DNS over TLS

DNS over TLS что это такое? Где можно использовать DNS over TLS? Какие последствия могут быть если не использовать DNS over TLS?

  1. В прошлых статьях я писал о DNS провайдерах и рассказывал для каждого провайдера в отдельной статье, но не все dns провайдеры(скажем так) используют DNS over TLS. Скажем 1.1.1.1 провайдер(резолвер) от компании CloudFlare о котором писал в статье самый быстрый dns сервис. Так вот CloudFlare использует DNS over TLS с самого начала открытия. А если брать Google dns сервис(провайдер, резолвер) то он начал использовать только не давно, приблизительно октябрь 2018 года на нем заработал DNS over TLS. Ранее Google dns анонсировал что будет использовать DNS over HTTPS о Google dns я также рассказывал в статье Фильтрация с помощью DNS от Google. О других сервис dns вы можете узнать из предложенных статей выше там будут ссылки, если вас интересуют к примеру Yandex dns.
  2. Что такое DNS over TLS?

  3. DNS over TLS это туннель в котором посылаются запросы до выбранного вами dns сервиса(скажем 1.1.1.1) но только если dns сервис поддерживает такое соединение. Ну а какие dns сервис поддерживают такие соединения я говорил чуть выше их пять на данный момент ноябрь 2018 года. Говоря более конкретней если вы используете dns обычный скажем вашего интернет провайдера или сервиса который не поддерживает туннель то все запросы будут ему видны, куда вы ходите что посещаете. Таким образом провайдер может подменять ваши запросы на нужные ему, также делают и мошенники только перехватывая dns трафик. Конечно сей час любой dns сервис поддерживает https шифрования и ваш трафик попросту шифруется передавая его в обе стороны. Но время идет и надо думать о более безопасных методах и теперь помимо шифрования есть еще и туннель который создается между вами сервисом dns если он поддерживает.
  4. Как работает DNS over TLS?

  5. Выполняется TLS-подключение скажем на порт TCP:853, проверка сертификата сервиса dns происходит с использованием системных корневых сертификатов, точно так же как HTTPS в браузере когда сайты посещаете, как пример я рассказывал в статье Посещать сайты по HTTPS. Это избавляет от необходимости добавлять ключи вручную типо как проходить авторизацию, после как ключи проверенны и создается подключение между вашим пк и сервисом dns(резолвером) создается уже туннель ну а внутри тоннеля выполняется обычный DNS-запрос. Это создает меньше накладных расходов по сравнению с DNS over HTTPS, который добавляет HTTP-заголовки к запросу и ответу. На текущий момент только в Android 9 (Pie) о котором я не давно тоже рассказывал в статье Какие смартфоны получат обновления до Pie, поддержка DNS over TLS встроена в системный резолвер. Инструкция по настройке для Android 9, правда на английском есть на сервисе dns 1.1.1.1 переходим если надо. Для остальных систем предлагается использовать сторонний демон, а системный резолвер направлять на localhost (127.0.0.1) это как пример о нем в статье dns crypt только там шифрование https но принцип настройки тот же и если руки есть можно настроить таким образом, только логика еще потребуется.
  6. DNS через TLS поддерживается основными поставщиками DNS. что не относится к DNSCrypt. Хранитель DNSCrypt не поддерживал его, закрыл репозиторий на GitHub? и поставить домен в продажу. Репозиторий уже клонирован и теперь поддерживается Dyne, и они не планируют добавлять какие-либо новые функции, поэтому DNSCrypt отказывается в пользу стандарта «DNS over TLS». И в отличие от DNSCrypt, «DNS over TLS» имеет стандарт RFC.
  7. Разница между DNSCrypt, DNSSEC, DNS over TLS/HTTPS.

    DNS over SSH

  8. Полное шифрование протокола DNS
  9. Может быть развернута в любой системе, на которой уже запущен SSH-сервер
  10. Боевой тест, широко используемый транспортный протокол
  11. Не зависит от корневых центров сертификации
  12. Может использовать DNSSEC или частные CA для проверки открытого ключа
  13. Поддерживает множественные механизмы аутентификации
  14. Не требует стека TLS; в современных реализациях даже не требуется OpenSSL
  15. Минусы
  16. Очень сложно настроить безопасно
  17. Требуется TCP
  18. Текущие реализации не масштабируются хорошо на стороне сервера
  19. Запросы UDP требуют инкапсуляции TCP
  20. Протокол SFTP поддерживает переупорядочение и параллелизм, но обычное туннелирование DNS-over-SSH не может использовать это
  21. DNS over TLS (RFC7858)

  22. Полное шифрование протокола DNS
  23. Имеет низкое, но все большее число серверов в развертывании
  24. Частично указано как RFC
  25. Many реализации, выполненные на разных этапах
  26. Предоставляет больше информации, чем обычный DNS для операторов-резольверов, чтобы отпечатать клиентов, и это (намеренно?) никогда не рассматривалось в спецификации
  27. Минусы
  28. Использует выделенный порт (853), который может быть заблокирован или контролироваться в ситуациях, когда шифрование DNS полезно
  29. Первоначальное соединение происходит медленно из-за длинного рукопожатия (до тех пор, пока не будет развернуто TLS 1.3, что может занять время из-за промежуточных блоков)
  30. Не понимают даже его сторонники. Это грузовик, поскольку он тяжелый и медленный для загрузки, но большинство, если не все реализации, выполняют полный раунд для каждого пакета (даже отличную библиотеку miekg / dns, используемую Tenta).
  31. Правила заполнения не были указаны кроме черновика, который не имеет реализаций, и взлом в последнюю минуту, который требует изменения наборов записей DNS перед их переносом
  32. Требуется полный стек TLS, представляющий большую поверхность атаки
  33. Трудно реализовать безопасно. Проверка сертификатов TLS в не-браузерном программном обеспечении является самым опасным кодом в мире
  34. Легко совместим с отраслевыми, стандартные устройства перехвата / контроля TLS. Наличие людей для установки дополнительных корневых сертификатов проще, чем пользовательское программное обеспечение. Поставщики всегда готовы пассивно извлекать информацию из сеансов TLS 1.3.
  35. Требуется TCP
  36. Требуется отслеживание сеансов на сервере
  37. TLS - общий механизм транспорта.
  38. Он не поддерживает переупорядочение и параллелизм и не включает в себя какие-либо способы управления приоритетами. Для этого необходимо изобрести и внедрить новые механизмы.
  39. Управление ключами может быть на удивление жестким, особенно если использование ключей открытого ключа используется клиентами
  40. Позволяет использовать небезопасные алгоритмы и параметры
  41. Будет сложно улучшить, не вводя больше хаков. Вряд ли можно извлечь выгоду из любых улучшений, помимо новых версий TLS или внутренних изменений.
  42. Сомнительные практические преимущества перед DoH
  43. DNS over HTTPS (DoH)

  44. Полное шифрование протокола DNS
  45. Разрабатываются новые реализации
  46. Минимальная версия HTTP, используемая DoH, должна быть HTTP / 2
  47. Использует стандартный HTTP / 2, стандартный порт (443)
  48. автоматически получит выгоду от улучшений, сделанных в HTTP / 2, и, в конечном итоге, QUIC
  49. Меньше вероятность блокировки других опций
  50. Может быть тривиально развернут на любом веб-сервере и работать по существующим веб-сайтам; Ответ DNS обрабатывается как простые веб-страницы
  51. Может совместно использовать ту же инфраструктуру, что и существующие веб-сайты, и использовать одни и те же сертификаты
  52. Простая реализация поверх любого существующего веб-стека
  53. Немедленно совместим с кешированием прокси и CDN
  54. Позволяет веб-браузерам выполнять DNS-запросы с помощью Javascript
  55. Поддерживает переупорядочение, параллельность и приоритеты благодаря HTTP / 2
  56. Может использовать существующие механизмы заполнения (заполнение HTTP / 2 кадра)
  57. Уже реализован Google DNS (хотя и не последний проект)
  58. Поддерживается CuRL: скоро будет доступен на всех языках программирования с привязками для libcurl
  59. Доступно в Firefox
  60. Ведется работа по использованию DoH и CDN для повышения производительности веб-приложений. DoH digests
  61. Указывается как RFC
  62. Минусы
  63. Предоставляет больше информации, чем обычный DNS для операторов-резольверов, чтобы отпечатать клиентов, но это рассматривается в спецификации
  64. Требуется полный стек TLS и веб-сервер
  65. Инструменты перехвата / мониторинга доступны
  66. Управление ключами может быть на удивление жестким, особенно если использование ключей открытого ключа используется клиентами
  67. Позволяет использовать небезопасные алгоритмы и параметры
  68. Требуется TCP
  69. DNS-over-DTLS (RFC8094)

  70. Минусы
  71. Нет известных реализаций
  72. Множество уязвимостей безопасности в OpenSSL из-за DTLS
  73. DNS over QUIC

  74. Полное шифрование протокола DNS
  75. Минусы
  76. Использует выделенный порт: 784
  77. RFC находится в черновом режиме

  78. Ссылки на статьи упоминающиеся в статье:

  79. Перейти Добавление поддержки DNS-Over-TLS для OpenWRT (LEDE) с помощью Unbound
  80. Перейти Оригинал на сайте DNS CRYPT
  81. ПерейтиGoogle DNS over HTTPS.
  82. Перейти Инструкция по настройке для Android 9 DNS-Over-TLS.
  83. Перейти Настройка DNS over TLS macOS knot.
  84. Статьи похожей тематики:

    Ваш провайдер использует целенаправленные помехи в Вашем интернет соединении(Цензура)(ooni)?
    Поисковые системы интернета. Находить нужную информацию быстро и точно.
    Обзор программы Wireshark и пример захват передаваемых пакетов.
    Wireshark, продолжение захват паролей.
    ПОСМОТРЕТЬ ВСЕ СОХРАНЕННЫЕ ПАРОЛИ ВО ВСЕХ БРАУЗЕРАХ.
    Общаемся со своими знакомыми и друзьями, в своей сети, в своем интернет пейджере.
    Удаленное администрирование, удаленная помощь.
    Кто и когда заходит в мою почту?
    Интерактивная карта кибер угроз от компании Kaspersky Lab.
    Подключение по FTP к серверу с помощью TOTAL COMMANDER.
    ФИЛЬТРАЦИЯ И ЗАЩИТА С ПОМОЩЬЮ DNS ОТ ЯНДЕКС.
    Зашифровать DNS трафик и уберечь от третьей стороны, поможет DNSCrypt.
    Фильтрация с помощью DNS от Google.
    Кто подключен к Вашему WIFI? Антивирус для локальной сети.
    Статические и динамические, белые и серые, IP адреса. Что скачивал в интернете определенный IP?
    Мониторинг портов и трафика с помощью специализированных программ.
    Безопасность вашего сервера или компьютера, локальной сети и интернет. Какие двери открыты к вам?
    Анонимность в интернет и смена IP адреса, OpenVpn.
    Страшные поисковики интернета, ищут устройства подключенные к интернет.
    Открывать сайты по протоколу HTTPS. Шифрование передачи трафика между Вашем пк и сайтом.
    ЗАЩИТА МАРШРУТИЗАТОРА ИЛИ КАК ЗАЙТИ В ГОСТИ ЧЕРЕЗ ЧЕРНЫЙ ХОД.
    Как сделать свой собственный прокси сервер с минимальными настройками и компьютерными ресурсами, с любой системой.
    Передать любой файл, любого размера, прямо с вашего компьютера, в зашифрованном виде.