DNS over TLS (DoT)
DNS over TLS (DoT) הוא פרוטוקול אבטחת מידע שמצפין ועוטף את שאילתות והתגובות של Domain Name System (DNS) באמצעות פרוטוקול TLS. מטרת השיטה היא להגדיל את פרטיות וביטחון המשתמשים על ידי מניעת האזנה ומניפולציה של נתוני ה-DNS באמצעות התקפת אדם בתווך. הפורט הנפוץ עבור DoT הוא 853.
בעוד ש-DNS over TLS ישים לכל שאילתת DNS, הוא היה בשימוש לראשונה לתקשורת בין שרתי Stub Resolvers או Forwarding Resolvers לבין Recursive Resolvers, במאי 2016. הגדיר הIETF את השימוש ב-DoT בין שרתים חזרתיים לבין שרתים סמכותיים ("Authoritative DNS over TLS" או "ADoT")[1] ויישום קשור בין שרתים סמכותיים ("Zone Transfer-over-TLS" או "xfr-over-TLS").[2]
תוכנת שרת
BIND תומך בחיבורי DoT החל מגרסה 9.17.[3] גרסאות מוקדמות הציעו יכולת DoT באמצעות פרוקסי דרך stunnel.[4] Unbound תומך ב-DNS over TLS מאז 22 בינואר 2023.[5][6] Unwind תומך ב-DoT מאז 29 בינואר 2023.[7][8] עם תמיכת Pie של אנדרואיד ב-DNS over TLS, חלק מהחוסמי הפרסומות כעת תומכים בשימוש בפרוטוקול המוצפן כאמצעי נגיש יחסית לגישה לשירותיהם, בניגוד לשיטות עוקפות אחרות כמו VPNs ושרתי פרוקסי.[9][10][11][12]
תוכנת לקוח
לקוחות אנדרואיד עם גרסת אנדרואיד פאי או גרסאות אנדרואיד חדשות יותר תומכים ב-DNS over TLS וישתמשו בו כברירת מחדל אם תשתית הרשת, כגון ספק האינטרנט, תומכת בכך.[13][14]
באפריל 2018, גוגל הכריזה ש-אנדרואיד פאי תכלול תמיכה ב-DNS over TLS,[15] ותאפשר למשתמשים להגדיר שרת DNS ברמת הטלפון הן בחיבורי Wi-Fi והן בחיבורי סלולר, אופציה שהייתה זמינה רק במכשירים עם הרשאות שורש. DNSDist, מ-PowerDNS, גם הכריזה על תמיכה ב-DNS over TLS בגרסה 1.3.0.[16]
משתמשי לינוקס ו-Windows יכולים להשתמש ב-DNS over TLS כלקוח דרך stubby של NLnet Labs או Knot Resolver.[17] לחלופין, ניתן להתקין getdns-utils[18] כדי להשתמש ב-DoT ישירות עם הכלי getdns_query. גם ה-DNS resolver של unbound מבית NLnet Labs תומך ב-DNS over TLS.[19]
iOS 14 של אפל הציגה תמיכה ברמת מערכת ההפעלה עבור DNS over TLS (וגם DNS over HTTPS). iOS אינה מאפשרת תצורה ידנית של שרתי DoT, ודורשת שימוש באפליקציה של צד שלישי כדי לבצע שינויים בתצורה.[20]
systemd-resolved הוא מימוש עבור לינוקס בלבד שניתן להגדירו לשימוש ב-DNS over TLS על ידי עריכת הקובץ /etc/systemd/resolved.conf
ואפשרת ההגדרה DNSOverTLS
.[21][22] רוב הפצות הלינוקס הגדולות מתקינות systemd כברירת מחדל.
פתרונות DNS ציבוריים
DNS over TLS יושם לראשונה בפתרון DNS חזרתי ציבורי על ידי Quad9 בשנת 2017.[23][24] מפעילי שרתי DNS אחרים כמו Google ו-Cloudflare הלכו בעקבותיו בשנים שלאחר מכן, וכעת מדובר בתכונה נתמכת בצורה רחבה הזמינה לרוב בשרתים חזרתיים גדולים.[25][26][27][28][29][30][31][32][12]
ביקורות ושיקולי יישום
DoT יכול להפריע לניתוח ומעקב אחר תעבורת DNS למטרות אבטחת סייבר. נעשה שימוש ב-DoT כדי לעקוף בקרת הורים שפועלת ברמת DNS הסטנדרטי (ללא הצפנה); Circle, ראוטר בקרת הורים שמסתמך על שאילתות DNS כדי לבדוק דומיינים מול רשימת חסימה, חוסם DoT כברירת מחדל בגלל זה.[33] עם זאת, ישנם ספקי DNS שמציעים סינון ובקרת הורים יחד עם תמיכה ב-DoT ו-DoH.[34][35][36][37][38][12] בתרחיש זה, שאילתות DNS נבדקות מול רשימות חסימה לאחר שהן מתקבלות על ידי הספק במקום לפני שהן נשלחות מהראוטר של המשתמש.
כמו בכל תקשורת, הצפנת בקשות DNS בפני עצמה אינה מגינה על פרטיות. היא מגינה מפני צופים של צד שלישי, אך אינה מבטיחה מה עושים נקודות הקצה עם הנתונים (המפוענחים) לאחר מכן.
לקוחות DoT לא בהכרח מבצעים שאילתות ישירות מול שרתים סמכותיים. הלקוח עשוי להסתמך על שרת DoT המשתמש בשאילתות מסורתיות (פורט 53 או 853) כדי להגיע בסופו של דבר לשרתים סמכותיים. לכן, DoT אינו נחשב פרוטוקול הצפנה מקצה לקצה, אלא רק הצפנה "מהקפיצה להקפיצה" וגם זאת רק אם נעשה שימוש ב-DNS over TLS בצורה עקבית.
חלופות
DNS over HTTPS (DoH) הוא תקן פרוטוקול דומה להצפנת שאילתות DNS, שנבדל רק בשיטות ההצפנה וההעברה מ-DoT. מנקודת מבט של פרטיות ואבטחה, השאלה אם ישנו פרוטוקול עליון ביניהם שנויה במחלוקת, בעוד אחרים טוענים כי היתרונות של כל אחד תלויים במקרה השימוש הספציפי.[39]
DNSCrypt הוא פרוטוקול רשת נוסף שמאמת ומצפין תעבורת DNS, אם כי הוא מעולם לא הוצע ל-(IETF) (RFC) בהליכים המקובלים ליצירת פרוטוקלים.
ראו גם
קישורים חיצוניים
הערות שוליים
- ^ Henderson, Karl; April, Tim; Livingood, Jason (2020-02-14). "Authoritative DNS-over-TLS Operational Considerations". Ietf Datatracker. Internet Engineering Task Force. נבדק ב-17 ביולי 2021.
{{cite news}}
: (עזרה) - ^ Mankin, Allison (2019-07-08). "DNS Zone Transfer-over-TLS". Ietf Datatracker. Internet Engineering Task Force. נבדק ב-17 ביולי 2021.
{{cite news}}
: (עזרה) - ^ "4. BIND 9 Configuration Reference — BIND 9 documentation". bind9.readthedocs.io (באנגלית). נבדק ב-2021-11-14.
- ^ "Bind - DNS over TLS". אורכב מ-המקור ב-2017-10-20. נבדק ב-2018-05-15.
- ^ "Unbound version 1.7.3 Changelog". אורכב מ-המקור ב-2018-08-07. נבדק ב-2018-08-07.
- ^ Aleksandersen, Daniel. "Actually secure DNS over TLS in Unbound". Ctrl blog (באנגלית). נבדק ב-2018-08-07.
- ^ "openbsd-cvs mailing list archives".
- ^ "openbsd-cvs mailing list archives".
- ^ "blockerDNS - Block Ads and Online Trackers So You Can Browse the Web Privately on Your Android Phone Without Installing an App!". blockerdns.com. נבדק ב-2019-08-14.
- ^ "The official release of AdGuard DNS — a new unique approach to privacy-oriented DNS". AdGuard Blog (באנגלית). נבדק ב-2019-08-14.
- ^ "Blahdns -- Dns service support DoH, DoT, DNSCrypt". blahdns.com. נבדק ב-2019-08-14.
- ^ 12.0 12.1 12.2 "NextDNS". NextDNS (באנגלית). נבדק ב-2023-12-16.
- ^ "DNS over TLS support in Android P Developer Preview". Android Developers Blog (באנגלית). נבדק ב-2019-12-07.
- ^ Wallen, Jack (23 באוגוסט 2018). "How to enable DNS over TLS in Android Pie". TechRepublic (באנגלית). נבדק ב-2021-03-17.
{{cite web}}
: (עזרה) - ^ "DNS over TLS support in Android P Developer Preview". Google Security Blog. 17 באפריל 2018.
{{cite web}}
: (עזרה) - ^ "DNS-over-TLS". dnsdist.org. נבדק ב-25 באפריל 2018.
{{cite web}}
: (עזרה) - ^ "Knot Resolver".
- ^ Package: getdns-utils (באנגלית), נבדק ב-2019-04-04
- ^ "Unbound - About". NLnet Labs (באנגלית). נבדק ב-2020-05-26.
- ^ Cimpanu, Catalin. "Apple adds support for encrypted DNS (DoH and DoT)". ZDNet (באנגלית). נבדק ב-2020-10-03.
- ^ "resolved.conf manual page". נבדק ב-16 בדצמבר 2019.
{{cite web}}
: (עזרה) - ^ "Fedora Magazine: Use DNS over TLS". 10 ביולי 2020. נבדק ב-4 בספטמבר 2020.
{{cite web}}
: (עזרה) - ^ Band, Alex (2017-11-20). "Privacy: Using DNS-over-TLS with the Quad9 DNS Service". Medium. נבדק ב-17 ביולי 2021.
Recently the Quad9 DNS service was launched. Quad9 differentiates from similar services by focusing on security and privacy. One interesting feature is the fact that you can communicate with the service using DNS-over-TLS. This encrypts the communication between your client and the DNS server, safeguarding your privacy.
{{cite web}}
: (עזרה) - ^ Bortzmeyer, Stéphane (2017-11-21). "Quad9 is a public DNS resolver, with promises of better privacy, and a DNS-over-TLS access". RIPE Labs. נבדק ב-17 ביולי 2021.
Last week, the new DNS resolver Quad9 has been announced. It is a public DNS resolver with the additional benefit that it is accessible in a secure way over TLS (RFC 7858). There are plenty of public DNS resolvers, but the link to them is not secure. This allows hijackings, as seen in Turkey, as well as third-party monitoring. The new Quad9 service on the other hand is operated by the not-for-profit Packet Clearing House (PCH), which manages large parts of the DNS infrastructure, and it allows access to the DNS over TLS. This makes it very difficult for third parties to listen in. And it makes it possible to authenticate the resolver.
{{cite web}}
: (עזרה) - ^ "Public DNS resolver Anycast DNS for All". www.dnslify.com. אורכב מ-המקור ב-2020-07-24. נבדק ב-2020-05-26.
- ^ "Telsy TRT" (באנגלית אמריקאית). אורכב מ-המקור ב-2021-01-31. נבדק ב-2020-05-26.
- ^ "How to keep your ISP's nose out of your browser history with encrypted DNS". Ars Technica (באנגלית אמריקאית). נבדק ב-2018-04-08.
- ^ "DNS over TLS - Cloudflare Resolver". developers.cloudflare.com (באנגלית). נבדק ב-2018-04-08.
- ^ "Google Public DNS now supports DNS-over-TLS". Google Online Security Blog (באנגלית). נבדק ב-2019-01-10.
- ^ "Quad9, a Public DNS Resolver - with Security". RIPE Labs. 21 בנובמבר 2017. נבדק ב-2018-04-08.
{{cite web}}
: (עזרה) - ^ "Troubleshooting DNS over TLS". 13 במאי 2018.
{{cite web}}
: (עזרה) - ^ "LibreDNS". LibreDNS (באנגלית). נבדק ב-2019-10-20.
- ^ "Managing encrypted DNS connections (DNS over TLS, DNS over HTTPS) with Circle". Circle Support Center (באנגלית אמריקאית). אורכב מ-המקור ב-2020-08-03. נבדק ב-2020-07-07.
- ^ Gallagher, Sean (16 בנובמבר 2017). "New Quad9 DNS service blocks malicious domains for everyone". Ars Technica. נבדק ב-14 בנובמבר 2021.
The system blocks domains associated with botnets, phishing attacks, and other malicious Internet hosts.
{{cite news}}
: (עזרה) - ^ "Parental Control with DNS over TLS Support". CleanBrowsing (באנגלית). נבדק ב-2020-08-20.
- ^ "Parental Control with DNS Over HTTPS (DoH) Support". CleanBrowsing (באנגלית). נבדק ב-2020-08-20.
- ^ "Products". blockerdns.com (באנגלית). נבדק ב-2020-08-20.
- ^ "Protect your privacy with DNS-over-TLS on SafeDNS". SafeDNS (באנגלית). אורכב מ-המקור ב-2020-09-18. נבדק ב-2020-08-20.
- ^ Claburn, Thomas (2020-05-20). "Google rolls out pro-privacy DNS-over-HTTPS support in Chrome 83... with a handy kill switch for corporate IT". The Register (באנגלית). נבדק ב-2021-02-03.
39375679DNS over TLS (DoT)