DNS поверх TLS и DNS поверх HTTPS | Безопасный DNS

Запросы DNS отправляются в виде открытого текста, что означает, что их может прочитать любой. DNS поверх HTTPS и DNS поверх TLS шифруют запросы и ответы DNS, чтобы обеспечить безопасность и конфиденциальность просмотра пользователями. Однако у обоих подходов есть свои плюсы и минусы.

Цели обучения

После прочтения этой статьи вы сможете:

  • Ознакомиться с тем, почему DNS нуждается в большей безопасности и почему важна конфиденциальность DNS
  • Узнать, как работают DNS поверх TLS и DNS поверх HTTPS, и чем они отличаются друг от друга.
  • Объяснить плюсы и минусы обоих подходов
  • Сравнить DNS поверх TLS/HTTPS с DNSSEC

Копировать ссылку статьи

Зачем DNS нужны дополнительные уровни безопасности?

DNS — это «телефонная книга» Интернета; DNS-преобразователи переводят человекочитаемые доменные имена в машиночитаемые IP-адреса. По умолчанию запросы и ответы DNS отправляются в виде открытого текста (через UDP), что означает, что они могут быть прочитаны сетями, интернет-провайдерами или кем-либо, кто может отслеживать передачи. Даже если веб-сайт использует HTTPS, отображается DNS-запрос, необходимый для перехода на этот веб-сайт.

Отсутствие конфиденциальности имеет огромное влияние на безопасность, а в некоторых случаях и на права человека; если DNS-запросы не являются частными, то правительствам становится проще подвергать Интернет цензуре, а злоумышленникам — отслеживать поведение пользователей в сети.

Злоумышленник просматривает незащищенный DNS-трафик

Обычный незашифрованный DNS-запрос можно сравнить с открыткой, отправленной по почте: любой, кто обрабатывает почту, может случайно увидеть текст, написанный на обратной стороне, поэтому неразумно отправлять почтовую открытку, которая содержит конфиденциальную или личную информацию.

DNS поверх TLS и DNS поверх HTTPS — это два стандарта, разработанные для шифрования трафика DNS с открытым текстом, чтобы злоумышленники, рекламораспространители, интернет-провайдеры и другие лица не могли интерпретировать данные. Продолжая аналогию, эти стандарты стремятся поместить все открытки, проходящие по почте, в конверт, чтобы каждый мог отправить открытку, не беспокоясь о том, что кто-то следит за его действиями.

DNS-запросы защищены через TLS или HTTPS, злоумышленник заблокирован

Что такое DNS поверх TLS?

DNS поверх TLS (DNS over TLS) или DoT — это стандарт шифрования DNS-запросов, обеспечивающий их безопасность и конфиденциальность. DoT использует тот же протокол безопасности, TLS, который веб-сайты HTTPS используют для шифрования и аутентификации связей. (TLS также известен как "SSL.") DoT добавляет шифрование TLS поверх протокола пользовательских дейтаграмм (UDP), который используется для DNS-запросов. Кроме того, он гарантирует, что запросы и ответы DNS не будут изменены или подделаны посредством атак по пути.

Что такое DNS поверх HTTPS?

DNS поверх HTTPS, или DoH, является альтернативой DoT. При использовании DoH запросы и ответы DNS зашифровываются, но при этом они отправляются через протоколы HTTP или HTTP/2, а не напрямую через UDP. Аналогично DoT, DoH гарантирует, что злоумышленники не смогут подделать или изменить DNS-трафик. Трафик DoH выглядит как другой трафик HTTPS — например, обычное управляемое пользователем взаимодействие с веб-сайтами и веб-приложениями — с точки зрения сетевого администратора.

В феврале 2020 года браузер Mozilla Firefox включил DoH по умолчанию для пользователей в США. Запросы DNS из браузера Firefox шифруются DoH и переходят к CloudFlash или NextDNS. Некоторые другие браузеры также поддерживают DoH, хотя по умолчанию он не включен.

Подождите, разве HTTPS не использует тоже TLS для шифрования? Чем отличаются DNS поверх TLS и DNS поверх HTTPS?

Каждый стандарт был разработан отдельно и имеет собственную документацию RFC *, но самое важное различие между DoT и DoH состоит в том, какой порт они используют. DoT использует только порт 853, а DoH использует порт 443, который также используется для всего остального трафика HTTPS.

Поскольку у DoT есть выделенный порт, любой пользователь, имеющий доступ к сети, может видеть входящий и исходящий трафик DoT, даже если сами запросы и ответы зашифрованы. Напротив, с DoH запросы и ответы DNS замаскированы в другом трафике HTTPS, поскольку все они приходят и уходят из одного и того же порта.

*RFC означает «запрос комментариев» (от англ. "Request for Comments"), и RFC — это коллективная попытка разработчиков, сетевых экспертов и лидеров мнений стандартизировать интернет-технологию или протокол.

Что такое порт?

В организации сети порт — это виртуальное место на машине, открытое для подключений с других машин. Каждый сетевой компьютер имеет стандартное количество портов, и каждый порт зарезервирован для определенных типов связи.

Представьте порты для кораблей в гавани: каждый морской порт пронумерован, и различные типы судов должны идти в определенные морские порты для разгрузки груза или пассажиров. То же самое и с сетевой организацией: определенные типы связи должны направляться к определенным сетевым портам. Разница состоит в том, что сетевые порты являются виртуальными; это места для цифровых, а не физических соединений.

Что лучше, DoT или DoH?

Это может стать предметом для обсуждения. С точки зрения сетевой безопасности DoT, возможно, лучше. DoT дает сетевым администраторам возможность отслеживать и блокировать DNS-запросы, что важно для выявления и остановки вредоносного трафика. При этом DoH-запросы скрыты в обычном трафике HTTPS, а это означает, что их невозможно легко заблокировать, не блокируя при этом весь прочий трафик HTTPS.

Тем не менее, с точки зрения конфиденциальности, можно утверждать, что DoH является более предпочтительным. С DoH DNS-запросы скрыты в обширном потоке HTTPS-трафика. Это дает сетевым администраторам меньшую видимость, но обеспечивает пользователям большую конфиденциальность.

1.1.1.1, бесплатный DNS-преобразователь от Cloudflare, поддерживает как DoT, так и DoH.

В чем разница между DNS поверх TLS/HTTPS и DNSSEC?

DNSSEC — это набор расширений безопасности для проверки подлинности корневых серверов DNS и полномочных серверов имен при обмене данными с DNS-преобразователями. Он разработан для предотвращения отравления кэша DNS, среди прочих атак. Он не шифрует связи. С другой стороны, DNS поверх TLS или HTTPS шифрует DNS-запросы. 1.1.1.1 также поддерживает DNSSEC.

Чтобы узнать больше о 1.1.1.1, см. пункт Что такое 1.1.1.1?

Продажи