stringtranslate.com

DNS sobre TLS

DNS over TLS ( DoT ) es un protocolo de seguridad de red para cifrar y encapsular consultas y respuestas del Sistema de nombres de dominio (DNS) a través del protocolo Transport Layer Security (TLS). El objetivo del método es aumentar la privacidad y la seguridad del usuario evitando la escucha y la manipulación de los datos DNS a través de ataques de intermediario . El número de puerto conocido para DoT es 853.

Si bien el DNS sobre TLS es aplicable a cualquier transacción DNS, se estandarizó por primera vez para su uso entre resolutores de reenvío o stub y resolutores recursivos en RFC  7858 en mayo de 2016. Los esfuerzos posteriores de IETF especifican el uso de DoT entre servidores recursivos y autorizados ("DNS autorizado sobre TLS" o "ADoT") [1] y una implementación relacionada entre servidores autorizados (Zone Transfer-over-TLS o "xfr-over-TLS"). [2]

Software de servidor

BIND admite conexiones DoT a partir de la versión 9.17. [3] Las versiones anteriores ofrecían capacidad DoT mediante proxy a través de stunnel . [4] Unbound admite DNS sobre TLS desde el 22 de enero de 2023. [5] [6] Unwind admite DoT desde el 29 de enero de 2023. [7] [8] Con el soporte de Android Pie para DNS sobre TLS, algunos bloqueadores de anuncios ahora admiten el uso del protocolo cifrado como una forma relativamente fácil de acceder a sus servicios en comparación con cualquiera de los diversos métodos alternativos que se usan normalmente, como VPN y servidores proxy. [9] [10] [11] [12]

Software de cliente

Los clientes de Android que ejecutan Android Pie o versiones más nuevas admiten DNS sobre TLS y lo usarán de forma predeterminada si la infraestructura de red, por ejemplo, el ISP , lo admite. [13] [14]

En abril de 2018, Google anunció que Android Pie incluirá soporte para DNS sobre TLS, [15] lo que permitirá a los usuarios configurar un servidor DNS para todo el teléfono tanto en conexiones Wi-Fi como móviles, una opción que históricamente solo era posible en dispositivos rooteados . DNSDist, de PowerDNS , también anunció soporte para DNS sobre TLS en la versión 1.3.0. [16]

Los usuarios de Linux y Windows pueden usar DNS sobre TLS como cliente a través del demonio Stubby de NLnet Labs o Knot Resolver. [17] Alternativamente, pueden instalar getdns-utils [18] para usar DoT directamente con la herramienta getdns_query. El solucionador de DNS no vinculado de NLnet Labs también admite DNS sobre TLS. [19]

El iOS 14 de Apple introdujo soporte a nivel de sistema operativo para DNS sobre TLS (y DNS sobre HTTPS). iOS no permite la configuración manual de servidores DoT y requiere el uso de una aplicación de terceros para realizar cambios de configuración. [20]

systemd-resolved es una implementación exclusiva de Linux que se puede configurar para usar DNS sobre TLS, editando /etc/systemd/resolved.confy habilitando la configuración DNSOverTLS. [21] [22] La mayoría de las distribuciones principales de Linux tienen systemd instalado de manera predeterminada. [23] [ referencia circular ]

Resolutores públicos

Quad9 implementó por primera vez DNS over TLS en un solucionador recursivo público en 2017. [24] [25] Otros operadores de solucionadores recursivos como Google y Cloudflare siguieron su ejemplo en los años siguientes, y ahora es una característica ampliamente compatible y generalmente disponible en la mayoría de los solucionadores recursivos grandes. [26] [27] [28] [29] [30] [31] [32] [33] [12]

Críticas y consideraciones de implementación

DoT puede impedir el análisis y la monitorización del tráfico DNS con fines de ciberseguridad. DoT se ha utilizado para eludir los controles parentales que funcionan en el nivel DNS estándar (sin cifrar); Circle, un enrutador de control parental que se basa en consultas DNS para comprobar los dominios en una lista de bloqueo, bloquea DoT de forma predeterminada debido a esto. [34] Sin embargo, hay proveedores de DNS que ofrecen filtrado y controles parentales junto con soporte tanto para DoT como para DoH. [35] [36] [37] [38] [39] [12] En ese escenario, las consultas DNS se comprueban en las listas de bloqueo una vez que las recibe el proveedor en lugar de antes de salir del enrutador del usuario.

Al igual que con cualquier comunicación, el cifrado de las solicitudes DNS por sí solo no protege la privacidad. Protege contra observadores externos, pero no garantiza lo que los puntos finales hacen con los datos (luego descifrados).

Los clientes DoT no necesariamente consultan directamente a ningún servidor de nombres autorizado . El cliente puede confiar en que el servidor DoT utilice consultas tradicionales (puerto 53 u 853) para llegar finalmente a los servidores autorizados. Por lo tanto, DoT no califica como un protocolo cifrado de extremo a extremo , solo cifrado de salto a salto y solo si se utiliza DNS sobre TLS de manera consistente.

Alternativas

DNS over HTTPS (DoH) es un protocolo estándar similar para cifrar consultas DNS , que difiere únicamente en los métodos utilizados para el cifrado y la entrega de DoT. En términos de privacidad y seguridad, si existe o no un protocolo superior entre los dos es un tema de debate controvertido, mientras que otros sostienen que los méritos de cada uno dependen del caso de uso específico. [40]

DNSCrypt es otro protocolo de red que autentica y encripta el tráfico DNS, aunque nunca fue propuesto al Grupo de Trabajo de Ingeniería de Internet (IETF) con una Solicitud de Comentarios (RFC).

Véase también

Referencias

  1. ^ Henderson, Karl; April, Tim; Livingood, Jason (14 de febrero de 2020). "Consideraciones operativas de DNS sobre TLS autoritativo". Ietf Datatracker . Grupo de trabajo de ingeniería de Internet . Consultado el 17 de julio de 2021 .
  2. ^ Mankin, Allison (8 de julio de 2019). "Transferencia de zona DNS a través de TLS". Ietf Datatracker . Grupo de trabajo de ingeniería de Internet . Consultado el 17 de julio de 2021 .
  3. ^ "4. Referencia de configuración de BIND 9 — Documentación de BIND 9". bind9.readthedocs.io . Consultado el 14 de noviembre de 2021 .
  4. ^ "Bind - DNS over TLS". Archivado desde el original el 20 de octubre de 2017. Consultado el 15 de mayo de 2018 .
  5. ^ "Registro de cambios de la versión 1.7.3 de Unbound". Archivado desde el original el 2018-08-07 . Consultado el 2018-08-07 .
  6. ^ Aleksandersen, Daniel. "DNS realmente seguro sobre TLS en Unbound". Blog de Ctrl . Consultado el 7 de agosto de 2018 .
  7. ^ "Archivos de la lista de correo openbsd-cvs".
  8. ^ "Archivos de la lista de correo openbsd-cvs".
  9. ^ "blockerDNS: bloquea anuncios y rastreadores en línea para que puedas navegar en la Web de forma privada en tu teléfono Android sin instalar una aplicación". blockerdns.com . Consultado el 14 de agosto de 2019 .
  10. ^ "Lanzamiento oficial de AdGuard DNS: un nuevo enfoque exclusivo para DNS orientado a la privacidad". Blog de AdGuard . Consultado el 14 de agosto de 2019 .
  11. ^ "Blahdns - Soporte de servicio DNS DoH, DoT, DNSCrypt". blahdns.com . Consultado el 14 de agosto de 2019 .
  12. ^ abc "NextDNS". NextDNS . Consultado el 16 de diciembre de 2023 .
  13. ^ "Compatibilidad con DNS sobre TLS en la versión preliminar para desarrolladores de Android P". Blog de desarrolladores de Android . Consultado el 7 de diciembre de 2019 .
  14. ^ Wallen, Jack (23 de agosto de 2018). "Cómo habilitar DNS sobre TLS en Android Pie". TechRepublic . Consultado el 17 de marzo de 2021 .
  15. ^ "Compatibilidad con DNS sobre TLS en la versión preliminar para desarrolladores de Android P". Blog de seguridad de Google . 17 de abril de 2018.
  16. ^ "DNS sobre TLS". dnsdist.org . Consultado el 25 de abril de 2018 .
  17. ^ "Resolutor de nudos".
  18. ^ Paquete: getdns-utils , consultado el 4 de abril de 2019
  19. ^ "Unbound - Acerca de". NLnet Labs . Consultado el 26 de mayo de 2020 .
  20. ^ Cimpanu, Catalin. «Apple añade compatibilidad con DNS cifrado (DoH y DoT)». ZDNet . Consultado el 3 de octubre de 2020 .
  21. ^ "página del manual solved.conf" . Consultado el 16 de diciembre de 2019 .
  22. ^ "Fedora Magazine: Use DNS over TLS". 10 de julio de 2020. Consultado el 4 de septiembre de 2020 .
  23. ^ "Adopción de Systemd" . Consultado el 16 de diciembre de 2019 .
  24. ^ Band, Alex (2017-11-20). "Privacidad: uso de DNS sobre TLS con el servicio DNS Quad9". Medium . Consultado el 17 de julio de 2021 . Recientemente se lanzó el servicio DNS Quad9. Quad9 se diferencia de servicios similares al centrarse en la seguridad y la privacidad. Una característica interesante es el hecho de que puede comunicarse con el servicio mediante DNS sobre TLS. Esto encripta la comunicación entre su cliente y el servidor DNS, salvaguardando su privacidad.
  25. ^ Bortzmeyer, Stéphane (2017-11-21). "Quad9 es un solucionador de DNS público, con promesas de mayor privacidad y acceso DNS sobre TLS". RIPE Labs . Consultado el 17 de julio de 2021. La semana pasada se anunció el nuevo solucionador de DNS Quad9. Es un solucionador de DNS público con el beneficio adicional de que es accesible de forma segura a través de TLS (RFC 7858). Hay muchos solucionadores de DNS públicos, pero el enlace a ellos no es seguro. Esto permite secuestros, como se vio en Turquía, así como la monitorización de terceros. El nuevo servicio Quad9, por otro lado, es operado por la organización sin fines de lucro Packet Clearing House (PCH), que administra grandes partes de la infraestructura de DNS, y permite el acceso al DNS sobre TLS. Esto hace que sea muy difícil para terceros escuchar. Y hace posible autenticar el solucionador.
  26. ^ "Resolución de DNS pública Anycast DNS para todos". www.dnslify.com . Archivado desde el original el 24 de julio de 2020. Consultado el 26 de mayo de 2020 .
  27. ^ "Telsy TRT". Archivado desde el original el 31 de enero de 2021. Consultado el 26 de mayo de 2020 .
  28. ^ "Cómo evitar que tu ISP lea el historial de tu navegador con DNS encriptado". Ars Technica . Consultado el 8 de abril de 2018 .
  29. ^ "DNS sobre TLS - Cloudflare Resolver". desarrolladores.cloudflare.com . Consultado el 8 de abril de 2018 .
  30. ^ "Google Public DNS ahora admite DNS sobre TLS". Blog de seguridad en línea de Google . Consultado el 10 de enero de 2019 .
  31. ^ "Quad9, un solucionador de DNS público - con seguridad". RIPE Labs . 21 de noviembre de 2017 . Consultado el 8 de abril de 2018 .
  32. ^ "Solución de problemas de DNS sobre TLS". 13 de mayo de 2018.[ fuente generada por el usuario ]
  33. ^ "LibreDNS". LibreDNS . Consultado el 20 de octubre de 2019 .
  34. ^ "Gestión de conexiones DNS cifradas (DNS sobre TLS, DNS sobre HTTPS) con Circle". Centro de soporte de Circle . Archivado desde el original el 2020-08-03 . Consultado el 2020-07-07 .
  35. ^ Gallagher, Sean (16 de noviembre de 2017). "El nuevo servicio DNS Quad9 bloquea los dominios maliciosos para todos". Ars Technica . Consultado el 14 de noviembre de 2021 . El sistema bloquea los dominios asociados con botnets, ataques de phishing y otros hosts de Internet maliciosos.
  36. ^ "Control parental con compatibilidad con DNS sobre TLS". CleanBrowsing . Consultado el 20 de agosto de 2020 .
  37. ^ "Control parental con compatibilidad con DNS sobre HTTPS (DoH)". CleanBrowsing . Consultado el 20 de agosto de 2020 .
  38. ^ "Productos". blockerdns.com . Consultado el 20 de agosto de 2020 .
  39. ^ "Proteja su privacidad con DNS sobre TLS en SafeDNS". SafeDNS . Archivado desde el original el 2020-09-18 . Consultado el 2020-08-20 .
  40. ^ Claburn, Thomas (20 de mayo de 2020). "Google lanza compatibilidad con DNS sobre HTTPS en Chrome 83... con un práctico interruptor de seguridad para el departamento de TI corporativo". The Register . Consultado el 3 de febrero de 2021 .

Enlaces externos