TLS üzerinden DNS - DNS over TLS
| Durum | Önerilen Standart |
|---|---|
| En son sürüm |
RFC 7858 , RFC 8310 Mayıs 2016 ve Mart 2018 |
| organizasyon | IETF |
| Yazarlar | |
| Kısaltma | Nokta |
| İnternet güvenlik protokolleri |
|---|
| Anahtar yönetimi |
| Uygulama katmanı |
| Alan Adı Sistemi |
| İnternet Katmanı |
TLS üzerinden DNS ( DoT ), Etki Alanı Adı Sistemi (DNS) sorgularını ve yanıtlarını Aktarım Katmanı Güvenliği (TLS) protokolü aracılığıyla şifrelemek ve sarmak için bir ağ güvenlik protokolüdür. Yöntemin amacı, DNS verilerinin ortadaki adam saldırıları yoluyla dinlenmesini ve manipülasyonunu önleyerek kullanıcı gizliliğini ve güvenliğini artırmaktır .
TLS üzerinden DNS, herhangi bir DNS işlemi için geçerli olsa da, ilk olarak 2016 yılının Mayıs ayında RFC 7858'de saplama veya iletme çözümleyicileri ve özyinelemeli çözümleyiciler arasında kullanım için standartlaştırılmıştır . Daha sonraki IETF çabaları, özyinelemeli ve yetkili sunucular arasında DoT kullanımını belirtir ( "Yetkili DNS-over-TLS" veya "ADoT") ve yetkili sunucular arasında ilgili bir uygulama (TLS üzerinden Bölge Transferi veya "TLS üzerinden xfr").
sunucu yazılımı
BIND kullanıcıları, stunnel aracılığıyla proxy oluşturarak TLS üzerinden DNS sağlayabilir . Unbound , 22 Ocak 2018'den beri TLS üzerinden DNS'yi desteklemektedir. Unwind, 29 Ocak 2019'dan beri DoT'yi desteklemektedir. Android Pie'nin TLS üzerinden DNS desteğiyle, bazı reklam engelleyiciler , hizmetlerine erişmek için herhangi birine kıyasla nispeten kolay bir yol olarak artık şifreli protokolü kullanmayı desteklemektedir. VPN'ler ve proxy sunucuları gibi tipik olarak kullanılan çeşitli geçici çözümler.
İstemci yazılımı
Android 9 (Pie) veya daha yenisini çalıştıran Android istemcileri, TLS üzerinden DNS'yi destekler ve ağ altyapısı, örneğin ISP destekliyorsa varsayılan olarak bunu kullanır.
Nisan 2018'de Google, Android Pie'nin TLS üzerinden DNS desteği içereceğini ve kullanıcıların hem Wi-Fi hem de mobil bağlantılarda telefon genelinde bir DNS sunucusu ayarlamasına olanak tanıyacağını duyurdu; bu seçenek geçmişte yalnızca köklü cihazlarda mümkündü . PowerDNS'den DNSDist , 1.3.0 sürümünde TLS üzerinden DNS desteğini de duyurdu.
Linux ve Windows kullanıcıları, NLnet Labs güdümlü arka plan programı veya Knot Resolver aracılığıyla bir istemci olarak TLS üzerinden DNS kullanabilir . Alternatif olarak, DoT'yi doğrudan getdns_query aracıyla kullanmak için getdns-utils yükleyebilirler. İlişkisiz NLnet Labs tarafından DNS çözümleyici da TLS üzerinden DNS destekler.
Apple'ın iOS 14'ü , TLS üzerinden DNS (ve HTTPS üzerinden DNS) için işletim sistemi düzeyinde destek sağladı. iOS, DoT sunucularının manuel olarak yapılandırılmasına izin vermez ve yapılandırma değişiklikleri yapmak için bir üçüncü taraf uygulamasının kullanılmasını gerektirir.
systemd-resolved/etc/systemd/resolved.conf , ayarı düzenleyerek ve etkinleştirerek TLS üzerinden DNS kullanmak üzere yapılandırılabilen, yalnızca Linux'a yönelik bir uygulamadır DNSOverTLS. Çoğu büyük Linux dağıtımında varsayılan olarak systemd kuruludur.
personalDNSfilter bir olan açık kaynak DoT desteği ve DNS filtresi HTTPS üzerinden DNS Android'i de içeren Java destekli cihazlar için (Sağlık Departmanı).
Nebulo, hem DoT hem de DoH'yi destekleyen Android için açık kaynaklı bir DNS değiştirici uygulamasıdır.
Genel çözümleyiciler
DNS-over-TLS ilk olarak 2017'de Quad9 tarafından bir genel özyinelemeli çözümleyicide uygulandı . Sonraki yıllarda Google ve Cloudflare gibi diğer özyinelemeli çözümleyici operatörleri de bunu izledi ve şimdi bu, genellikle çoğu büyük özyinelemeli çözümleyicide bulunan geniş çapta desteklenen bir özelliktir.
Eleştiriler ve uygulama konuları
DoT, siber güvenlik amacıyla DNS trafiğinin analizini ve izlenmesini engelleyebilir. DoT, (şifrelenmemiş) standart DNS düzeyinde çalışan ebeveyn denetimlerini atlamak için kullanılmıştır ; Etki alanlarını bir engelleme listesine göre kontrol etmek için DNS sorgularına dayanan bir ebeveyn kontrolü yönlendiricisi olan Circle, bu nedenle varsayılan olarak DoT'yi engeller. Ancak, hem DoT hem de DoH desteği ile birlikte filtreleme ve ebeveyn denetimleri sunan DNS sağlayıcıları vardır. Bu senaryoda, DNS sorguları, kullanıcının yönlendiricisinden ayrılmadan önce sağlayıcı tarafından alındıktan sonra engelleme listelerine göre kontrol edilir.
Şifreleme tek başına gizliliği korumaz. Yalnızca üçüncü taraf gözlemcilere karşı koruma sağlar. Uç noktaların (daha sonra şifresi çözülen) verilerle ne yapacağını garanti etmez.
DoT istemcilerinin herhangi bir yetkili ad sunucusunu doğrudan sorgulaması gerekmez . İstemci, nihayet yetkili sunuculara ulaşmak için geleneksel (port 53 veya 853) sorguları kullanarak DoT sunucusuna güvenebilir. Bu nedenle, DoT uçtan uca şifreli bir protokol olarak nitelendirilmez , yalnızca atlamadan atlamayla şifrelenir ve yalnızca TLS üzerinden DNS tutarlı bir şekilde kullanılırsa.
Ayrıca bakınız
Referanslar
Dış bağlantılar
- RFC 7858 – Aktarım Katmanı Güvenliği (TLS) Üzerinden DNS Belirtimi
- RFC 8310 – TLS üzerinden DNS ve DTLS üzerinden DNS için Kullanım Profilleri
- DNS Gizlilik Projesi: dnsprivacy.org