• DNS over TLS

    DNS over TLS что это такое? Где можно использовать DNS over TLS? Какие последствия могут быть если не использовать DNS over TLS?

    1. В прошлых статьях я писал о DNS провайдерах и рассказывал для каждого провайдера в отдельной статье, но не все dns провайдеры(скажем так) используют DNS over TLS. Скажем 1.1.1.1 провайдер(резолвер) от компании CloudFlare о котором писал в статье самый быстрый dns сервис. Так вот CloudFlare использует DNS over TLS с самого начала открытия. А если брать Google dns сервис(провайдер, резолвер) то он начал использовать только не давно, приблизительно октябрь 2018 года на нем заработал DNS over TLS. Ранее Google dns анонсировал что будет использовать DNS over HTTPS о Google dns я также рассказывал в статье Фильтрация с помощью DNS от Google. О других сервис dns вы можете узнать из предложенных статей выше там будут ссылки, если вас интересуют к примеру Yandex dns.
    2. Что такое DNS over TLS?

    3. DNS over TLS это туннель в котором посылаются запросы до выбранного вами dns сервиса(скажем 1.1.1.1) но только если dns сервис поддерживает такое соединение. Ну а какие dns сервис поддерживают такие соединения я говорил чуть выше их пять на данный момент ноябрь 2018 года. Говоря более конкретней если вы используете dns обычный скажем вашего интернет провайдера или сервиса который не поддерживает туннель то все запросы будут ему видны, куда вы ходите что посещаете. Таким образом провайдер может подменять ваши запросы на нужные ему, также делают и мошенники только перехватывая dns трафик. Конечно сей час любой dns сервис поддерживает https шифрования и ваш трафик попросту шифруется передавая его в обе стороны. Но время идет и надо думать о более безопасных методах и теперь помимо шифрования есть еще и туннель который создается между вами сервисом dns если он поддерживает.
    4. Как работает DNS over TLS?

    5. Выполняется TLS-подключение скажем на порт TCP:853, проверка сертификата сервиса dns происходит с использованием системных корневых сертификатов, точно так же как HTTPS в браузере когда сайты посещаете, как пример я рассказывал в статье Посещать сайты по HTTPS. Это избавляет от необходимости добавлять ключи вручную типо как проходить авторизацию, после как ключи проверенны и создается подключение между вашим пк и сервисом dns(резолвером) создается уже туннель ну а внутри тоннеля выполняется обычный DNS-запрос. Это создает меньше накладных расходов по сравнению с DNS over HTTPS, который добавляет HTTP-заголовки к запросу и ответу. На текущий момент только в Android 9 (Pie) о котором я не давно тоже рассказывал в статье Какие смартфоны получат обновления до Pie, поддержка DNS over TLS встроена в системный резолвер. Инструкция по настройке для Android 9, правда на английском есть на сервисе dns 1.1.1.1 переходим если надо. Для остальных систем предлагается использовать сторонний демон, а системный резолвер направлять на localhost (127.0.0.1) это как пример о нем в статье dns crypt только там шифрование https но принцип настройки тот же и если руки есть можно настроить таким образом, только логика еще потребуется.
    6. DNS через TLS поддерживается основными поставщиками DNS. что не относится к DNSCrypt. Хранитель DNSCrypt не поддерживал его, закрыл репозиторий на GitHub? и поставить домен в продажу. Репозиторий уже клонирован и теперь поддерживается Dyne, и они не планируют добавлять какие-либо новые функции, поэтому DNSCrypt отказывается в пользу стандарта «DNS over TLS». И в отличие от DNSCrypt, «DNS over TLS» имеет стандарт RFC.
    7. Разница между DNSCrypt, DNSSEC, DNS over TLS/HTTPS.

      DNS over SSH

    8. Полное шифрование протокола DNS
    9. Может быть развернута в любой системе, на которой уже запущен SSH-сервер
    10. Боевой тест, широко используемый транспортный протокол
    11. Не зависит от корневых центров сертификации
    12. Может использовать DNSSEC или частные CA для проверки открытого ключа
    13. Поддерживает множественные механизмы аутентификации
    14. Не требует стека TLS; в современных реализациях даже не требуется OpenSSL
    15. Минусы
    16. Очень сложно настроить безопасно
    17. Требуется TCP
    18. Текущие реализации не масштабируются хорошо на стороне сервера
    19. Запросы UDP требуют инкапсуляции TCP
    20. Протокол SFTP поддерживает переупорядочение и параллелизм, но обычное туннелирование DNS-over-SSH не может использовать это
    21. DNS over TLS (RFC7858)

    22. Полное шифрование протокола DNS
    23. Имеет низкое, но все большее число серверов в развертывании
    24. Частично указано как RFC
    25. Many реализации, выполненные на разных этапах
    26. Предоставляет больше информации, чем обычный DNS для операторов-резольверов, чтобы отпечатать клиентов, и это (намеренно?) никогда не рассматривалось в спецификации
    27. Минусы
    28. Использует выделенный порт (853), который может быть заблокирован или контролироваться в ситуациях, когда шифрование DNS полезно
    29. Первоначальное соединение происходит медленно из-за длинного рукопожатия (до тех пор, пока не будет развернуто TLS 1.3, что может занять время из-за промежуточных блоков)
    30. Не понимают даже его сторонники. Это грузовик, поскольку он тяжелый и медленный для загрузки, но большинство, если не все реализации, выполняют полный раунд для каждого пакета (даже отличную библиотеку miekg / dns, используемую Tenta).
    31. Правила заполнения не были указаны кроме черновика, который не имеет реализаций, и взлом в последнюю минуту, который требует изменения наборов записей DNS перед их переносом
    32. Требуется полный стек TLS, представляющий большую поверхность атаки
    33. Трудно реализовать безопасно. Проверка сертификатов TLS в не-браузерном программном обеспечении является самым опасным кодом в мире
    34. Легко совместим с отраслевыми, стандартные устройства перехвата / контроля TLS. Наличие людей для установки дополнительных корневых сертификатов проще, чем пользовательское программное обеспечение. Поставщики всегда готовы пассивно извлекать информацию из сеансов TLS 1.3.
    35. Требуется TCP
    36. Требуется отслеживание сеансов на сервере
    37. TLS - общий механизм транспорта.
    38. Он не поддерживает переупорядочение и параллелизм и не включает в себя какие-либо способы управления приоритетами. Для этого необходимо изобрести и внедрить новые механизмы.
    39. Управление ключами может быть на удивление жестким, особенно если использование ключей открытого ключа используется клиентами
    40. Позволяет использовать небезопасные алгоритмы и параметры
    41. Будет сложно улучшить, не вводя больше хаков. Вряд ли можно извлечь выгоду из любых улучшений, помимо новых версий TLS или внутренних изменений.
    42. Сомнительные практические преимущества перед DoH
    43. DNS over HTTPS (DoH)

    44. Полное шифрование протокола DNS
    45. Разрабатываются новые реализации
    46. Минимальная версия HTTP, используемая DoH, должна быть HTTP / 2
    47. Использует стандартный HTTP / 2, стандартный порт (443)
    48. автоматически получит выгоду от улучшений, сделанных в HTTP / 2, и, в конечном итоге, QUIC
    49. Меньше вероятность блокировки других опций
    50. Может быть тривиально развернут на любом веб-сервере и работать по существующим веб-сайтам; Ответ DNS обрабатывается как простые веб-страницы
    51. Может совместно использовать ту же инфраструктуру, что и существующие веб-сайты, и использовать одни и те же сертификаты
    52. Простая реализация поверх любого существующего веб-стека
    53. Немедленно совместим с кешированием прокси и CDN
    54. Позволяет веб-браузерам выполнять DNS-запросы с помощью Javascript
    55. Поддерживает переупорядочение, параллельность и приоритеты благодаря HTTP / 2
    56. Может использовать существующие механизмы заполнения (заполнение HTTP / 2 кадра)
    57. Уже реализован Google DNS (хотя и не последний проект)
    58. Поддерживается CuRL: скоро будет доступен на всех языках программирования с привязками для libcurl
    59. Доступно в Firefox
    60. Ведется работа по использованию DoH и CDN для повышения производительности веб-приложений. DoH digests
    61. Указывается как RFC
    62. Минусы
    63. Предоставляет больше информации, чем обычный DNS для операторов-резольверов, чтобы отпечатать клиентов, но это рассматривается в спецификации
    64. Требуется полный стек TLS и веб-сервер
    65. Инструменты перехвата / мониторинга доступны
    66. Управление ключами может быть на удивление жестким, особенно если использование ключей открытого ключа используется клиентами
    67. Позволяет использовать небезопасные алгоритмы и параметры
    68. Требуется TCP
    69. DNS-over-DTLS (RFC8094)

    70. Минусы
    71. Нет известных реализаций
    72. Множество уязвимостей безопасности в OpenSSL из-за DTLS
    73. DNS over QUIC

    74. Полное шифрование протокола DNS
    75. Минусы
    76. Использует выделенный порт: 784
    77. RFC находится в черновом режиме
    78. Настройка dns-over-tls с помощью dnsprivacy

    79. Как выше говорилось на счет dnscrypt, также и dnsprivacy предлагает клиент скажем, для настройки dns-over-tls. Ссылки на официальный сайт предоставлю в конце статьи а сей час не много расскажу о dnsprivacy. Для того чтобы установить его в систему, надо скачать с официального сайта файл, под разрядность системы и установить, как обычно кликнув мышкой два раза по файлу. Клиент Stubby установится в папку "C:\Program Files\Stubby" где можно найти все установленные файлы, а также файлы настройки.
    80. На официальном сайте пишут что с выходом новых версий клиент будет устанавливаться в папки по разрядности, цитирую:
    81. В 64-битной установке Windows 32-битная установка помещает файлы в C: \ Program Files (x86) \ Stubby. Все остальные установки помещают файлы в C: \ Program Files \ Stubby.
    82. README.txt - содержащий эти инструкции
    83. stubby.exe - двоичный файл
    84. stubby.yml - файл конфигурации
    85. getdns_query.exe - инструмент для тестирования stubby
    86. getdns_server_mon.exe - инструмент для исследования серверов
    87. Сценарии Powershell для изменения системных преобразователей: stubby_setdns_windows.ps1 - stubby_resetdns_windows.ps1
    88. Версии скриптов Powershell для Windows 7 : stubby_setdns_windows7.ps1 - stubby_resetdns_windows7.ps1
    89. Сценарии, позволяющие настроить Stubby как запланированную задачу: stubby.xml - stubby.bat
    90. Настроить stubby не сложно прочитав на официальном сайте, все настройки и изменения в версиях рассказывается там, ссылки ниже. Лично я порекомендовал вам сделать проще, настроить vpn, если кто не знает читаем статью "Настройка OpenVpn" и задать dns сервера CloudFlare, самого быстрого и использующего самым первым dns-over-tls, о нем в статье "DNS резолвер CloudFlare". Это будет проще для простого пользователя и меньше настроек, нет работы с командной строкой, а эффект будет таким же. Конечно дело ваше, ссылки как обещал все ниже.

    91. Ссылки на статьи упоминающиеся в статье:

    92. Перейти Добавление поддержки DNS-Over-TLS для OpenWRT (LEDE) с помощью Unbound
    93. Перейти Оригинал на сайте DNS CRYPT
    94. ПерейтиGoogle DNS over HTTPS.
    95. Перейти Инструкция по настройке для Android 9 DNS-Over-TLS.
    96. Перейти Настройка DNS over TLS macOS knot.
    97. Перейти Скачать клиент Stubby и настройка.
    98. Перейти Документация настройки DNS over TLS Stubby.
    99. Статьи похожей тематики:

      Ваш провайдер использует целенаправленные помехи в Вашем интернет соединении(Цензура)(ooni)?
      Поисковые системы интернета. Находить нужную информацию быстро и точно.
      Обзор программы Wireshark и пример захват передаваемых пакетов.
      Wireshark, продолжение захват паролей.
      ПОСМОТРЕТЬ ВСЕ СОХРАНЕННЫЕ ПАРОЛИ ВО ВСЕХ БРАУЗЕРАХ.
      Общаемся со своими знакомыми и друзьями, в своей сети, в своем интернет пейджере.
      Удаленное администрирование, удаленная помощь.
      Кто и когда заходит в мою почту?
      Интерактивная карта кибер угроз от компании Kaspersky Lab.
      Подключение по FTP к серверу с помощью TOTAL COMMANDER.
      ФИЛЬТРАЦИЯ И ЗАЩИТА С ПОМОЩЬЮ DNS ОТ ЯНДЕКС.
      Зашифровать DNS трафик и уберечь от третьей стороны, поможет DNSCrypt.
      Фильтрация с помощью DNS от Google.
      Кто подключен к Вашему WIFI? Антивирус для локальной сети.
      Статические и динамические, белые и серые, IP адреса. Что скачивал в интернете определенный IP?
      Мониторинг портов и трафика с помощью специализированных программ.
      Безопасность вашего сервера или компьютера, локальной сети и интернет. Какие двери открыты к вам?
      Анонимность в интернет и смена IP адреса, OpenVpn.
      Страшные поисковики интернета, ищут устройства подключенные к интернет.
      Открывать сайты по протоколу HTTPS. Шифрование передачи трафика между Вашем пк и сайтом.
      ЗАЩИТА МАРШРУТИЗАТОРА ИЛИ КАК ЗАЙТИ В ГОСТИ ЧЕРЕЗ ЧЕРНЫЙ ХОД.
      Как сделать свой собственный прокси сервер с минимальными настройками и компьютерными ресурсами, с любой системой.
      Передать любой файл, любого размера, прямо с вашего компьютера, в зашифрованном виде.