Vysvětleno šifrování DNS

S Windows 11 umožnil Microsoft funkci DOH znovu a uživatelé ji mohou začít znovu testovat, pokud v současné době používají servery DNS z Cloudflare, Google nebo Quad9.

Přehled DNS

Systém názvu domény je „telefonní kniha internetu“. DNS převádí doménové jména na IP adresy, takže prohlížeče a další služby mohou načíst internetové prostředky prostřednictvím decentralizované sítě serverů.

Co je DNS ?¶

Když navštívíte web, vrátí se numerická adresa. Například když navštívíte soukromí.org, adresa 192.98.54.105 se vrátí.

DNS existuje od prvních dnů internetu. Žádosti DNS podané na serverech DNS a z DNS jsou ne obecně šifrované. V rezidenčním prostředí je zákazník poskytován servery ISP prostřednictvím DHCP.

Nešifrované požadavky DNS jsou schopny být snadno dohled a upraveno v tranzitu. V některých částech světa je nařízeno poskytovatelé internetových služeb, aby provedli primitivní filtrování DNS. Když požádáte o IP adresu domény, která je blokována, nesmí server reagovat nebo může reagovat jinou IP adresou. Protože protokol DNS není šifrován, může ISP (nebo jakýkoli operátor sítě) použít DPI ke sledování požadavků. ISP mohou také blokovat požadavky na základě běžných charakteristik, bez ohledu na to, který server DNS je použit. Nešifrované DNS vždy používá Port 53 a vždy používá UDP .

Níže diskutujeme a poskytujeme tutoriál, abychom dokázali, co může vnější pozorovatel vidět pomocí pravidelných nešifrovaných DNS a šifrovaných DNS .

Nešifrované DNS ¶

  1. Pomocí Tshark (část projektu Wireshark) můžeme sledovat a zaznamenávat tok internetových paketů. Tento příkaz zaznamenává pakety, které splňují stanovená pravidla:
tshark -w /tmp /dns.PCAP UDP Port 53 a hostitel 1.1.1.1 nebo hostitel 8.8.8.8 

Linux, Macos Windows

DIG +NOALL +Odpověď na soukromí.org @1.1.1.1 DIG +NOALL +Odpověď na soukromí.org @8.8.8.8 
NSLOOKUP PRIVALGUIDES.org 1.1.1.1 NSLOOKUP PRIVALGUIDES.org 8.8.8.8 

Wireshark Tshark

Wireshark -R /TMP /DNS.PCAP 
Tshark -r /tmp /dns.PCAP 

Pokud spustíte příkaz Wireshark výše, horní podokno zobrazí „rámce“ a spodní podokna zobrazuje všechna data o vybraném rámci. Proces může provádět proces provádět automaticky, bez interakce s lidmi a může tyto rámce agregovat tyto rámce za účelem vytvoření statistických údajů užitečných pro pozorovače sítě (jako jsou ta, jako jsou ta, jako jsou ta, jako jsou ta, například ta, která zakoupená vládami) mohou provádět automaticky a mohou agregovat tyto rámce za účelem vytvoření statistických dat užitečných.

Ne. Čas Zdroj Destinace Protokol Délka Informace
1 0.000000 192.0.2.1 1.1.1.1 DNS 104 Standardní dotaz 0x58ba A soukromí.org opt
2 0.293395 1.1.1.1 192.0.2.1 DNS 108 Standardní odpověď dotazu 0x58ba A soukromí.org a 198.98.54.105 OPT
3 1.682109 192.0.2.1 8.8.8.8 DNS 104 Standardní dotaz 0xf1a9 A soukromí.org opt
4 2.154698 8.8.8.8 192.0.2.1 DNS 108 Standardní odezva dotazu 0xf1a9 A soukromí.org a 198.98.54.105 OPT

Pozorovatel by mohl upravit kterýkoli z těchto paketů.

Co je „šifrované DNS“?¶

Šifrované DNS se mohou odkazovat na jeden z řady protokolů, nejběžnější jsou:

Dnscrypt¶

DnScrypt byla jednou z prvních metod šifrování dotazů DNS. DNScrypt pracuje na přístavu 443 a pracuje s transportními protokoly TCP nebo UDP. DNScrypt nebyl nikdy předložen do pracovní skupiny pro internetovou inženýrství (IETF), ani neprošel procesem žádosti o komentáře (RFC), takže nebyl široce používán mimo několik implementací. V důsledku toho byl do značné míry nahrazen populárnější DNS nad HTTPS .

DNS Over TLS (DOT) ¶

DNS přes TLS je další metoda pro šifrování komunikace DNS, která je definována v RFC 7858. Podpora byla poprvé implementována v Android 9, iOS 14 a v Linuxu v DOT na DOH v posledních letech, protože DOT je složitý protokol a má různé dodržování RFC napříč existujícími implementacemi. DOT také pracuje na vyhrazeném portu 853, který lze snadno zablokovat restriktivními firewally.

DNS Over HTTPS (DOH) ¶

DNS přes HTTPS Jak je definováno v balíčcích RFC 8484 dotazů v protokolu HTTP /2 a poskytuje zabezpečení HTTPS . Podpora byla poprvé přidána do webových prohlížečů, jako je Firefox 60 a Chrome 83.

Nativní implementace DOH se objevila v iOS 14, MacOS 11, Microsoft Windows a Android 13 (ve výchozím nastavení však nebude povoleno). Na implementaci SystemD čeká obecná podpora stolních počítačů Linux, takže instalace softwaru třetích stran je stále vyžadována.

Co může vidět vnější strana?¶

V tomto příkladu zaznamenáme, co se stane, když požádáme o žádost DOH:

    Nejprve začněte Tshark:

tshark -w /tmp /dns_doh.PCAP -f "TCP port HTTPS a hostitel 1.1.1.1 " 
curl -vi -doh -url https: // 1.1.1.1/DNS-Query https: // soukromí.org 
Wireshark -R /TMP /DNS_DOH.PCAP 

Vidíme založení připojení a handshake TLS, ke kterému dochází s jakýmkoli šifrovaným připojením. Při pohledu na následné pakety „aplikačních dat“, žádná z nich neobsahuje doménu, kterou jsme požadovali, nebo vrácená adresa IP.

Proč by neměl Používám šifrované DNS ?¶

V místech, kde dochází k filtrování internetu (nebo cenzury), může mít návštěva zakázaných zdrojů své vlastní důsledky, které byste měli zvážit ve svém modelu hrozeb. My ano ne navrhnout použití šifrovaných DNS za tímto účelem. Místo toho použijte tor nebo VPN. Pokud používáte VPN, měli byste použít servery DNS VPN. Při používání VPN jim již důvěřujete s veškerou vaší síťovou činností.

Když děláme vyhledávání DNS, je to obecně proto, že chceme získat přístup ke zdroji. Níže budeme diskutovat o některých metodách, které mohou zveřejnit vaše prohlížecí činnosti, i když používají šifrované DNS:

IP adresa¶

Nejjednodušší způsob, jak určit aktivitu procházení, může být podívat se na IP adresy, ke kterým jsou vaše zařízení přistupují. Například, pokud pozorovatel ví, že soukromí.org je v roce 198.98.54.105 a vaše zařízení požaduje data z roku 198.98.54.105, existuje velká šance, že navštěvujete průvodce soukromí.

Tato metoda je užitečná pouze tehdy, když IP adresa patří na server, který hostí pouze několik webových stránek. Není to také příliš užitečné, pokud je web hostován na sdílené platformě (E.G. Stránky GitHub, stránky Cloudflare, Netlify, WordPress, Blogger atd.). Není to také příliš užitečné, pokud je server hostován za reverzní proxy, což je velmi běžné na moderním internetu.

Indikace názvu serveru (SNI) ¶

Indikace názvu serveru se obvykle používá, když IP adresa hostí mnoho webových stránek. Může to být služba jako Cloudflare nebo nějaká jiná ochrana útoku za popření.

    Začněte znovu zachytit s Tshark . Přidali jsme filtr s naší IP adresou, abyste nezachytili mnoho paketů:

tshark -w /tmp /pg.Port PCAP 443 a hostitel 198.98.54.105 
Wireshark -R /TMP /PG.PCAP 
▸ Zabezpečení transportní vrstvy ▸ tlsv1.3 Záznamová vrstva: Protokol Handshake Protocol: Klient Hello ▸ Protokol handshake: klient Hello ▸ Extension: Server_name (len = 22) ▸ Název názvu serveru Prodloužení 
tshark -r /tmp /pg.pcap -tfields -y tls.Handshake.extensions_server_name -e tls.Handshake.extensions_server_name 

To znamená, že i když používáme servery „Encrypted DNS“, doména bude pravděpodobně zveřejněna prostřednictvím SNI . TLS v1.3 protokol s sebou přináší šifrovaný klient Hello, který zabraňuje tomuto druhu úniku.

Vlády, zejména Čína a Rusko, to již začaly blokovat, nebo vyjádřily touhu tak učinit. Rusko nedávno začalo blokovat zahraniční webové stránky, které používají standard HTTP /3. Je to proto, že protokol Quic, který je součástí HTTP /3.

Protokol stavu online certifikátu (OCSP) ¶

Dalším způsobem, jak váš prohlížeč může zveřejnit vaše aktivity pro prohlížení, je s protokolem o stavu online certifikátu. Při návštěvě webové stránky HTTPS může prohlížeč zkontrolovat, zda byl osvědčení webu zrušen. To se obvykle provádí prostřednictvím protokolu HTTP, což znamená, že je ne šifrované.

Žádost OCSP obsahuje certifikát „sériové číslo“, což je jedinečné. Je odeslán do „OCSP Responder“, aby zkontroloval jeho stav.

Můžeme simulovat, co by prohlížeč udělal pomocí příkazu OpenSSL.

    Získejte certifikát serveru a použijte SED, abyste udrželi důležitou část a zapisovali jej do souboru:

OpenSSL S_Client -Connect PrivayGuides.org: 443 /dev /null 2>A1 | SED -N '/^-*začátek/,/^-*end/p' > /tmp /pg_server.Cert 
OpenSSL S_CIENT -SHOWCERTS -Connect Privayguides.org: 443 /dev /null 2>A1 | SED -N '/^-*začátek/,/^-*end/p' > /tmp /pg_and_intermediate.Cert 
SED -N '/^-*Konečný certifikát-*$/!d;: a n; p; ba ' \ /tmp/pg_and_intermediate.CERT> /TMP /Intermediate_chain.Cert 
OpenSSL x509 -noout -ocsp_uri -in /tmp /pg_server.Cert 

Náš certifikát ukazuje respondenta certifikátu LeT. Pokud chceme vidět všechny podrobnosti o certifikátu, který můžeme použít:

OpenSSL X509 -Text -noout -in /tmp /pg_server.Cert 
tshark -w /tmp /pg_ocsp.PCAP -f "TCP port http" 
OpenSSL OCSP -issuer /TMP /Intermediate_chain.Cert \ -CERT /TMP /PG_SERVER.Cert \ -text \ -URL http: // r3.Ó.Lencr.org 
Wireshark -R /TMP /PG_OCSP.PCAP 

K dispozici budou dva pakety s protokolem „OCSP“: „požadavek“ a „odpověď“. Pro „požadavek“ vidíme „sériové číslo“ rozšířením trojúhelníku ▸ vedle každého pole:

▸ Protokol o stavu certifikátu online ▸ TBSRequest ▸ Seznam požadavků: 1 Položka ▸ požadavek ▸ reqcert serialNumber 

Pro „odpověď“ můžeme také vidět „sériové číslo“:

▸ Protokol o stavu online certifikátu ▸ ResponseBytes ▸ BasicOCSPResponse ▸ TbsResponSedata ▸ Odpovědi: 1 Položka ▸ singleresponse ▸ Certid SerialNumber 
tshark -r /tmp /pg_ocsp.pcap -tfields -y ocsp.SerialNumber -e OCSP.sériové číslo 

Pokud má pozorovatel sítě veřejný certifikát, který je veřejně k dispozici, mohou s tímto certifikátem odpovídat sériovému číslu, a proto určit stránky, které z něj navštěvujete. Proces může být automatizován a může spojit IP adresy se sériovými čísly. Je také možné zkontrolovat protokoly transparentnosti certifikátu pro sériové číslo.

Měl bych použít šifrované DNS ?¶

Udělali jsme tento vývojový diagram, abychom popsali, když jste by měl Použijte šifrované DNS:

Graph TB START [START] -> Anonymous Anonymous?> Anonymous-> | Ano | Tor (používat tor) Anonymous -> | Ne | Centzurová cenzura?> Cenzura -> | Ano | vPnortor (použití 
VPN nebo TOR) CENSORSHOR -> | Ne | Ochrana osobních údajů od ISP?> Ochrana osobních údajů -> | Ano | VPNORTOR PRIVACE -> | Ne | nepříjemný nepříjemný
přesměrování?> nepříjemný -> | Ano | Encrypteddns (použití
Šifrované DNS
s třetí stranou) nepříjemný -> | Ne | ISPDNS šifrované DNS?> ispdns -> | Ano | UseISP (použijte
Šifrované DNS
s ISP) ispdns -> | Ne | Nic (nedělejte nic)

Šifrované DNS s třetí stranou by se měly použít pouze k tomu, aby se obchákali přes přesměrování a základní blokování DNS, pokud si můžete být jisti, že nebudou mít žádné důsledky nebo máte zájem o poskytovatele, který provádí nějaké základní filtrování.

Co je DNSSEC ?¶

Rozšíření zabezpečení systému domény (DNSSEC) je rysem DNS, která ověřuje odpovědi na vyhledávání doménových názvů. Neposkytuje ochranu soukromí pro tyto vyhledávání, ale spíše brání útočníkům manipulovat nebo otravovat odpovědi na požadavky DNS.

Jinými slovy, DNSsec digitálně podepisuje data, aby pomohla zajistit jeho platnost. Aby se zajistilo bezpečné vyhledávání, dochází k podpisu na všech úrovních v procesu vyhledávání DNS. Výsledkem je, že všechny odpovědi z DNS lze důvěřovat.

Proces podpisu DNSSEC je podobný někomu, kdo podepisuje právní dokument s perem; Tato osoba podepisuje jedinečným podpisem, který nikdo jiný nemůže vytvořit, a soudní odborník se může podívat na tento podpis a ověřit, že dokument podepsal tato osoba. Tyto digitální podpisy zajišťují, že data nebyla manipulována.

DNSSec implementuje hierarchickou politiku digitálního podpisu ve všech vrstvách DNS . Například v případě soukromí.vyhledávání org, kořenový server DNS by podepsal klíč pro .org jmenovatel a .Org Nameserver by pak podepsal klíč pro soukromí.Orgův autoritativní jmenný server.

Co je minimalizace QNAME?¶

QName je „kvalifikované jméno“, například soukromí.org . Minimalizace QNAME snižuje množství informací odeslaných ze serveru DNS na server autoritativního názvu.

Místo odesílání soukromých domén domény.Org, minimalizace QNAME znamená, že server DNS požádá o všechny záznamy, které skončí .org . Další technický popis je definován v RFC 7816.

Co je podsítě klientů EDNS (ECS)?¶

Podsíť klientů EDNS je metodou pro rekurzivní resolver DNS pro specifikaci podsítě pro hostitele nebo klienta, který vytváří dotaz DNS.

Zamýšleno je „urychlit“ doručování dat tím, že klientovi poskytne odpověď, která patří k serveru, který je blízký, jako je síť doručování obsahu, která se často používá při streamování videa a servírování webových aplikací JavaScript.

Tato funkce přichází s náklady na ochranu osobních údajů, protože říká serveru DNS některé informace o umístění klienta.

Průvodce ochrany osobních údajů je neziskový, sociálně motivovaný web, který poskytuje informace pro ochranu zabezpečení a soukromí dat.
Z doporučení určitých produktů nevyděláváme peníze a nepoužíváme přidružené odkazy.
© 2019 – 2023 Průvodce a přispěvatelé ochrany osobních údajů.

Vysvětleno šifrování DNS

Systém názvů domény (DNS) je adresář internetu. Když navštívíte Cloudflare.com nebo jakýkoli jiný web, váš prohlížeč požádá o resolver DNS o IP adresu, kde je web nalezen. Bohužel tyto dotazy a odpovědi DNS jsou obvykle nechráněné. Šifrování DNS by zlepšilo soukromí a zabezpečení uživatele. V tomto příspěvku se podíváme na dva mechanismy pro šifrování DNS, známých jako DNS přes TLS (DOT) a DNS přes HTTPS (DOH), a vysvětlíte, jak fungují.

Aplikace, které chtějí vyřešit název domény na IP adresu, obvykle používají DNS. To se obvykle neděje výslovně programátorem, který napsal aplikaci. Místo toho programátor píše něco jako načtení (příklad https: //.com/novinky “) a očekává, že softwarová knihovna zvládne překlad„ Příklad.com ”na IP adresu.

V zákulisí je softwarová knihovna zodpovědná za objevování a připojení k externímu rekurzivnímu resolveru DNS a mluvení protokolu DNS (viz obrázek níže), aby se vyřešila název požadovaný aplikací. Výběr externího resolveru DNS a to, zda je poskytnuto nějaké soukromí a zabezpečení, je mimo kontrolu aplikace. Závisí to na používané softwarové knihovně a na zásadách poskytovaných operačním systémem zařízení, který spustí software.

Externí resolver DNS

Operační systém se obvykle učí adresu resolveru z místní sítě pomocí protokolu Dynamic Hostitel Configuration Protocol (DHCP). V domácích a mobilních sítích obvykle končí pomocí resolveru od poskytovatele internetových služeb (ISP). V podnikových sítích je vybraný resolver obvykle řízen správcem sítě. V případě potřeby mohou uživatelé s kontrolou nad jejich zařízeními potlačit resolver s konkrétní adresou, jako je adresa veřejného resolveru, jako je 8 Google 8.8.8.8 nebo Cloudflare’s 1.1.1.1, ale většina uživatelů se pravděpodobně neobtěžuje změnou při připojení k veřejnému hotspotu Wi-Fi na kavárně nebo letišti.

Volba externího resolveru má přímý dopad na zkušenost koncového uživatele. Většina uživatelů nemění nastavení resolveru a pravděpodobně skončí pomocí resolveru DNS od poskytovatele sítě. Nejviditelnější pozorovatelnou vlastností je rychlost a přesnost rozlišení jména. Funkce, které zlepšují soukromí nebo zabezpečení, nemusí být okamžitě viditelné, ale pomohou zabránit ostatním v profilování nebo zasahování do vaší procházení činnosti. To je obzvláště důležité pro veřejné sítě Wi-Fi, kde může kdokoli ve fyzické blízkosti zachytit a dešifrovat bezdrátový síťový provoz.

Nešifrované DNS

Od té doby, co byl DNS vytvořen v roce 1987, byl z velké části nešifrován. Každý mezi vaším zařízením a resolverem je schopen snižovat nebo dokonce upravit dotazy a odpovědi DNS. To zahrnuje kohokoli ve vaší místní síti Wi-Fi, vašeho poskytovatele internetových služeb (ISP) a poskytovatele tranzitu. To může ovlivnit vaše soukromí odhalením doménových jmen, která navštěvujete.

Co mohou vidět? Zvažte zachycení tohoto síťového paketu převzatého z notebooku připojeného k domácí síti:

Lze učinit následující pozorování:

  • Zdrojový port UDP je 53, což je standardní číslo portu pro nešifrované DNS. Užitečné zatížení UDP je proto pravděpodobně odpovědí DNS.
  • To naznačuje, že zdrojová adresa IP 192.168.2.254 je resolver DNS, zatímco cíl IP 192.168.2.14 je klient DNS.
  • Užitečné zatížení UDP lze skutečně analyzovat jako odpověď DNS a odhaluje, že se uživatel pokoušel navštívit Twitter.com.
  • Pokud existují nějaké budoucí spojení s 104.244.42.129 nebo 104.244.42.1, pak je to nejpravděpodobnější provoz, který je zaměřen na „Twitter.com ”.
  • Pokud dojde k dalšímu šifrovanému přenosu HTTPS do této IP, následoval další dotazy DNS, mohlo by to naznačovat, že webový prohlížeč z této stránky načte další zdroje. To by mohlo potenciálně odhalit stránky, na které se uživatel díval při návštěvě Twitteru.com.

Protože zprávy DNS jsou nechráněné, jsou možné další útoky:

  • Dotazy by mohly být nasměrovány na resolver, který provádí únos DNS. Například ve Velké Británii, Virgin Media a BT vrátí falešnou odpověď pro domény, které neexistují, přesměrují uživatele na stránku vyhledávání. Toto přesměrování je možné, protože počítač/telefon slepě důvěřuje resolveru DNS, který byl inzerován pomocí DHCP směrovačem brány ISP.
  • Firewally mohou snadno zachytit, blokovat nebo upravit jakýkoli nešifrovaný provoz DNS na základě samotného čísla portu. Stojí za zmínku, že pronásledová inspekce není stříbrnou kulkou pro dosažení cílů viditelnosti, protože rezolver DNS lze obejít.

Šifrování DNS

Šifrování DNS je pro Snoopers mnohem těžší podívat se na vaše zprávy DNS nebo je zkorumpovat v tranzitu. Stejně jako se web přesunul z nešifrovaného HTTP na šifrované HTTPS, nyní existují upgrady protokolu DNS, který zašifruje DNS sám. Šifrování webu umožnilo soukromé a bezpečné komunikaci a obchodu vzkvétat. Šifrování DNS dále zvýší soukromí uživatele.

Existují dva standardizované mechanismy pro zajištění transportu DNS mezi vámi a resolverem, DNS nad TLS (2016) a DNS dotazy nad HTTPS (2018). Oba jsou založeny na zabezpečení transportní vrstvy (TLS), která se také používá k zajištění komunikace mezi vámi a webem pomocí HTTPS. V TLS se server (ať už jde o webový server nebo resolver DNS) ověřuje klienta (vaše zařízení) pomocí certifikátu. Tím je zajištěno, že žádná jiná strana nemůže vydávat server (resolver).

S DNS přes TLS (DOT) je původní zpráva DNS přímo vložena do zabezpečeného kanálu TLS. Z vnějšku se nemůžeme ani naučit jméno, které bylo dotazováno, ani jej upravit. Zamýšlená klientská aplikace bude schopna dešifrovat TLS, vypadá to takto:

Ve stopě paketů pro nešifrované DNS bylo jasné, že požadavek DNS může klient odeslat přímo, následovaný odpovědí DNS od resolveru. V šifrovaném případu DOT se však některé zprávy o handshake TLS vyměňují před odesláním šifrovaných zpráv DNS:

  • Klient pošle klienta ahoj, inzeruje jeho podporované schopnosti TLS.
  • Server reaguje ahoj serverem a souhlasí s parametry TLS, které budou použity k zajištění připojení. Zpráva o certifikátu obsahuje identitu serveru, zatímco zpráva ověřte certifikát, bude obsahovat digitální podpis, který může klient ověřit pomocí serverového certifikátu. Klient obvykle kontroluje tento certifikát proti svému místnímu seznamu důvěryhodných certifikačních orgánů, ale specifikace DOT zmiňuje alternativní mechanismy důvěry, jako je připínání veřejného klíče.
  • Jakmile je handshake TLS dokončen klientem i serverem, mohou konečně začít vyměňovat šifrované zprávy.
  • Zatímco výše uvedený obrázek obsahuje jeden dotaz a odpověď DNS, v praxi zůstane bezpečné připojení TLS otevřené a bude znovu použito pro budoucí dotazy DNS.

Zajištění nešifrovaných protokolů plácnutím TLS na horní část nového portu bylo provedeno dříve:

  • Webový provoz: HTTP (TCP/80) -> HTTPS (TCP/443)
  • Odesílání e -mailu: SMTP (TCP/25) -> SMTPS (TCP/465)
  • Přijímání e -mailu: IMAP (TCP/143) -> IMAPS (TCP/993)
  • Nyní: DNS (TCP/53 nebo UDP/53) -> DOT (TCP/853)

Problém s zavedením nového port je, že existující brány firewall jej mohou blokovat. Buď proto, že používají přístup povolených listů, kde musí být nové služby výslovně povoleny, nebo přístup blocklistu, kde správce sítě výslovně blokuje službu. Pokud je zabezpečená možnost (DOT) méně pravděpodobné, že bude k dispozici než její nejistá možnost, mohou být uživatelé a aplikace v pokušení pokusit se upadnout zpět do nešifrovaných DNS. To by následně mohlo útočníkům umožnit nutit uživatele k nejisté verzi.

Takové útoky na zálohu nejsou teoretické. SSL Stripping se dříve používá k downgrade HTTPS webových stránek na HTTP, což umožňuje útočníkům ukrást hesla nebo únos účtů.

Další přístup, dotazy DNS nad HTTPS (DOH), byl navržen tak, aby podporoval dva primární případy použití:

  • Zabraňte výše uvedenému problému, kde zařízení na cestě narušují DNS. To zahrnuje výše uvedený problém blokování portů.
  • Umožněte webovým aplikacím přístup k DNS prostřednictvím stávajících API prohlížeče.
    DOH je v podstatě HTTPS, stejný šifrovaný standard, který web používá, a opětovně použije stejné číslo portu (TCP/443). Webové prohlížeče již zastaraly nezabezpečené HTTP ve prospěch HTTPS. Díky tomu je HTTPS skvělou volbou pro bezpečné přepravu zpráv DNS. Příklad takové žádosti DOH naleznete zde.

Někteří uživatelé se obávali, že použití HTTPS by mohlo oslabit soukromí v důsledku možného použití cookies pro účely sledování. Návrháři protokolu DOH zvažovali různé aspekty ochrany osobních údajů a výslovně odradili použití cookies HTTP, aby se zabránilo sledování, doporučení, které je široce respektováno. Obnovení relace TLS zlepšuje TLS 1.2 výkon handshake, ale může být potenciálně použit k korelaci připojení TLS. Naštěstí použití TLS 1.3 Vyhýbá se potřebě obnovení relace TLS snížením počtu kulatých cest ve výchozím nastavení a účinným řešením přidružených obav o ochranu osobních údajů.

Používání HTTPS znamená, že vylepšení protokolu HTTP může také prospěch DOH. Například protokol o rozvoji HTTP/3, postavený na vrcholu Quic, by mohl nabídnout další zlepšení výkonu v přítomnosti ztráty paketů v důsledku nedostatku blokování hlavy linie. To znamená, že více dotazů DNS by mohlo být zasláno současně přes zabezpečený kanál, aniž by se navzájem blokovaly, když je ztracen jeden paket.

Existují také návrh pro DNS nad Quic (DNS/Quic) a je podobný jako DOT, ale bez problému blokování hlavy v důsledku použití Quic. Jak HTTP/3, tak DNS/QUIC však vyžadují přístup k port UDP. Teoreticky by oba mohli spadnout zpět k DOH nad HTTP/2 a DOT.

Nasazení tečky a doh

Protože jsou DOT i DOH relativně nové, zatím nejsou všeobecně rozmístěny. Na straně serveru, hlavní veřejné rezolvery včetně 1 Cloudflare.1.1.1 a Google DNS to podporuje. Mnoho rezolverů ISP však stále chybí podpora. Malý seznam veřejných rezolversů podporujících DOH naleznete ve zdrojích serveru DNS, další seznam veřejných rezolversů podporujících DOT a DOH lze nalézt na veřejných rezolverech DNS Ochrana osobních údajů.

Existují dvě metody, jak povolit DOT nebo DOH na zařízeních koncových uživatelů:

  • Přidejte podporu k aplikacím a obchází službu resolveru z operačního systému.
  • Přidejte podporu operačnímu systému a transparentně poskytujte podporu aplikacím.

Na straně klienta jsou obecně tři konfigurační režimy pro DOT nebo DOH:

  • OFF: DNS nebude šifrován.
  • Oportunistický režim: Pokuste se použít zabezpečenou přepravu pro DNS, ale zaregistrovat se k nešifrovanému DNS, pokud první není k dispozici. Tento režim je náchylný k downgrade útokům, kde útočník může donutit zařízení k použití nešifrovaných DNS. Jeho cílem je nabídnout soukromí, pokud neexistují žádní aktivní útočníci na cestě.
  • Přísný režim: Zkuste použít DNS při zabezpečeném přenosu. Pokud není k dispozici, tvrdě selžete a pro uživatele ukážte chybu.

Aktuální stav konfigurace DNS v celé systémové konfiguraci při zabezpečeném přenosu:

  • Android 9: Podporuje tečka prostřednictvím své funkce „soukromého DNS“. Režimy:
    • Ve výchozím nastavení se používá oportunistický režim („automatický“). Používá se resolver z nastavení sítě (obvykle DHCP).
    • Přísný režim lze nakonfigurovat nastavením explicitního názvu hostitele. Není povolena žádná adresa IP, název hostitele je vyřešen pomocí výchozího resolveru a používá se také k ověření certifikátu. (Relevantní zdrojový kód)

    Webové prohlížeče podporují DOH místo tečky:

    • Firefox 62 podporuje DOH a poskytuje několik důvěryhodných nastavení rekurzivního resolveru (TRR). Ve výchozím nastavení je DOH deaktivován, ale Mozilla provozuje experiment, který umožňuje DOH pro některé uživatele v USA. Tento experiment v současné době používá 1 cloudflare.1.1.1 Resolver, protože jsme jediným poskytovatelem, který v současné době splňuje přísnou politiku resolveru, kterou vyžaduje Mozilla. Protože mnoho rezolversů DNS stále nepodporuje šifrovaný transport DNS, přístup Mozilly zajistí, že více uživatelů bude chráněno pomocí DOH.
      • Pokud je povoleno experimentem nebo prostřednictvím možnosti „Povolit DNS Over HTTPS“ při nastavení sítě, použije Firefox oportunistický režim (síť (síť.Trr.MODE = 2 AT Asi: config).
      • Přísný režim lze povolit pomocí sítě.Trr.režim = 3, ale vyžaduje, aby byl specifikován explicitní resolvers IP (například síť.Trr.bootstrapaddress = 1.1.1.1).
      • Zatímco Firefox ignoruje výchozí resolver ze systému, lze jej nakonfigurovat s alternativními resolvery. Kromě toho nasazení podniků, která používají rezolver, který nepodporuje DOH, mají možnost deaktivovat DOH.

      Stránka DNS přes HTTPS z projektu CURL má komplexní seznam poskytovatelů DOH a další implementace.

      Jako alternativu k šifrování plné síťové cesty mezi zařízením a externím resolverem DNS lze vzít střední půdu: Použijte nešifrované DNS mezi zařízeními a bránou místní sítě, ale šifrujte veškerý provoz DNS mezi routerem brány a externím DNS resolver. Za předpokladu zabezpečené kabelové nebo bezdrátové sítě by to chránilo všechna zařízení v místní síti proti Snooping ISP nebo jiným protivníkům na internetu. Protože veřejné hotspoty Wi-Fi nejsou považovány za bezpečné, tento přístup by nebyl v bezpečí na otevřených Wi-Fi sítích. I když je chráněno heslem s WPA2-PSK, ostatní budou stále moci snoop a upravovat nešifrované DNS.

      Další bezpečnostní úvahy

      Předchozí oddíly popsaly zabezpečené transport DNS, DOH a DOT. To pouze zajistí, že váš klient obdrží od resolveru DNS neomezenou odpověď. Ne chrání klienta před resolverem, který vrací nesprávnou odpověď (prostřednictvím únosu DNS nebo útoky otravy mezipaměti DNS)). „Pravá“ odpověď je určována vlastníkem domény nebo zóny, jak uvádí server autoritativního názvu. DNSSec umožňuje klientům ověřit integritu vrácené odpovědi DNS a chytit jakékoli neoprávněné manipulace podél cesty mezi klientem a autoritativním názvem Server.

      Nasazení DNSSec však brání Middleboxes, které nesprávně předávají zprávy DNS, ai když jsou informace k dispozici, rezolvery Stub používané v aplikacích nemusí ani ověřit výsledky. Zpráva z roku 2016 zjistila, že pouze 26% uživatelů používá rezolvery ověřujících DNSSEC.

      DOH a DOT chrání přepravu mezi klientem a veřejným resolverem. Veřejný resolver možná bude muset oslovit další autoritativní servery názvu, aby se vyřešilo jméno. Tradičně cesta mezi jakýmkoli resolverem a autoritativním serverem názvu používá nešifrované DNS. Abychom chránili také tyto zprávy DNS, provedli jsme experiment s Facebookem a pomocí tečky mezi 1.1.1.1 a autoritativní název Servery na Facebooku. Při nastavování bezpečného kanálu pomocí TLS zvyšuje latenci, může být amortizován v mnoha dotazech.

      Transportní šifrování zajišťuje, že jsou chráněny výsledky a metadata. Například informace o podsíti EDNS Client (ECS) zahrnuté do dotazů DNS by mohly odhalit původní adresu klienta, která zahájila dotaz DNS. Skrytí těchto informací podél cesty zlepšuje soukromí. Rovněž zabrání zlomeným středním boxům v rozbití DNSSEC kvůli problémům při předávání DNS.

      Provozní problémy s šifrováním DNS

      Šifrování DNS může přinést výzvy jednotlivcům nebo organizacím, které se spoléhají na monitorování nebo úpravu provozu DNS. Bezpečnostní spotřebiče, která se spoléhají na pasivní monitorování, sledují veškerý příchozí a odchozí síťový provoz na stroji nebo na okraji sítě. Na základě nešifrovaných dotazů DNS by mohli potenciálně identifikovat stroje, které jsou například infikovány malwarem. Pokud je dotaz DNS šifrován, pak by pasivní řešení monitorování nemohla monitorovat doménová jména.

      Některé strany očekávají, že pro účely, jako například: například:

      • Blokování domén používaných pro distribuci malwaru.
      • Blokování reklam.
      • Proveďte filtrování rodičovské kontroly, blokující domény spojené s obsahem dospělých.
      • Blokujte přístup k doménám sloužící nelegálním obsahu podle místních předpisů.
      • Nabídněte DNS s rozdělením horizonu a poskytnout různé odpovědi v závislosti na zdrojové síti.

      Výhodou blokování přístupu k doménám prostřednictvím resolveru DNS je to, že lze jej provést centrálně, aniž by jej v každé aplikaci znovu upravil. Bohužel je to také docela hrubé. Předpokládejme, že web hostí obsah pro více uživatelů na příkladu.com/videa/for-kids/a příklad.com/videa/for-adults/. Resolver DNS bude schopen vidět pouze „Příklad.com ”a může se rozhodnout to zablokovat nebo ne. V tomto případě by ovládací prvky specifické pro aplikaci, jako jsou rozšíření prohlížeče, by byly účinnější, protože se mohou skutečně podívat na adresu URL a selektivně zabránit dostupnosti obsahu.

      Monitorování DNS není komplexní. Malware by mohl přesouvat DNS a IP adresy Hard Code, nebo použít alternativní metody k dotazování IP adresy. Ne všechny malware je však tak komplikované, takže monitorování DNS může stále sloužit jako nástroj Defence v hloubce.

      Všechny tyto ne-pasivní monitorování nebo případy blokování DNS vyžadují podporu od resolveru DNS. Nasazení, která se spoléhají na oportunistické upgrady DOH/DOT aktuálního resolveru, udržují stejnou sadu funkcí, jak obvykle poskytuje nešifrované DNS. Bohužel je to náchylné k downgrades, jak bylo uvedeno výše. Abychom to vyřešili, mohou správci systému nasměrovat koncové body na resolver doh/dot v přísném režimu. V ideálním případě se to provádí prostřednictvím řešení pro správu zabezpečených zařízení (MDM, politika skupiny na Windows atd.).

      Závěr

      Jedním ze základních kamenů internetu je mapování názvů na adresu pomocí DNS. DNS tradičně používají nejisté, nešifrované přepravy. To bylo v minulosti zneužíváno ISP pro injekci reklam, ale také způsobuje únik soukromí. Nosy návštěvníci v kavárně mohou používat nešifrované DNS k sledování vaší činnosti. Všechny tyto problémy lze vyřešit pomocí DNS přes TLS (DOT) nebo DNS přes HTTPS (DOH). Tyto techniky na ochranu uživatele jsou relativně nové a vidí rostoucí adopci.

      Z technického hlediska je DOH velmi podobný HTTPS a sleduje obecný trend odvětví, aby zastavil možnosti nezabezpečení. Dot je jednodušší dopravní režim než DOH, protože je odstraněna vrstva HTTP, ale také usnadňuje blokování, ať už úmyslně nebo náhodou.

      Sekundárním povolením zabezpečeného přepravy je výběr resolveru DNS. Někteří dodavatelé budou používat místně nakonfigurovaný resolver DNS, ale pokusit se oportunisticky upgradovat nešifrovaný přenos na bezpečnější přepravu (buď DOT nebo DOH). Bohužel, resolver DNS obvykle výchozí hodnoty poskytnuté ISP, který nemusí podporovat zabezpečené přepravy.

      Mozilla přijala odlišný přístup. Spíše než se spoléhat na místní rezolvery, které nemusí podporovat DOH, umožňují uživateli výslovně vybrat resolver. Resolvery doporučené Mozillou musí splnit vysoké standardy, aby chránily soukromí uživatele. Aby se zajistilo, že rysy rodičovské kontroly založené na DNS zůstávají funkční a aby podpořily případ používání horizonu, přidala Mozilla mechanismus, který umožňuje soukromým resolverům deaktivovat DOH.

      Transportní protokoly DOT a DOH jsou připraveny k přechodu na bezpečnější internet. Jak je vidět v předchozích stopách paketů, tyto protokoly jsou podobné existujícím mechanismům pro zajištění provozu aplikací. Jakmile je tato díra zabezpečení a soukromí uzavřena, bude jich mnoho dalších.

      Navštivte 1.1.1.1 z jakéhokoli zařízení, které můžete začít s naší bezplatnou aplikací, díky kterému je váš internet rychlejší a bezpečnější.

      Chcete -li se dozvědět více o naší misi, abychom pomohli vytvořit lepší internet, začněte zde. Pokud hledáte nový směr kariéry, podívejte se na naše otevřené pozice.

      Windows 11 obsahuje funkci ochrany osobních údajů DNS-Over-HTTPS-Jak používat

      Windows 11

      Společnost Microsoft přidala funkci ochrany osobních údajů pro Windows 11 s názvem DNS-Over-HTTPS, což uživatelům umožňuje provádět šifrované vyhledávání DNS, aby obcházeli cenzuru a internetovou aktivitu.

      Při připojení k webu nebo jinému hostiteli na internetu musí váš počítač nejprve dotazovat server System domény (DNS) pro IP adresu, která je spojena s názvem hostitele.

      DNS-Over-HTTPS (DOH) umožňuje vašemu počítači provádět tyto vyhledávání DNS přes šifrované připojení HTTPS spíše než prostřednictvím normálního vyhledávání DNS, na kterých se ISPS a vlády mohou snižovat.

      Vzhledem k tomu, že některé vlády a poskytovatelé internetových služeb blokují spojení na weby sledováním provozu DNS uživatele, DOH umožní uživatelům obejít cenzuru, zabránit spoofingovým útokům a zvýšit soukromí, protože jejich požadavky DNS nelze tak snadno sledovat.

      Prohlížeče na bázi chromu, jako jsou Google Chrome a Microsoft Edge, a Mozilla Firefox, již přidaly podporu pro DOH. Přesto se používá pouze v prohlížeči a ne v jiných aplikacích běžících na počítači.

      Proto je užitečné, aby operační systém podporoval tuto funkci, protože pak budou šifrovány všechny vyhledávání DNS na zařízení.

      Windows 11 získává DNS-Over-Https

      Společnost Microsoft poprvé vydala DNS-Over-HTTPS na zasvěcence Windows pro testování v systému Windows 10 Preview Build 20185, ale o několik sestav je deaktivovali později.

      S Windows 11 umožnil Microsoft funkci DOH znovu a uživatelé ji mohou začít znovu testovat, pokud v současné době používají servery DNS z Cloudflare, Google nebo Quad9.

      Pokud je zařízení aktuálně nakonfigurováno tak, aby používalo server CloudFlare, Google nebo Quad9 DNS, můžete nakonfigurovat DNS-Over-HTTPS pomocí následujících kroků:

      1. Otevřete aplikaci nastavení Windows 10 a přejděte na Síť a internet.
      2. Na stránce Network & Internet klikněte na buď Ethernet nebo Bezdrátový v závislosti na síťovém připojení, které máte.

      Stránka nastavení sítě a internetu

      Možnosti sítě Ethernet

      Windows 11 DNS v nastavení HTTPS

      Preferovaná možnost šifrování DNS nabízí následující volby:

      • Pouze nešifrované – použijte standardní nešifrované DNS.
      • Pouze šifrované (DNS přes HTTPS) – Používejte pouze servery DOH.
      • Šifrované preferované, nešifrované pouze – zkuste používat servery DOH, ale pokud nejsou k dispozici, upadněte zpět na standardní nešifrované DNS.

      V tuto chvíli Microsoft uvádí, že je známo, že následující servery DNS podporují DOH a lze jej automaticky používat funkcí Windows 11 DNS-Over-HTTPS.

      • Cloudflare: 1.1.1.1 a 1.0.0.1 servery DNS
      • Google: 8.8.8.8 a 8.8.8.4 servery DNS
      • Quad9: 9.9.9.9 a 149.112.112.112 Servery DNS

      Chcete-li zobrazit nakonfigurované definice DNS-Over-HTTPS, které jsou již nakonfigurované v systému Windows 11, můžete použít následující příkazy:

      Používání Netsh: Netsh DNS Show Encryption pomocí PowerShell: Get-DNSClientDohServeraddress 

      Společnost Microsoft také umožňuje správcům vytvářet vlastní definice serveru DOH pomocí následujících příkazů:

      Používání Netsh: Netsh DNS ADD Encryption Server = [Resolver-IP-Address] Dohtemplate = [Resolver-Doh-Template] AuTOUPGRADE = YES UDPFALLBACK = NO POUŽÍVÁNÍ POWERSHELL: Add-DnsClientDohServeraddress '[Resolver-ip-Address] '[resolver -doh -template]' -allowfallbackToudp $ false -autoupgrade $ true 

      Společnost Microsoft říká, že by bylo lepší, kdyby mohl být automaticky stanoven server DNS pro konfigurovaný server DNS pro konfigurovaný server DNS, ale způsobilo by to riziko ochrany osobních údajů.

      „Pro uživatele a administrátory by bylo snazší, kdybychom povolili serveru DOH, aby jeho IP adresa byla určena vyřešením názvu domény. Rozhodli jsme se však to nedovolit. Podpora by to znamenalo, že předtím, než bychom mohli navázat připojení DOH, bychom museli nejprve poslat dotaz na prostý text DNS, aby to bootstrap, “říká Tommy Jensen, programový manažer v týmu Core Networking v systému Windows, v novém blogovém příspěvku, v novém blogovém příspěvku.

      „To znamená, že uzel na síťové cestě by mohl zlomyslně upravit nebo blokovat dotaz na název serveru DOH. Právě teď, jediným způsobem, jak se tomu můžeme vyhnout, je, aby Windows předem znát mapování mezi IP adresami a šablony DOH.”

      V budoucnu Microsoft doufá, že se dozví o nových konfiguracích serveru DOH ze serveru DNS pomocí objevu určených resolverů (DDR) a objevu rezolverů navržených sítě (DNR), které navrhli pro IETF přidat WG WG.

      Spravujte DOH prostřednictvím skupinových zásad

      Microsoft také přidal možnost spravovat nastavení Windows 11 DNS-Over-HTTPS prostřednictvím skupinových zásad.

      S Windows 11 představil Microsoft ‘Konfigurace rozlišení názvu HTTPS (DOH)‘Zásady v rámci konfigurace počítače> Administrativní šablony> Síť> Klient DNS.

      Nová konfigurace DNS přes zásady řešení názvu HTTPS (DOH)

      Tato zásada umožňuje nakonfigurovat stroj tak, aby používal standardní nešifrované DNS, preferoval DOH nebo vyžadoval DOH.