DNS -kryptering forklarede

Med Windows 11 har Microsoft aktiveret DOH -funktionen igen, og brugerne kan begynde at teste den igen, hvis de i øjeblikket bruger DNS -servere fra CloudFlare, Google eller Quad9.

DNS -oversigt

Domænenavnsystemet er ‘telefonbogen til Internettet’. DNS oversætter domænenavne til IP -adresser, så browsere og andre tjenester kan indlæse internetressourcer gennem et decentraliseret netværk af servere.

Hvad er DNS ?¶

Når du besøger et websted, returneres en numerisk adresse. For eksempel, når du besøger PrivacyGuides.org, adressen 192.98.54.105 returneres.

DNS har eksisteret siden de tidlige dage af internettet. DNS -anmodninger, der er foretaget til og fra DNS -servere, er ikke generelt krypteret. I en boligindstilling får en kunde servere af internetudbyderen via DHCP.

Ukrypterede DNS -anmodninger er i stand til let at være overvågning og ændret undervejs. I nogle dele af verden pålægges internetudbydere at udføre primitiv DNS -filtrering. Når du anmoder om IP -adressen på et domæne, der er blokeret, svarer serveren muligvis ikke eller kan svare med en anden IP -adresse. Da DNS -protokollen ikke er krypteret, kan ISP (eller nogen netværksoperatør) bruge DPI til at overvåge anmodninger. ISPS kan også blokere anmodninger baseret på almindelige egenskaber, uanset hvilken DNS -server der bruges. Ikke -krypteret DNS bruger altid port 53 og bruger altid UDP .

Nedenfor diskuterer og leverer vi en tutorial for at bevise, hvad en ekstern observatør kan se ved hjælp af regelmæssig ikke -krypteret DNS og krypteret DNS .

Ikke -krypteret DNS ¶

  1. Brug af Tshark (en del af Wireshark -projektet) kan vi overvåge og registrere internetpakkeflow. Denne kommando registrerer pakker, der opfylder de angivne regler:
tshark -w /tmp /dns.PCAP UDP Port 53 og vært 1.1.1.1 eller vært 8.8.8.8 

Linux, Macos Windows

Dig +NoAll +Svar PrivacyGuides.org @1.1.1.1 dig +noall +svar PrivacyGuides.org @8.8.8.8 
NSLOODUP PrivacyGuides.org 1.1.1.1 NSLOOKUP PrivacyGuides.org 8.8.8.8 

Wireshark Tshark

Wireshark -r /TMP /DNS.PCAP 
tshark -r /tmp /dns.PCAP 

Hvis du kører Wireshark -kommandoen ovenfor, viser den øverste rude “rammer”, og den nederste rude viser alle data om den valgte ramme. Enterprise -filtrerings- og overvågningsløsninger (som dem, der er købt af regeringer), kan udføre processen automatisk uden menneskelig interaktion og kan samle disse rammer for at producere statistiske data, der er nyttige for netværksobservatøren.

Ingen. Tid Kilde Bestemmelsessted Protokol Længde Info
1 0.000000 192.0.2.1 1.1.1.1 Dns 104 Standard forespørgsel 0x58ba a PrivacyGuides.org opt
2 0.293395 1.1.1.1 192.0.2.1 Dns 108 Standard forespørgselsrespons 0x58ba a PrivacyGuides.org en 198.98.54.105 Opt
3 1.682109 192.0.2.1 8.8.8.8 Dns 104 Standard forespørgsel 0xf1a9 a PrivacyGuides.org opt
4 2.154698 8.8.8.8 192.0.2.1 Dns 108 Standard forespørgselsrespons 0xf1a9 a PrivacyGuides.org en 198.98.54.105 Opt

En observatør kunne ændre nogen af ​​disse pakker.

Hvad er “krypteret DNS”?¶

Krypterede DNS kan henvise til en af ​​et antal protokoller, hvor de mest almindelige er:

Dnscrypt¶

Dnscrypt Var en af ​​de første metoder til kryptering af DNS -forespørgsler. DNSCrypt fungerer på port 443 og arbejder med både TCP- eller UDP -transportprotokoller. DNSCrypt er aldrig blevet sendt til Internet Engineering Task Force (IETF) og har heller ikke gennemgået anmodningen om kommentarer (RFC) -processen, så den er ikke blevet brugt bredt uden for nogle få implementeringer. Som et resultat er det stort set blevet erstattet af den mere populære DNS over HTTPS .

DNS over TLS (DOT) ¶

DNS over TLS er en anden metode til at kryptere DNS -kommunikation, der er defineret i RFC 7858. Support blev først implementeret i Android 9, iOS 14 og på Linux i DOT til DOH i de senere år, da DOT er en kompleks protokol og har varierende overholdelse af RFC på tværs af de implementeringer, der findes. DOT fungerer også på en dedikeret port 853, som let kan blokeres af restriktive firewalls.

DNS over HTTPS (DOH) ¶

DNS over HTTPS Som defineret i RFC 8484 -pakker forespørgsler i HTTP /2 -protokollen og giver sikkerhed med HTTPS . Support blev først tilføjet i webbrowsere som Firefox 60 og Chrome 83.

Indfødt implementering af DOH dukkede op i iOS 14, MACOS 11, Microsoft Windows og Android 13 (det vil dog ikke blive aktiveret som standard). Generel Linux Desktop Support venter på SystemD-implementeringen, så installation af tredjepartssoftware er stadig påkrævet.

Hvad kan en ekstern fest se?¶

I dette eksempel vil vi registrere, hvad der sker, når vi anmoder om en DOH -anmodning:

    Start først tshark:

tshark -w /tmp /dns_doh.pcap -f "TCP -port https og vært 1.1.1.1 " 
curl -vi -doh -url https: // 1.1.1.1/dns-query https: // PrivacyGuides.org 
Wireshark -r /tmp /dns_doh.PCAP 

Vi kan se forbindelsesinstitutionen og TLS -håndtryk, der opstår med enhver krypteret forbindelse. Når man ser på de “applikationsdata” -pakker, der følger, indeholder ingen af ​​dem det domæne, vi anmodede om, eller IP -adressen returnerede.

Hvorfor burde ikke Jeg bruger krypterede DNS ?¶

På steder, hvor der er internetfiltrering (eller censur), kan besøg af forbudte ressourcer have sine egne konsekvenser, som du bør overveje i din trusselmodel. Det gør vi ikke Foreslå brugen af ​​krypterede DNS til dette formål. Brug TOR eller en VPN i stedet. Hvis du bruger en VPN, skal du bruge dine VPNs DNS -servere. Når du bruger en VPN, har du allerede tillid til dem med al din netværksaktivitet.

Når vi foretager en DNS -opslag, er det generelt fordi vi ønsker at få adgang til en ressource. Nedenfor diskuterer vi nogle af de metoder, der kan videregive dine browsingaktiviteter, selv når vi bruger krypterede DNS:

IP-adresse¶

Den enkleste måde at bestemme browsingaktivitet kan være at se på de IP -adresser, som dine enheder får adgang til. For eksempel, hvis observatøren ved, at PrivacyGuides.org er på 198.98.54.105, og din enhed anmoder om data fra 198.98.54.105, der er en god chance for, at du besøger privatlivsvejledninger.

Denne metode er kun nyttig, når IP -adressen hører til en server, der kun er vært for få websteder. Det er heller ikke særlig nyttigt, hvis webstedet er vært på en delt platform (e.g. GitHub -sider, CloudFlare -sider, Netlify, WordPress, Blogger osv.). Det er heller ikke meget nyttigt, hvis serveren er vært bag en omvendt proxy, hvilket er meget almindeligt på det moderne internet.

Servernavn Indikation (SNI) ¶

Indikation af servernavn bruges typisk, når en IP -adresse er vært for mange websteder. Dette kan være en service som CloudFlare eller en anden beskyttelse af benægtelse af service-angreb.

    Begynd at fange igen med Tshark . Vi har tilføjet et filter med vores IP -adresse, så du ikke fanger mange pakker:

tshark -w /tmp /pg.PCAP -port 443 og vært 198.98.54.105 
Wireshark -r /TMP /PG.PCAP 
▸ Transportlagssikkerhed ▸ TLSV1.3 Rekordlag: Håndtryksprotokol: Klient Hej ▸ Håndtryksprotokol: Klient Hej ▸ Udvidelse: server_navn (len = 22) ▸ Servernavn Indikation Udvidelse Udvidelse 
tshark -r /tmp /pg.pcap -tfields -y tls.håndtryk.Extensions_server_name -e TLS.håndtryk.Extensions_server_name 

Dette betyder, at selvom vi bruger “krypterede DNS” -servere, vil domænet sandsynligvis blive afsløret gennem SNI . TLS V1.3 Protokol medbringer det krypteret klient hej, hvilket forhindrer denne form for lækage.

Regeringer, især Kina og Rusland, er enten allerede begyndt at blokere det eller udtrykt ønske om at gøre det. For nylig er Rusland begyndt at blokere udenlandske websteder, der bruger HTTP /3 -standarden. Dette skyldes, at Quic -protokollen, der er en del af HTTP /3, kræver, at ClientHello også bliver krypteret.

Online certifikatstatus Protocol (OCSP) ¶

En anden måde, din browser kan videregive dine browsingaktiviteter på, er med online certifikatstatusprotokollen. Når du besøger et HTTPS -websted, kan browseren muligvis kontrollere, om webstedets certifikat er blevet tilbagekaldt. Dette gøres generelt gennem HTTP -protokollen, hvilket betyder, at den er ikke krypteret.

OCSP -anmodningen indeholder certifikatet “serienummer”, som er unikt. Det sendes til “OCSP -responderen” for at kontrollere dens status.

Vi kan simulere, hvad en browser ville gøre ved hjælp af kommandoen openssl.

    Få servercertifikatet og brug SED til at holde bare den vigtige del og skrive den ud til en fil:

OpenSSL S_CLIENCE -Connect PrivacyGuides.org: 443 /dev /null 2>&1 | sed -n '/^-*Begin/,/^-*slut/p' > /tmp /pg_server.cert 
OPENSSL S_CLIENT -SHOWCERTS -CONNECT PRIVACYGUIDES.org: 443 /dev /null 2>&1 | sed -n '/^-*Begin/,/^-*slut/p' > /tmp /pg_and_intermediate.cert 
sed -n '/^-*slutcertifikat-*$/!d ;: a n; p; ba ' \ /tmp/pg_and_intermediate.cert> /tmp /mellemliggende_chain.cert 
OpenSSL X509 -NOOUT -OCSP_URI -IN /TMP /PG_SERVER.cert 

Vores certifikat viser LAD -krypteringscertifikat Responder. Hvis vi ønsker at se alle detaljer om det certifikat, vi kan bruge:

OpenSSL X509 -Text -noout -in /tmp /pg_server.cert 
tshark -w /tmp /pg_ocsp.pcap -f "TCP -port http" 
OpenSSL OCSP -ISSUER /TMP /Mellemliggende_chain.cert \ -cert /tmp /pg_server.cert \ -tekst \ -URL http: // r3.o.Lencr.org 
Wireshark -r /TMP /PG_OCSP.PCAP 

Der vil være to pakker med “OCSP” -protokollen: en “anmodning” og et “svar”. For “anmodningen” kan vi se “serienummeret” ved at udvide trekanten ▸ ved siden af ​​hvert felt:

▸ Online certifikatstatusprotokol ▸ TBSREQUEST ▸ RequestList: 1 Vare ▸ Anmodning ▸ REQCERT SERIALNUMBER 

For “svaret” kan vi også se “serienummeret”:

▸ Online certifikatstatusprotokol ▸ ResponseBytes ▸ BasicOcSpresponse ▸ TbSresponsedata ▸ Svar: 1 Vare ▸ Singleresponse ▸ Certid SerialNumber 
tshark -r /tmp /pg_ocsp.pcap -tfields -y ocsp.SerialNumber -e OCSP.serienummer 

Hvis netværksobservatøren har det offentlige certifikat, som er offentligt tilgængeligt, kan de matche serienummeret med dette certifikat og derfor bestemme det websted, du besøger fra det. Processen kan automatiseres og kan knytte IP -adresser til serienumre. Det er også muligt at kontrollere certifikat gennemsigtighedslogfiler for serienummeret.

Skal jeg bruge krypterede DNS ?¶

Vi lavede dette flowdiagram for at beskrive, hvornår du bør Brug krypterede DNS:

Graf TB Start [Start] -> Anonym anonym?> Anonym-> | Ja | Tor (brug tor) Anonym -> | Nej | Censur censur?> Censur -> | Ja | vpnortor (brug 
Vpn eller tor) censur -> | Nej | Privatliv fra internetudbyder?> privatliv -> | Ja | VPNortor privatliv -> | Nej | modbydelig modbydelig
omdirigerer?> Obnoxious -> | Ja | krypteretdns (brug
krypteret DNS
med tredjepart) modbydelig -> | Nej | ISPDNS krypterede DNS?> ispdns -> | Ja | brugIsp (brug
krypteret DNS
Med ISP) ISPDNS -> | Nej | Intet (gør intet)

Krypteret DNS med en tredjepart bør kun bruges til at ombygge omdirigeringer og grundlæggende DNS-blokering, når du kan være sikker på, at der ikke vil være nogen konsekvenser, eller du er interesseret i en udbyder, der gør noget rudimentær filtrering.

Hvad er DNSSEC ?¶

Domain Name System Security Extensions (DNSSEC) er et træk ved DNS, der autentificerer svar på domænenavnsopslag. Det giver ikke beskyttelse af privatlivets fred for disse opslag, men forhindrer snarere angribere i at manipulere eller forgiftning af svarene på DNS ​​-anmodninger.

Med andre ord underskriver DNSSEC digitalt data for at sikre dens gyldighed. For at sikre en sikker opslag forekommer underskrivelsen på alle niveauer i DNS -opslagsprocessen. Som et resultat kan alle svar fra DNS stole på.

DNSSEC -signeringsprocessen ligner en person, der underskriver et juridisk dokument med en pen; Denne person underskriver med en unik underskrift, som ingen andre kan oprette, og en domstolekspert kan se på den underskrift og verificere, at dokumentet blev underskrevet af denne person. Disse digitale underskrifter sikrer, at data ikke er blevet manipuleret med.

DNSSEC implementerer en hierarkisk digital signeringspolitik på tværs af alle lag af DNS . For eksempel i tilfælde af en privatlivsvin.org -opslag, en rod DNS -server ville underskrive en nøgle til .org navneserver og .Org Nameserver ville derefter underskrive en nøgle til PrivacyGuides.Orgs autoritative navneserver.

Hvad er qname -minimering?¶

Et qname er et “kvalificeret navn”, for eksempel PrivacyGuides.org . QNAME -minimering reducerer mængden af ​​information, der sendes fra DNS -serveren til den autoritative navneserver.

I stedet for at sende hele domænet PrivacyGuides.org, qname -minimering betyder, at DNS -serveren vil bede om alle de poster, der ender i .org . Yderligere teknisk beskrivelse er defineret i RFC 7816.

Hvad er EDNS Client Subnet (ECS)?¶

EDNS -klientens undernet er en metode til en rekursiv DNS -resolver til at specificere et undernetværk til værten eller klienten, der gør DNS -forespørgslen.

Det er beregnet til at “fremskynde” levering af data ved at give klienten et svar, der hører til en server, der er tæt på dem, såsom et indholdsleveringsnetværk, som ofte bruges til videostreaming og servering af JavaScript -webapps.

Denne funktion kommer til en privatlivsomkostning, da den fortæller DNS -serveren nogle oplysninger om klientens placering.

Privatlivsguider er et non-profit, socialt motiveret websted, der giver oplysninger til beskyttelse af din datasikkerhed og privatlivets fred.
Vi tjener ikke penge på at anbefale visse produkter, og vi bruger ikke tilknyttede links.
© 2019 – 2023 Privatlivsguider og bidragydere.

DNS -kryptering forklarede

Domænenavn System (DNS) er internettets adressebog. Når du besøger Cloudflare.com eller ethvert andet sted, din browser vil spørge en DNS -resolver til IP -adressen, hvor webstedet kan findes. Desværre er disse DNS -forespørgsler og svar typisk ubeskyttet. Kryptering af DNS ville forbedre brugernes privatliv og sikkerhed. I dette indlæg vil vi se på to mekanismer til kryptering af DNS, kendt som DNS over TLS (DOT) og DNS over HTTPS (DOH), og forklar, hvordan de fungerer.

Anvendelser, der ønsker at løse et domænenavn til en IP -adresse, bruger typisk DNS. Dette gøres normalt ikke eksplicit af den programmør, der skrev applikationen. I stedet skriver programmereren noget såsom hentning (“https: // eksempel.com/nyheder “) og forventer, at et softwarebibliotek håndterer oversættelsen af” eksempel.com ”til en IP -adresse.

Bag kulisserne er softwarebiblioteket ansvarlig for at opdage og oprette forbindelse til den eksterne rekursive DNS -resolver og tale DNS -protokollen (se figuren nedenfor) for at løse det navn, der anmodes om af applikationen. Valget af den eksterne DNS -resolver, og om nogen privatliv og sikkerhed overhovedet leveres uden for kontrollen med applikationen. Det afhænger af softwarebiblioteket i brug og de politikker, der leveres af operativsystemet på den enhed, der kører softwaren.

Den eksterne DNS -resolver

Operativsystemet lærer normalt resolveradressen fra det lokale netværk ved hjælp af Dynamic Host Configuration Protocol (DHCP). I hjemme- og mobilnetværk ender det typisk med at bruge resolveren fra internetudbyderen (ISP). I virksomhedsnetværk kontrolleres den valgte resolver typisk af netværksadministratoren. Hvis det ønskes, kan brugere med kontrol over deres enheder tilsidesætte resolveren med en bestemt adresse, såsom adressen på en offentlig opløsning som Googles 8.8.8.8 eller Cloudflares 1.1.1.1, men de fleste brugere vil sandsynligvis ikke gider at ændre det, når de opretter forbindelse til en offentlig Wi-Fi-hotspot på en kaffebar eller lufthavn.

Valget af ekstern opløsning har en direkte indflydelse på slutbrugeroplevelsen. De fleste brugere ændrer ikke deres resolverindstillinger og ender sandsynligvis med at bruge DNS -resolveren fra deres netværksudbyder. Den mest åbenlyse observerbare egenskab er hastigheden og nøjagtigheden af ​​navneopløsningen. Funktioner, der forbedrer privatlivets fred eller sikkerhed, er muligvis ikke umiddelbart synlige, men vil hjælpe med at forhindre andre i at profilere eller forstyrre din browseraktivitet. Dette er især vigtigt på offentlige Wi-Fi-netværk, hvor enhver i fysisk nærhed kan fange og dekryptere trådløs netværkstrafik.

Ikke -krypteret DNS

Lige siden DNS blev oprettet i 1987, er det stort set ikke -krypteret. Alle mellem din enhed og resolveren er i stand til at snuppe på eller endda ændre dine DNS -forespørgsler og svar. Dette inkluderer alle i dit lokale Wi-Fi-netværk, din internetudbyder (ISP) og transitudbydere. Dette kan påvirke dit privatliv ved at afsløre de domænenavne, du besøger.

Hvad kan de se? Overvej denne netværkspakkeoptagelse taget fra en bærbar computer tilsluttet et hjemmenetværk:

Følgende observationer kan foretages:

  • UDP -kildeporten er 53, som er standardportnummeret for ikke -krypteret DNS. UDP -nyttelasten er derfor sandsynligvis et DNS -svar.
  • Det antyder, at kilde -IP -adressen 192.168.2.254 er en DNS -resolver, mens destinationen IP 192.168.2.14 er DNS -klienten.
  • UDP -nyttelasten kunne faktisk analyseres som et DNS -svar og afslører, at brugeren forsøgte at besøge Twitter.com.
  • Hvis der er nogen fremtidige forbindelser til 104.244.42.129 eller 104.244.42.1, så er det sandsynligvis trafik, der er rettet mod “Twitter.com ”.
  • Hvis der er nogle yderligere krypterede HTTPS -trafik til denne IP, efterfulgt af flere DNS -forespørgsler, kunne det indikere, at en webbrowser indlæste yderligere ressourcer fra den side. Det kunne potentielt afsløre de sider, som en bruger kiggede på, mens han besøgte Twitter.com.

Da DNS -meddelelserne er ubeskyttet, er andre angreb mulige:

  • Forespørgsler kunne ledes til en opløsning, der udfører DNS -kapring. F.eks. Denne omdirigering er mulig, fordi computeren/telefonen blindt stoler på DNS-resolveren, der blev annonceret ved hjælp af DHCP af den ISP-leverede gateway-router.
  • Firewalls kan let aflytte, blokere eller ændre enhver ukrypteret DNS -trafik baseret på portnummeret alene. Det er værd at bemærke, at ClaintExt -inspektion ikke er en sølvkugle for at nå synlighedsmål, fordi DNS -resolveren kan omgås.

Kryptering af DNS

At kryptere DNS gør det meget sværere for snoopers at undersøge dine DNS -meddelelser eller ødelægge dem i transit. Ligesom internettet flyttede fra ikke -krypteret HTTP til krypterede HTTP’er, er der nu opgraderinger til DNS -protokollen, der krypteres DNS i sig selv. At kryptere internettet har gjort det muligt for privat og sikker kommunikation og handel at blomstre. Kryptering af DNS vil yderligere forbedre brugernes privatliv.

Der findes to standardiserede mekanismer for at sikre DNS -transporten mellem dig og Resolver, DNS over TLS (2016) og DNS -forespørgsler over HTTPS (2018). Begge er baseret på Transport Layer Security (TLS), som også bruges til at sikre kommunikation mellem dig og et websted ved hjælp af HTTPS. I TLS autentificerer serveren (det være sig en webserver eller DNS -resolver) sig til klienten (din enhed) ved hjælp af et certifikat. Dette sikrer, at ingen anden part kan efterligne serveren (resolveren).

Med DNS over TLS (DOT) er den originale DNS -meddelelse direkte indlejret i den sikre TLS -kanal. Udefra kan man hverken lære det navn, der blev spurgt eller ændre det. Den tilsigtede klientapplikation vil være i stand til at dekryptere TLS, det ser sådan ud:

I pakkesporet for ikke -krypteret DNS var det tydeligt, at en DNS -anmodning kan sendes direkte af klienten, efterfulgt af et DNS -svar fra resolveren. I det krypterede DOT -tilfælde udveksles der dog nogle TLS -håndtryksmeddelelser, inden du sender krypterede DNS -meddelelser:

  • Klienten sender en klient hej, der annoncerer sine understøttede TLS -kapaciteter.
  • Serveren reagerer med en server hej og accepterer TLS -parametre, der vil blive brugt til at sikre forbindelsen. Certifikatmeddelelsen indeholder serverens identitet, mens certifikatet bekræfter meddelelsen vil indeholde en digital signatur, der kan verificeres af klienten ved hjælp af servercertifikatet. Klienten kontrollerer typisk dette certifikat mod dens lokale liste over betroede certifikatmyndigheder, men DOT -specifikationen nævner alternative tillidsmekanismer såsom offentlig nøgle fastgørelse.
  • Når TLS -håndtrykket er afsluttet af både klienten og serveren, kan de endelig begynde at udveksle krypterede meddelelser.
  • Mens ovenstående billede indeholder en DNS -forespørgsel og svar, forbliver den sikre TLS -forbindelse i praksis åben og vil blive genbrugt til fremtidige DNS -forespørgsler.

At sikre ikke -krypterede protokoller ved at slå TLS oven på en ny port er blevet udført før:

  • Webtrafik: HTTP (TCP/80) -> HTTPS (TCP/443)
  • Afsendelse af e -mail: SMTP (TCP/25) -> SMTPS (TCP/465)
  • Modtagelse af e -mail: IMAP (TCP/143) -> IMAPS (TCP/993)
  • Nu: DNS (TCP/53 eller UDP/53) -> DOT (TCP/853)

Et problem med at introducere en ny havn er, at eksisterende firewalls kan blokere den. Enten fordi de anvender en AllowList -tilgang, hvor nye tjenester skal være eksplicit aktiveret, eller en blocklist -tilgang, hvor en netværksadministrator eksplicit blokerer for en service. Hvis den sikre mulighed (DOT) er mindre tilbøjelig til at være tilgængelig end dens usikre mulighed, kan brugere og applikationer blive fristet til at prøve at falde tilbage til ikke -krypteret DNS. Dette kunne efterfølgende give angribere mulighed for at tvinge brugerne til en usikker version.

Sådanne tilbagefaldsangreb er ikke teoretiske. SSL -stripping er tidligere blevet brugt til at nedgradere HTTPS -websteder til HTTP, hvilket giver angribere mulighed for at stjæle adgangskoder eller kapre konti.

En anden tilgang, DNS -forespørgsler over HTTPS (DOH), blev designet til at understøtte to tilfælde af primær brug:

  • Forhindre ovenstående problem, hvor on-sti-enheder forstyrrer DNS. Dette inkluderer portblokeringsproblemet ovenfor.
  • Aktivér webapplikationer til at få adgang til DNS gennem eksisterende browser -API’er.
    DOH er i det væsentlige HTTPS, den samme krypterede standard, som web bruger, og genbruger det samme portnummer (TCP/443). Webbrowsere har allerede udskrevet ikke-sikker HTTP til fordel for HTTPS. Det gør HTTPS til et godt valg til sikkert at transportere DNS -meddelelser. Et eksempel på en sådan DOH -anmodning kan findes her.

Nogle brugere har været bekymrede for, at brugen af ​​HTTP’er kunne svække privatlivets fred på grund af den potentielle brug af cookies til sporingsformål. DOH -protokoldesignerne betragtede forskellige privatlivaspekter og eksplicit afskrækket brug af HTTP -cookies for at forhindre sporing, en anbefaling, der er bredt respekteret. TLS -session genoptagelse forbedrer TLS 1.2 håndtryksydelse, men kan potentielt bruges til at korrelere TLS -forbindelser. Heldigvis brug af TLS 1.3 undgår behovet for genoptagelse af session ved at reducere antallet af runde ture som standard, hvilket effektivt adresserer det tilknyttede privatlivets fred.

Brug af HTTP’er betyder, at HTTP -protokolforbedringer også kan gavne DOH. F.eks. Dette betyder, at flere DNS -forespørgsler kunne sendes samtidig over den sikre kanal uden at blokere hinanden, når en pakke går tabt.

Et udkast til DNS over QUIC (DNS/QUIC) findes også og ligner DOT, men uden hoved-af-line-blokeringsproblemet på grund af brugen af ​​QUIC. Både HTTP/3 og DNS/QUIC kræver imidlertid, at en UDP -port er tilgængelig. I teorien kunne begge falde tilbage til DOH over henholdsvis HTTP/2 og DOT.

Implementering af DOT og DOH

Da både DOT og DOH er relativt nye, er de ikke universelt implementeret endnu. På serversiden, store offentlige opløsere inklusive Cloudflares 1.1.1.1 og Google DNS understøtter det. Mange ISP -opløsere mangler dog stadig støtte til det. En lille liste over offentlige opløsere, der understøtter DOH, findes på DNS ​​-serverkilder, en anden liste over offentlige opløsere, der understøtter DOT og DOH.

Der er to metoder til at aktivere DOT eller DOH på slutbrugerenheder:

  • Tilføj support til applikationer, omgå resolver -tjenesten fra operativsystemet.
  • Tilføj support til operativsystemet, der gennemsigtigt giver support til applikationer.

Der er generelt tre konfigurationstilstande til DOT eller DOH på klientsiden:

  • Fra: DNS vil ikke blive krypteret.
  • Opportunistisk tilstand: Prøv at bruge en sikker transport til DNS, men tilbagefald til ikke -krypteret DNS, hvis førstnævnte ikke er tilgængelig. Denne tilstand er sårbar over for nedjustering af angreb, hvor en angriber kan tvinge en enhed til at bruge ikke -krypteret DNS. Det sigter mod at tilbyde privatliv, når der ikke er nogen aktiv angribere på vejen.
  • Streng tilstand: Prøv at bruge DNS over en sikker transport. Hvis du ikke er tilgængelig, skal du mislykkes hårdt og vise en fejl for brugeren.

Den aktuelle tilstand for systemdækkende konfiguration af DNS over en sikker transport:

  • Android 9: understøtter prik gennem sin “private DNS” -funktion. Tilstande:
    • Opportunistisk tilstand (“Automatisk”) bruges som standard. Resolveren fra netværksindstillinger (typisk DHCP) vil blive brugt.
    • Streng tilstand kan konfigureres ved at indstille et eksplicit værtsnavn. Ingen IP -adresse er tilladt, værtsnavnet løses ved hjælp af standardopløsningen og bruges også til validering af certifikatet. (Relevant kildekode)

    Webbrowsere understøtter DOH i stedet for DOT:

    • Firefox 62 understøtter DOH og leverer flere pålidelige Recursive Resolver (TRR) indstillinger. Som standard er DOH deaktiveret, men Mozilla kører et eksperiment for at aktivere DOH for nogle brugere i USA. Dette eksperiment bruger i øjeblikket Cloudflares 1.1.1.1 Resolver, da vi er den eneste udbyder, der i øjeblikket opfylder den strenge opløsningspolitik, der kræves af Mozilla. Da mange DNS -opløsere stadig ikke understøtter en krypteret DNS -transport, vil Mozillas tilgang sikre, at flere brugere er beskyttet ved hjælp af DOH.
      • Når det er aktiveret gennem eksperimentet eller gennem indstillingen “Aktivér DNS over HTTPS” ved netværksindstillinger, bruger Firefox opportunistisk tilstand (netværk.trr.MODE = 2 AT omkring: config).
      • Streng tilstand kan aktiveres med netværk.trr.Mode = 3, men kræver en eksplicit resolver -IP, der skal specificeres (for eksempel netværk.trr.bootstrapAddress = 1.1.1.1).
      • Mens Firefox ignorerer standardopløsningen fra systemet, kan det konfigureres med alternative opløsere. Derudover har virksomhedsinstallationer, der bruger en resolver, der ikke understøtter DOH, muligheden for at deaktivere DOH.

      DNS over HTTPS -siden fra Curl -projektet har en omfattende liste over DOH -udbydere og yderligere implementeringer.

      Som et alternativ til at kryptere den fulde netværkssti mellem enheden og den eksterne DNS -resolver, kan man tage en mellemgrund: Brug ikke -krypteret DNS mellem enheder og gatewayen til det lokale netværk, men krypterer al DNS -trafik mellem gateway -routeren og den ydre DNS Resolver. Hvis man antager et sikkert kablet eller trådløst netværk, ville dette beskytte alle enheder i det lokale netværk mod en Snooping ISP eller andre modstandere på Internettet. Da offentlige Wi-Fi-hotspots ikke betragtes som sikre, ville denne tilgang ikke være sikker på åbne Wi-Fi-netværk. Selvom det er adgangskodebeskyttet med WPA2-PSK, vil andre stadig være i stand til at snuppe og ændre ikke-krypteret DNS.

      Andre sikkerhedshensyn

      De foregående sektioner beskrev sikre DNS -transporter, DOH og DOT. Disse vil kun sikre, at din klient modtager det ubeskadigede svar fra DNS -resolveren. Det beskytter dog ikke klienten mod resolveren, der returnerer det forkerte svar (gennem DNS -kapring eller DNS -cache -forgiftningsangreb). Det “sande” svar bestemmes af ejeren af ​​et domæne eller zone som rapporteret af den autoritative navneserver. DNSSEC giver klienter mulighed for at verificere integriteten af ​​det returnerede DNS -svar og fange uautoriseret manipulation langs stien mellem klienten og autoritativ navneserver.

      Imidlertid er implementering af DNSSEC hindret af midtbokse, der forkert videresender DNS -meddelelser, og selvom informationen er tilgængelige, validerer stubbeopløsere, der bruges af applikationer, muligvis ikke engang resultaterne. En rapport fra 2016 fandt, at kun 26% af brugerne bruger DNSSEC-validering af opløsere.

      DOH og DOT beskytter transporten mellem klienten og den offentlige opløsning. Den offentlige resolver skal muligvis nå ud til yderligere autoritative navneservere for at løse et navn. Traditionelt bruger stien mellem enhver resolver og den autoritative navneserver ikke -krypteret DNS. For også at beskytte disse DNS -meddelelser gjorde vi et eksperiment med Facebook ved hjælp af DOT mellem 1.1.1.1 og Facebooks autoritative navneservere. Mens det at indstille en sikker kanal ved hjælp af TLS øger forsinkelsen, kan den afskrives over mange forespørgsler.

      Transportkryptering sikrer, at resolver resultater og metadata er beskyttet. F.eks. Skjuler disse oplysninger langs stien forbedrer privatlivets fred. Det vil også forhindre ødelagte mellembokse i at bryde DNSSEC på grund af problemer med at videresende DNS.

      Operationelle problemer med DNS -kryptering

      DNS -kryptering kan give udfordringer til enkeltpersoner eller organisationer, der er afhængige af overvågning eller ændring af DNS -trafik. Sikkerhedsapparater, der er afhængige af passiv overvågning, ser på alle indgående og udgående netværkstrafik på en maskine eller på kanten af ​​et netværk. Baseret på ikke -krypterede DNS -forespørgsler kunne de potentielt identificere maskiner, der er inficeret med malware for eksempel. Hvis DNS -forespørgslen er krypteret, vil passive overvågningsløsninger ikke være i stand til at overvåge domænenavne.

      Nogle parter forventer, at DNS -opløsere anvender indholdsfiltrering til formål såsom:

      • Blokering af domæner, der bruges til malware -distribution.
      • Blokering af reklamer.
      • Udfør filtering af forældrekontrol, blokering af domæner, der er forbundet med voksenindhold.
      • Bloker adgang til domæner, der betjener ulovligt indhold i henhold til lokale regler.
      • Tilby en split-horizon DNS for at give forskellige svar afhængigt af kildenetværket.

      En fordel ved at blokere adgangen til domæner via DNS -resolveren er, at det kan gøres centralt uden at genimplere det i hver enkelt applikation. Desværre er det også ret groft. Antag, at et websted er vært for indhold til flere brugere på eksempel.com/videoer/for-kids/og eksempel.com/videoer/for voksne/. DNS -resolveren vil kun være i stand til at se “eksempel.com ”og kan enten vælge at blokere det eller ej. I dette tilfælde ville applikationsspecifikke kontroller, såsom browserudvidelser.

      DNS -overvågning er ikke omfattende. Malware kunne springe DNS og hardcode IP -adresser eller bruge alternative metoder til at forespørge en IP -adresse. Imidlertid er ikke al malware så kompliceret, så DNS-overvågning kan stadig tjene som et forsvars-i-dybde værktøj.

      Alle disse ikke-passive overvågning eller DNS-blokerende brugssager kræver støtte fra DNS-resolveren. Implementeringer, der er afhængige af opportunistiske DOH/DOT -opgraderinger af den aktuelle opløsning. Desværre er dette sårbart over for nedgraderinger, som nævnt tidligere. For at løse dette kan systemadministratorer pege slutpunkter på en DOH/DOT -resolver i streng tilstand. Ideelt set gøres dette gennem Secure Device Management Solutions (MDM, gruppepolitik på Windows osv.).

      Konklusion

      En af hjørnestenene på Internettet er kortlægning af navne til en adresse ved hjælp af DNS. DNS har traditionelt brugt usikre, ikke -krypterede transporter. Dette er tidligere blevet misbrugt af internetudbydere for at injicere reklamer, men forårsager også en privatlivslækage. Nosy besøgende i kaffebaren kan bruge ikke -krypterede DNS til at følge din aktivitet. Alle disse problemer kan løses ved hjælp af DNS over TLS (DOT) eller DNS over HTTPS (DOH). Disse teknikker til at beskytte brugeren er relativt nye og ser stigende vedtagelse.

      Fra et teknisk perspektiv ligner DOH meget HTTPS og følger den generelle industriens tendens for at afskrive ikke-sikre muligheder. DOT er en enklere transporttilstand end DOH, da HTTP -laget fjernes, men det gør det også lettere at blive blokeret, enten bevidst eller ved et uheld.

      Sekundær for at muliggøre en sikker transport er valget af en DNS -resolver. Nogle leverandører vil bruge den lokalt konfigurerede DNS -resolver, men prøv at opgradere den ikke -krypterede transport til en mere sikker transport (enten DOT eller DOH). Desværre er DNS -resolveren normalt standard til en leveret af internetudbyderen, som muligvis ikke understøtter sikre transporter.

      Mozilla har vedtaget en anden tilgang. I stedet for at stole på lokale opløsere, der måske ikke engang understøtter DOH, giver de brugeren mulighed for eksplicit. Resolvers anbefalet af Mozilla skal tilfredsstille høje standarder for at beskytte brugernes privatliv. For at sikre, at forældrekontrolfunktioner baseret på DNS ​​forbliver funktionelle, og for at støtte Split-Horizon-brugssagen har Mozilla tilføjet en mekanisme, der giver private opløsere mulighed for at deaktivere DOH.

      Protokollerne DOT og DOH er klar til at flytte til et mere sikkert internet. Som det kan ses i tidligere pakkespor, ligner disse protokoller eksisterende mekanismer til at sikre applikationstrafik. Når dette sikkerheds- og privatlivshul er lukket, vil der være mange flere at tackle.

      Besøg 1.1.1.1 fra enhver enhed for at komme i gang med vores gratis app, der gør dit internet hurtigere og sikrere.

      For at lære mere om vores mission for at hjælpe med at opbygge et bedre internet, skal du starte her. Hvis du leder efter en ny karriereretning, skal du tjekke vores åbne positioner.

      Windows 11 inkluderer DNS-over-HTTPS-privatlivets fred-Sådan bruges

      Windows 11

      Microsoft har tilføjet en privatlivsfunktion til Windows 11 kaldet DNS-Over-HTTPS, så brugerne kan udføre krypterede DNS-opslag til at omgå censur og internetaktivitet.

      Når du opretter forbindelse til et websted eller en anden vært på Internettet, skal din computer først forespørge et Domain Name System (DNS) server til IP -adressen, der er tilknyttet værtsnavnet.

      DNS-Over-HTTPS (DOH) giver din computer mulighed for at udføre disse DNS-opslag over en krypteret HTTPS-forbindelse snarere end gennem normal almindelig tekst DNS-opslag, som ISP’er og regeringer kan snuppe på.

      Da nogle regeringer og internetudbydere blokerer forbindelser til websteder ved at overvåge en brugers DNS -trafik, vil DOH give brugerne mulighed for at omgå censur, forhindre forfalskning af angreb og øge privatlivets fred, da deres DNS -anmodninger ikke kan overvåges så let.

      Krombaserede browsere, såsom Google Chrome og Microsoft Edge og Mozilla Firefox, har allerede tilføjet support til DOH. Stadig bruges det kun i browseren og ikke af andre applikationer, der kører på computeren.

      Derfor er det nyttigt for et operativsystem at understøtte funktionen, da alle DNS -opslag på enheden vil blive krypteret.

      Windows 11 får dns-over-https

      Microsoft frigav først DNS-over-HTTPS til Windows Insiders til test i Windows 10 Preview Build 20185, men de deaktiverede det et par bygninger senere.

      Med Windows 11 har Microsoft aktiveret DOH -funktionen igen, og brugerne kan begynde at teste den igen, hvis de i øjeblikket bruger DNS -servere fra CloudFlare, Google eller Quad9.

      Hvis enheden i øjeblikket er konfigureret til at bruge en CloudFlare, Google eller Quad9 DNS-server, kan du konfigurere DNS-over-HTTPS ved hjælp af følgende trin:

      1. Åbn appen Windows 10 -indstillinger og gå til Netværk og internet.
      2. Klik på enten på netværket og internettet Ethernet eller Trådløs Afhængig af den netværksforbindelse, du har.

      Side og internetindstillinger side

      Ethernet -netværksmuligheder

      Windows 11 DNS over HTTPS -indstillinger

      Den foretrukne DNS -krypteringsmulighed tilbyder følgende valg:

      • Ikke -krypteret kun – Brug standard ikke -krypteret DNS.
      • Krypteret kun (DNS over HTTPS) – Brug kun DOH -servere.
      • Krypteret foretrukket, ikke -krypteret – prøv at bruge DOH -servere, men hvis ikke tilgængelig, skal du falde tilbage til standard ikke -krypterede DNS.

      På dette tidspunkt oplyser Microsoft, at det er kendt, at de følgende DNS-servere understøtter DOH og kan bruges automatisk af Windows 11 DNS-Over-HTTPS-funktionen.

      • Cloudflare: 1.1.1.1 og 1.0.0.1 DNS -servere
      • Google: 8.8.8.8 og 8.8.8.4 DNS -servere
      • Quad9: 9.9.9.9 og 149.112.112.112 DNS -servere

      For at se de konfigurerede DNS-over-HTTPS-definitioner, der allerede er konfigureret i Windows 11, kan du bruge følgende kommandoer:

      Brug af Netsh: Netsh DNS viser kryptering ved hjælp af PowerShell: Get-DnsClientDohserveraddress 

      Microsoft giver også administratorer mulighed for at oprette deres egne DOH -serverdefinitioner ved hjælp af følgende kommandoer:

      Brug af netsh: netsh dns tilføj krypteringsserver = [resolver-ip-adresse] doHTemplate = [resolver-doh-me-me-me-me-me-me-me-me-me-me-me-me-me-me-me-tempate] AutoupGrade = ja udpfallback = ingen ved hjælp '[Resolver -Doh -Template]' -AllowfallbackToudp $ falsk -autoupgrade $ sand 

      Microsoft siger, at det ville være bedre, hvis DOH -serveren til en konfigureret DNS -server kunne bestemmes automatisk, men det ville medføre en privatlivsrisiko.

      “Det ville være lettere for brugere og administratorer, hvis vi lod en DOH -server at få sin IP -adresse bestemt ved at løse sit domænenavn. Vi har dog valgt ikke at tillade det. At støtte dette ville betyde, at vi før en DOH-forbindelse kunne etableres, skulle vi først sende en almindelig tekst DNS-forespørgsel for at bootstrap den, “siger Tommy Jensen, en programleder i Windows Core Networking Team, i et nyt blogindlæg.

      “Dette betyder, at en knude på netværksstien ondskabsfuldt kan ændre eller blokere DOH -servernavnens forespørgsel. Lige nu er den eneste måde, vi kan undgå dette.”

      I fremtiden håber Microsoft at lære om nye DOH-serverkonfigurationer fra en DNS-server ved hjælp af opdagelse af udpegede resolvers (DDR) og opdagelse af netværksdesignede resolvers (DNR), som de har foreslået til IETF tilføj WG.

      Administrer DOH via gruppepolitikker

      Microsoft har også tilføjet muligheden for at administrere Windows 11 DNS-over-HTTPS-indstillingerne gennem gruppepolitikker.

      Med Windows 11 har Microsoft introduceret en ‘Konfigurer DNS over HTTPS (DOH) Navnopløsning‘Politik under computerkonfiguration> Administrative skabeloner> Netværk> DNS -klient.

      Ny konfiguration DNS over HTTPS (DOH) Navnopløsningspolitik

      Denne politik giver dig mulighed for at konfigurere maskinen til at bruge standard ikke -krypterede DNS, foretrækker DOH eller kræver DOH.