DNS через TLS - DNS over TLS
Интернет-безопасность протоколы |
---|
Ключевой менеджмент |
Уровень приложения |
система доменных имен |
Интернет-уровень |
DNS через TLS (DoT) это протокол безопасности для шифрования и упаковки система доменных имен (DNS) запросы и ответы через Безопасность транспортного уровня (TLS) протокол. Целью метода является повышение конфиденциальности и безопасности пользователей за счет предотвращения перехвата и манипулирования данными DNS через атаки человек-посередине.
По состоянию на 2020 год[Обновить], Cloudflare, Quad9, Google, Квадрант Информационная безопасность, Очистить, LibreOps, DNSlify[1] Telsy[2] и AdGuard предоставляют общедоступный DNS-преобразователь сервисы через DNS через TLS.[3][4][5][6][7][8]В апреле 2018 года Google объявил, что Android Pie будет включать поддержку DNS через TLS,[9] позволяя пользователям устанавливать DNS-сервер для всего телефона как для Wi-Fi, так и для мобильных подключений, вариант, который раньше был возможен только на укорененный устройств. DNSDist, от PowerDNS, также объявила о поддержке DNS через TLS в своей последней версии 1.3.0.[10] СВЯЗЫВАТЬ пользователи также могут предоставлять DNS через TLS, проксируя его через станнель.[11] Несвязанный поддерживает DNS через TLS с 22 января 2018 года.[12][13] Unwind поддерживает DoT с 29 января 2019 года.[14][15] Благодаря поддержке Android Pie DNS через TLS некоторые блокировщики рекламы теперь поддерживают использование зашифрованного протокола в качестве относительно простого способа доступа к их службам по сравнению с любыми другими обычно используемыми методами обхода, такими как VPN и прокси-серверы.[16][17][18]
Реализации
Много публичные рекурсивные серверы поддерживают DoT, но клиентские системы часто требуют согласия.
Клиенты Android под управлением Android 9 (Pie) или новее поддерживают DNS через TLS.[19]
Linux и Windows пользователи могут использовать DNS через TLS в качестве клиента через NLnet Labs stubby daemon или распознаватель узлов.[20] В качестве альтернативы они могут установить getdns-utils[21] использовать DoT напрямую с помощью инструмента getdns_query. В несвязанный Преобразователь DNS от NLnet Labs также поддерживает DNS через TLS.[22]
Apple iOS 14 представила поддержку на уровне ОС для DNS через TLS (и DNS через HTTPS). iOS не позволяет настраивать серверы DoT вручную и требует использования стороннего приложения для внесения изменений в конфигурацию.[23]
systemd-разрешено - это реализация только для Linux, которую можно настроить для использования DNS через TLS, отредактировав /etc/systemd/resolved.conf
и включение настройки DNSOverTLS
.[24][25] В большинстве основных дистрибутивов Linux по умолчанию установлен systemd.[26][циркулярная ссылка ]
PersonalDNSfilter[27] является Открытый исходный код DNS-фильтр с поддержкой DoT и DoH (DNS через HTTPS ) для устройств с поддержкой Java, включая Android.
Небуло[28] - это приложение для смены DNS с открытым исходным кодом для Android, которое поддерживает как DoT, так и DoH.
Критика и соображения реализации
DoT может препятствовать анализу и мониторингу DNS-трафика в целях кибербезопасности. DoT был использован для обхода родительский контроль которые работают на стандартном (незашифрованном) уровне DNS; Circle, маршрутизатор родительского контроля, который использует DNS-запросы для проверки доменов на соответствие черным спискам, по умолчанию блокирует DoT из-за этого.[29] Однако есть поставщики DNS, которые предлагают фильтрацию и родительский контроль, а также поддержку DoT и DoH.[30][31][32][33] В этом сценарии запросы DNS проверяются по спискам блокировки после того, как они получены провайдером, а не перед тем, как покинуть маршрутизатор пользователя.
Шифрование само по себе не защищает конфиденциальность, шифрование - это просто способ скрыть данные.
Клиенты DoT не запрашивают напрямую авторитетные серверы имен. Вместо этого клиент полагается на сервер DoT, используя традиционные (порт 53 или 853) запросы, чтобы наконец достичь авторитетных серверов. Таким образом, DoT не квалифицируется как сквозное шифрование По протоколу, шифрование выполняется только по шагам и только в том случае, если DNS через TLS используется последовательно.
Смотрите также
Рекомендации
- ^ «Публичный преобразователь DNS | DNSlify - DNSlify | Anycast DNS для всех». www.dnslify.com. Получено 2020-05-26.
- ^ «Телсы ТРТ». Получено 2020-05-26.
- ^ "Как уберечь нос вашего интернет-провайдера от истории вашего браузера с помощью зашифрованного DNS". Ars Technica. Получено 2018-04-08.
- ^ «DNS через TLS - Cloudflare Resolver». developers.cloudflare.com. Получено 2018-04-08.
- ^ «Google Public DNS теперь поддерживает DNS-over-TLS». Блог Google Online Security. Получено 2019-01-10.
- ^ «Quad9, общедоступный DNS-преобразователь - с безопасностью». RIPE Labs. Получено 2018-04-08.
- ^ «Устранение неполадок DNS через TLS».[источник, созданный пользователем ]
- ^ "LibreDNS". LibreDNS. Получено 2019-10-20.
- ^ «Поддержка DNS через TLS в Android P Developer Preview». Блог по безопасности Google. 17 апреля 2018.
- ^ «DNS-over-TLS». dnsdist.org. Получено 25 апреля 2018.
- ^ «Привязка - DNS через TLS».
- ^ «Журнал изменений несвязанной версии 1.7.3».
- ^ Александерсен, Даниэль. «Фактически безопасный DNS через TLS в несвязанном режиме». Ctrl блог. Получено 2018-08-07.
- ^ "архивы списков рассылки openbsd-cvs".
- ^ "архивы списков рассылки openbsd-cvs".
- ^ «blockerDNS - блокируйте рекламу и онлайн-трекеры, чтобы вы могли просматривать веб-страницы в частном порядке на своем телефоне Android без установки приложения!». blockerdns.com. Получено 2019-08-14.
- ^ «Официальный выпуск AdGuard DNS - новый уникальный подход к DNS, ориентированному на конфиденциальность». Блог AdGuard. Получено 2019-08-14.
- ^ «Blahdns - служба DNS поддержки DoH, DoT, DNSCrypt». blahdns.com. Получено 2019-08-14.
- ^ «Поддержка DNS через TLS в Android P Developer Preview». Блог разработчиков Android. Получено 2019-12-07.
- ^ "Разъединитель узлов".
- ^ Пакет: getdns-utils, получено 2019-04-04
- ^ "Несвязанный - О". NLnet Labs. Получено 2020-05-26.
- ^ Чимпану, Каталин. «Apple добавляет поддержку зашифрованного DNS (DoH и DoT)». ZDNet. Получено 2020-10-03.
- ^ "страница руководства resolved.conf". Получено 16 декабря 2019.
- ^ «Журнал Fedora: используйте DNS поверх TLS». Получено 4 сентября 2020.
- ^ "Принятие Systemd". Получено 16 декабря 2019.
- ^ "personalDNSfilter - персональный DNS-фильтр с открытым исходным кодом для остановки рекламы и многого другого". zenz-solutions.de. Получено 2020-05-26.
- ^ "Nebulo - DNS Changer для DNS через HTTPS / TLS - Приложения в Google Play". play.google.com. Получено 2020-05-26.
- ^ «Управление зашифрованными DNS-соединениями (DNS через TLS, DNS через HTTPS) с помощью Circle». Центр поддержки Circle. Получено 2020-07-07.
- ^ Inc, CleanBrowsing. «Родительский контроль с поддержкой DNS через TLS». Очистить. Получено 2020-08-20.
- ^ Inc, CleanBrowsing. «Родительский контроль с поддержкой DNS через HTTPS (DoH)». Очистить. Получено 2020-08-20.
- ^ blockerDNS. "blockerDNS - Товары". blockerdns.com. Получено 2020-08-20.
- ^ «Защитите свою конфиденциальность с помощью DNS-over-TLS на SafeDNS». SafeDNS. Получено 2020-08-20.
внешняя ссылка
- RFC 7858 - Спецификация DNS через безопасность транспортного уровня (TLS)
- RFC 8310 - Профили использования для DNS через TLS и DNS через DTLS
- Проект конфиденциальности DNS: dnsprivacy.org