1. लाइब्रेरी
  2. DNS
  3. אבטחת DNS

DNS over TLS (DoT) — הסבר מלא

अपडेट किया गया 1 माह पहले

DNS מסורתי שולח כל שאילתה בטקסט גלוי לחלוטין. ספק האינטרנט שלך רואה כל דומיין שאתה מחפש. ה-WiFi של בית הקפה רואה את זה. כל מי שנמצא בנתיב הרשת יכול לקרוא אותו.

DNS over TLS (DoT) מצפין את השאילתות האלה. אבל הנה מה שרוב ההסברים מדלגים עליו: מישהו עדיין צריך לפתור אותן. אתה לא מבטל את הצורך באמון — אתה בוחר למי לתת אמון.

איך זה עובד

במקום טקסט גלוי על גבי פורט UDP 53, DoT יוצר חיבור TLS מוצפן לשרת הפתרון דרך פורט TCP 853. המכשיר שלך ושרת הפתרון מבצעים לחיצת יד TLS — מחליפים תעודות, מאמתים זהות, מסכמים על הצפנה. לאחר מכן שאילתות ה-DNS שלך זורמות דרך המנהרה.

משקיף ברשת רואה תעבורה שמגיעה לפורט 853 בשרת פתרון ידוע. הוא יכול לראות שאתה מבצע שאילתות DNS. הוא לא יכול לראות מה אתה שואל.

החיבור נשאר פתוח עבור שאילתות מרובות. אתה לא משלם את עלות לחיצת היד של TLS עבור כל חיפוש — רק עבור הראשון. לאחר הקמת החיבור, DoT הוא כמעט מהיר כמו DNS מסורתי.

הפשרה של פורט 853

DoT משתמש בפורט 853. רק פורט 853. זה או החוזק הגדול ביותר שלו, או הפגם הקטלני שלו.

עבור מנהלי רשת, הפורט הייעודי הוא מתנה. אפשר לראות בבירור את תעבורת DoT, לנתב אותה, להחיל עליה מדיניות, לפקח עליה — הכל מבלי לראות מה בפנים. נראות ושליטה לרשת; פרטיות ממשקיפים חיצוניים למשתמשים.

עבור משתמשים שמנסים להתחמק ממעקב או צנזורה, הפורט הייעודי הוא מטרה. חסימת פורט 853 חוסמת את כל DoT. רשתות מגבילות יכולות להרוג DNS מוצפן עם כלל חומת-אש אחד בלבד.

כאן DNS over HTTPS (DoH) מתפצל לדרכו. DoH שולח שאילתות DNS דרך פורט 443 — אותו פורט כמו כל תעבורת ה-HTTPS. אי אפשר לחסום אותו מבלי לחסום את האינטרנט עצמו.

DoT: שקוף לרשת שלך, ניתן לחסימה. DoH: בלתי נראה לרשת שלך, בלתי ניתן לשליטה.

בחר על פי ממי אתה מנסה להסתיר.

בעיית ריכוז האמון

עם DNS מסורתי, השאילתות שלך מפוזרות — ספק האינטרנט שלך רואה אותן, רשתות ביניים אולי שומרות אותן במטמון, מספר גורמים שונים יש להם גישה.

עם DoT, אתה מרכז אותן. Cloudflare ב-1.1.1.1. Google ב-8.8.8.8. Quad9 ב-9.9.9.9. ספק האינטרנט שלך כבר לא יכול לראות את החיפושים שלך — אבל שרת הפתרון שבחרת רואה את כולם. כל אתר שאתה מבקר. כל שירות שאליו אתה מתחבר. חברה אחת מקבלת את הכל.

זוהי פשרת הפרטיות שבאמת חשובה. אתה לא הופך את שאילתות ה-DNS שלך לפרטיות. אתה בוחר ממי הן פרטיות ולמי הן גלויות. קרא את מדיניות הפרטיות של שרת הפתרון שלך. הבן את שיטות הרישום שלו. אתה מוסר לו את היסטוריית הגלישה המלאה שלך.

הגדרת DoT

Android (9 ומעלה): הגדרות → רשת → DNS פרטי. הכנס שם מארח כמו one.one.one.one או dns.google. כעת כל אפליקציה משתמשת ב-DNS מוצפן.

iOS/macOS: דורש התקנת פרופיל תצורה — Apple לא חושפת זאת בממשק המשתמש. Cloudflare וספקים נוספים מציעים פרופילים להורדה.

Linux: הגדר את systemd-resolved עם DNSOverTLS=yes, או הפעל את Stubby כ-proxy מקומי.

ארגוני: שרתי הפתרון הפנימיים שלך משתמשים ב-DNS מסורתי עבור הלקוחות; הם משתמשים ב-DoT כדי להגיע לאינטרנט. רכז את החיבור המוצפן במקום להגדיר כל מכשיר בנפרד.

מתי להשתמש במה

השתמש ב-DoT כאשר:

  • אתה רוצה פרטיות DNS מספק האינטרנט שלך וממשקיפי הרשת
  • אתה נמצא ברשת ארגונית שזקוקה לנראות תעבורה ללא בדיקת תוכן
  • הרשת לא חוסמת את פורט 853

השתמש ב-DoH כאשר:

  • פורט 853 חסום
  • אתה צריך הצפנת DNS שלא ניתן לזהות או לסנן
  • אפילו עצם קיומה של תעבורת DNS מוצפנת עלולה להיות בעייתית

אל תשתמש בשניהם כאשר:

  • אתה מפעיל שרת פתרון משלך ואתה בוטח בנתיב הרשת שלך
  • אתה כבר משתמש ב-VPN שמטפל ב-DNS
  • זמן האחזור קריטי ואתה לא יכול להרשות לעצמך את עלות לחיצת היד

שלוש תשובות לאותה שאלה

מי רואה מה?

DNS מסורתי: כולם רואים הכל.

DoT: הרשת שלך רואה שהתעבורה קיימת. שרת הפתרון שלך רואה את התוכן. כל השאר לא רואים כלום.

DoH: אף אחד לא רואה שהתעבורה קיימת. שרת הפתרון שלך רואה את התוכן. כל השאר לא רואים כלום.

בחר בהתאם.

שאלות נפוצות על DNS over TLS

האם DoT הופך את הגלישה שלי לפרטית לחלוטין?

לא. DoT מצפין שאילתות DNS, אבל ספק האינטרנט שלך עדיין רואה את כתובות ה-IP שאליהן אתה מתחבר לאחר הפתרון. הוא לא יכול לראות שחיפשת את example.com, אבל הוא יכול לראות שהתחברת ל-93.184.216.34. לפרטיות אמיתית, אתה צריך VPN או Tor בנוסף ל-DNS מוצפן.

מדוע אבחר ב-DoT על פני DoH?

כאשר אתה רוצה שמנהלי הרשת יוכלו לראות ולנהל את תעבורת ה-DNS המוצפנת מבלי לראות את תוכנה. סביבות ארגוניות מעדיפות DoT מכיוון שהוא מאפשר ניטור ואכיפת מדיניות תוך הגנה על פרטיות השאילתות. בחר ב-DoH כאשר אתה צריך הצפנת DNS שאינה נראית לעין.

האם DoT מאט את הגלישה?

לחיצת היד הראשונית של TLS מוסיפה 50–100ms עבור השאילתה הראשונה לשרת פתרון חדש. לאחר מכן, שאילתות זורמות דרך החיבור המתמיד עם תקורה מינימלית. רוב המשתמשים לא מבחינים בהבדל כאשר משתמשים בשרתי פתרון קרובים גיאוגרפית.

האם המעסיק שלי יכול לראות את שאילתות ה-DNS שלי אם אני משתמש ב-DoT?

תלוי בהגדרה שלך. אם הגדרת DoT במכשיר אישי לשימוש בשרת פתרון חיצוני, הרשת של המעסיק שלך רואה שאתה משתמש ב-DoT — אבל לא מה אתה שואל. אם המעסיק שלך שולט במכשיר שלך או מפעיל proxy DNS, הוא יכול ליירט את DoT או לחסום אותו. ברשתות ארגוניות, כדאי להניח ש-IT יכול לראות את מה שהוא צריך לראות.

מקורות

पिछला

כיצד עובד אימות DNSSEC

अगला

מתקפות הגברת DNS

क्या यह पृष्ठ सहायक था?

😔
🤨
😃