом, DoT не считается протоколом сквозного шифрования , а только сквозным шифрованием и только в том случае, если DNS поверх TLS используется последовательно.

Альтернативы

[ редактировать ]

DNS over HTTPS (DoH) — аналогичный стандарт протокола шифрования DNS- запросов, отличающийся от DoT только методами шифрования и доставки. С точки зрения конфиденциальности и безопасности вопрос о том, существует ли лучший протокол среди этих двух, является предметом спорных споров, в то время как другие утверждают, что преимущества любого из них зависят от конкретного варианта использования. [40]

DNSCrypt — это еще один сетевой протокол, который аутентифицирует и шифрует DNS-трафик, хотя он никогда не был предложен Инженерной группе Интернета (IETF) с запросом на комментарии (RFC).

См. также

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ Хендерсон, Карл; Эйприл, Тим; Ливингуд, Джейсон (14 февраля 2020 г.). «Агентные вопросы эксплуатации DNS-over-TLS» . Ietf Datatracker . Рабочая группа по интернет-инжинирингу . Проверено 17 июля 2021 г.
  2. ^ Мэнкин, Эллисон (08 июля 2019 г.). «Передача зоны DNS через TLS» . Ietf Datatracker . Рабочая группа по интернет-инжинирингу . Проверено 17 июля 2021 г.
  3. ^ «4. Справочник по настройке BIND 9 — документация BIND 9» . bind9.readthedocs.io . Проверено 14 ноября 2021 г.
  4. ^ «Привязка — DNS через TLS» . Архивировано из оригинала 20 октября 2017 г. Проверено 15 мая 2018 г.
  5. ^ «Журнал изменений несвязанной версии 1.7.3» . Архивировано из оригинала 07 августа 2018 г. Проверено 7 августа 2018 г.
  6. ^ Александерсен, Дэниел. «Фактически защитите DNS через TLS в Unbound» . Ctrl блог . Проверено 7 августа 2018 г.
  7. ^ «архивы списков рассылки openbsd-cvs» .
  8. ^ «архивы списков рассылки openbsd-cvs» .
  9. ^ «blockerDNS — блокируйте рекламу и онлайн-трекеры, чтобы вы могли просматривать веб-страницы в Интернете конфиденциально на своем телефоне Android без установки приложения!» . Blockerdns.com . Проверено 14 августа 2019 г.
  10. ^ «Официальный релиз AdGuard DNS — новый уникальный подход к DNS, ориентированный на конфиденциальность» . Блог АдГард . Проверено 14 августа 2019 г.
  11. ^ «Blahdns — служба DNS поддерживает DoH, DoT, DNSCrypt» . blahdns.com . Проверено 14 августа 2019 г.
  12. ^ Jump up to: а б с «НекстДНС» . СледующийDNS . Проверено 16 декабря 2023 г.
  13. ^ «Поддержка DNS через TLS в Android P Developer Preview» . Блог разработчиков Android . Проверено 7 декабря 2019 г.
  14. ^ Уоллен, Джек (23 августа 2018 г.). «Как включить DNS через TLS в Android Pie» . Техреспублика . Проверено 17 марта 2021 г.
  15. ^ «Поддержка DNS через TLS в Android P Developer Preview» . Блог Google по безопасности . 17 апреля 2018 г.
  16. ^ «DNS-over-TLS» . dnsdist.org . Проверено 25 апреля 2018 г.
  17. ^ «Резолвер узлов» .
  18. ^ Пакет: getdns-utils , получено 4 апреля 2019 г.
  19. ^ «Несвязанное – О» . Лаборатория НЛнет . Проверено 26 мая 2020 г.
  20. ^ Чимпану, Каталин. «Apple добавляет поддержку зашифрованного DNS (DoH и DoT)» . ЗДНет . Проверено 3 октября 2020 г.
  21. ^ «Страница руководства resolved.conf» . Проверено 16 декабря 2019 г.
  22. ^ «Журнал Fedora: используйте DNS вместо TLS» . 10 июля 2020 г. Проверено 4 сентября 2020 г.
  23. ^ «Системное внедрение» . Проверено 16 декабря 2019 г.
  24. ^ Бэнд, Алекс (20 ноября 2017 г.). «Конфиденциальность: использование DNS-over-TLS со службой DNS Quad9» . Середина . Проверено 17 июля 2021 г. Недавно был запущен DNS-сервис Quad9. Quad9 отличается от аналогичных сервисов тем, что уделяет особое внимание безопасности и конфиденциальности. Одной интересной особенностью является тот факт, что вы можете общаться со службой, используя DNS-over-TLS. Это шифрует связь между вашим клиентом и DNS-сервером, защищая вашу конфиденциальность.
  25. ^ Борцмайер, Стефан (21 ноября 2017 г.). «Quad9 — это публичный DNS-преобразователь, обещающий лучшую конфиденциальность и доступ DNS-over-TLS» . Лаборатория RIPE . Проверено 17 июля 2021 г. На прошлой неделе был анонсирован новый преобразователь DNS Quad9. Это общедоступный преобразователь DNS, дополнительным преимуществом которого является безопасный доступ через TLS (RFC 7858). Существует множество общедоступных преобразователей DNS, но ссылка на них небезопасна. Это позволяет совершать угоны самолетов, как это происходит в Турции, а также осуществлять мониторинг третьей стороной. С другой стороны, новый сервис Quad9 управляется некоммерческой организацией Packet Clearing House (PCH), которая управляет значительной частью инфраструктуры DNS и обеспечивает доступ к DNS через TLS. Это очень затрудняет прослушивание третьими лицами. И это позволяет аутентифицировать преобразователь.
  26. ^ «Общественный преобразователь DNS Anycast DNS для всех» . www.dnslify.com . Архивировано из оригинала 24 июля 2020 г. Проверено 26 мая 2020 г.
  27. ^ «Телси ТРТ» . Архивировано из оригинала 31 января 2021 г. Проверено 26 мая 2020 г.
  28. ^ «Как не допустить носа вашего интернет-провайдера в историю вашего браузера с помощью зашифрованного DNS» . Арс Техника . Проверено 8 апреля 2018 г.
  29. ^ «DNS поверх TLS — Cloudflare Resolver» . Developers.cloudflare.com . Проверено 8 апреля 2018 г.
  30. ^ «Google Public DNS теперь поддерживает DNS-over-TLS» . Блог Google по онлайн-безопасности . Проверено 10 января 2019 г.
  31. ^ «Quad9, общедоступный преобразователь DNS — с безопасностью» . Лаборатория RIPE . 21 ноября 2017 года . Проверено 8 апреля 2018 г.
  32. ^ «Устранение неполадок DNS через TLS» . 13 мая 2018 г. [ источник, созданный пользователем ]
  33. ^ «ЛибреДНС» . ЛибреDNS . Проверено 20 октября 2019 г.
  34. ^ «Управление зашифрованными DNS-соединениями (DNS через TLS, DNS через HTTPS) с помощью Circle» . Центр поддержки Круга . Архивировано из оригинала 03 августа 2020 г. Проверено 7 июля 2020 г.
  35. ^ Галлахер, Шон (16 ноября 2017 г.). «Новый DNS-сервис Quad9 блокирует вредоносные домены для всех» . Арс Техника . Проверено 14 ноября 2021 г. Система блокирует домены, связанные с ботнетами, фишинговыми атаками и другими вредоносными хостами в Интернете.
  36. ^ «Родительский контроль с поддержкой DNS через TLS» . Чистый просмотр . Проверено 20 августа 2020 г.
  37. ^ «Родительский контроль с поддержкой DNS через HTTPS (DoH)» . Чистый просмотр . Проверено 20 августа 2020 г.
  38. ^ «Продукты» . Blockerdns.com . Проверено 20 августа 2020 г.
  39. ^ «Защитите свою конфиденциальность с помощью DNS-over-TLS в SafeDNS» . СафеДНС . Архивировано из оригинала 18 сентября 2020 г. Проверено 20 августа 2020 г.
  40. ^ Клэберн, Томас (20 мая 2020 г.). «Google внедряет поддержку конфиденциальности DNS-over-HTTPS в Chrome 83… с удобным аварийным переключателем для корпоративных ИТ-специалистов» . Регистр . Проверено 3 февраля 2021 г.
[ редактировать ]
Retrieved from "https://en.wikipedia.org/w/index.php?title=DNS_over_TLS&oldid=1230742918"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 43ed9603cfdeac961bcdc781387eedd8__1719223200
URL1:https://arc.ask3.ru/arc/aa/43/d8/43ed9603cfdeac961bcdc781387eedd8.html
Заголовок, (Title) документа по адресу, URL1:
DNS over TLS - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)