Продолжаем говорить об истории DNS. Обсуждаем точку зрения экспертов и компаний, выступающих за и против внедрения протоколов DNS over HTTPS и DNS over TLS, а также спецификации EDNS.
Рубрика «dns over tls»
История системы доменных имен: «войны» протоколов
2019-12-22 в 16:41, admin, рубрики: 1cloud, DNS, dns over https, dns over tls, EDNS, Блог компании 1cloud.ruDNS Over TLS & Over HTTPS теперь и на iOS-Android и для всех сетей сразу [Спасибо Cloudflare]
2018-11-12 в 18:14, admin, рубрики: android, CloudFlare, dns over https, dns over tls, DoH, dot, iOS, информационная безопасность
DNS Over TLS & Over HTTPS (Далее DOT & DOH) — пожалуй именно те технологии которые кардинально повышают приватность и безопасность в Интернете. Есть еще Encrypted SNI, но для её использования нужны DOH и DOT
Обращаю внимание, само приложение — очень UserFriendly даже без глубоких знаний технологий настоятельно рекомендуется ознакомится с ним.
Краткая справка: DNS — система получения IP адреса, фундаментальная часть интернета, которая используется каждый раз при веб браузинге. Открывая тот или иной ресурс, вы сообщаете своему оператору связи куда вы зашли, причем даже если вы поменяете DNS на другой (8.8.8.8 от Google например) — это вам не поможет, из-за отсутствия шифрования в протоколе, что позволяет производить подмену и перенаправление трафика не целевой сервер (фактически атака MITM).
Читать полностью »
DNS over TLS — Шифруем наши DNS запросы с помощью Stunnel и Lua
2018-10-27 в 16:37, admin, рубрики: dns over tls, Lua, stunnel, системное администрирование
источник изображения
После новости о том что "Google Public DNS тихо включили поддержку DNS over TLS" я решил попробовать его. У меня уже есть Stunnel который создаст шифрованный TCP туннель до гугла. Но программы обычно общаются с DNS по UDP протоколу. Поэтому нам нужен прокси который будет пересылать UDP пакеты в TCP поток и обратно. Мы напишем его на Lua.
Вся разница между TCP и UDP DNS пакетами:
4.2.2. TCP usage
Messages sent over TCP connections use server port 53 (decimal). The message is prefixed with a two byte length field which gives the message length, excluding the two byte length field. This length field allows the low-level processing to assemble a complete message before beginning to parse it.
RFC1035: DOMAIN NAMES — IMPLEMENTATION AND SPECIFICATION
То есть делаем туда:
- берём пакет из UDP
- добавляем к нему в начале пару байт в которых указан размер этого пакета
- отправляем в TCP канал
И в обратную сторону:
- читаем из TCP пару байт тем самым получаем размер пакета
- читаем пакет из TCP
- отправляем его получателю по UDP
Google Public DNS тихо включили поддержку DNS over TLS
2018-10-24 в 22:27, admin, рубрики: DNS, dns over https, dns over tls, DNSSEC, dpi, knot resolver, TLS, безопасность
Внезапно, без предварительного анонса, на 8.8.8.8 заработал DNS over TLS. Ранее Google анонсировал только поддержку DNS over HTTPS.
Публичный резолвер от компании CloudFlare с IP-адресом 1.1.1.1 поддерживает DNS over TLS с момента запуска проекта.
Зачем это нужно
При использовании классической схемы DNS, провайдеры могут лезть своими грязными лапами в ваши DNS-пакеты, просматривать, какие домены вы запрашиваете, и подменять ответы как угодно. Этим же занимаются мошенники, подменяя резолверы на взломанных роутерах, чтобы направить пользователя на поддельный сервер.
C DNS over TLS/HTTPS запросы посылаются внутри зашифрованного тоннеля так, что провайдер не может подменить или просмотреть запрос.
А с приходом шифрования имени домена в сертификатах X.509 (ESNI) станут невозможны блокировки через DPI по SNI (Server Name Indication, специальное поле, в котором передается имя домена в первом TLS-пакете), которые сейчас применяются у некоторых крупных провайдеров.
Как это работает
На порт TCP:853 выполняется TLS-подключение, при этом проверка сертификата резолвера проихсодит с использованием системных корневых сертификатов, точно так же, как HTTPS в браузере. Это избавляет от необходимости добавлять какие-либо ключи вручную. Внутри тоннеля выполняется обычный DNS-запрос. Это создает меньше накладных расходов по сравнению с DNS over HTTPS, который добавляет HTTP-заголовки к запросу и ответу.
К сожалению, на текущий момент только в Android 9 (Pie) поддержка DNS over TLS встроена в системный резолвер. Инструкция по настройке для Android 9.
Для остальных систем предлагается использовать сторонний демон, а системный резолвер направлять на localhost (127.0.0.1).
Настройка на macOS
Разберем настройку DNS over TLS на последней версии macOS, на примере резолвера knot
Читать полностью »