DNS over TLS

DNS over TLS
DNS over TLS
줄임말
상황제안된 표준
최신 버전 RFC7858, RFC8310
2016년 5월, 2018년 3월
조직IETF
작가들
인터넷 보안
프로토콜
키 관리
응용 프로그램레이어
도메인 네임 시스템
인터넷 레이어

DNS over TLS(DoT)는 TLS(Transport Layer Security) 프로토콜을 통해 DNS(Domain Name System) 쿼리 및 응답을 암호화하고 래핑하는 네트워크 보안 프로토콜입니다.이 방법의 목적은 중간자 공격을 통해 DNS 데이터의 도청과 조작을 방지함으로써 사용자의 프라이버시와 보안을 강화하는 것입니다.

DNS-over-TLS는 모든 DNS 트랜잭션에 적용 가능하지만 2016년 5월 RFC 7858에서 stub 또는 forwarding 리졸바 및 recursive 리졸바 간의 사용을 위해 처음 표준화되었습니다.후속 IETF 작업에서는 재귀 서버와 정규 서버('Authoritive DNS-over-TLS' 또는 'ADoT')[1] 간의 DoT 사용 및 정규 서버('Zone Transfer-over-TLS' 또는 'xfr-over-TLS')[2] 간의 관련 구현을 지정합니다.

서버 소프트웨어

BIND는 버전9.17 [3]이후 DoT 접속을 지원합니다.이전 버전에서는 스턴널[4]통해 프록시를 수행함으로써 DoT 기능을 제공했습니다.Unbound는 2018년 [5][6]1월 22일부터 DNS over TLS를 지원하고 있습니다.언와인드는 2019년 [7][8]1월 29일부터 DoT를 지원하고 있다.Android Pie의 DNS over TLS 지원으로 일부 광고 블로커는 VPN 및 프록시 [9][10][11]서버 등 일반적으로 사용되는 다양한 회피책과 비교하여 암호화된 프로토콜을 사용하여 서비스에 비교적 쉽게 액세스할 수 있도록 지원합니다.Windows용 해결 및 신뢰할 수 있는 DNS 서버인 Simple DNS Plus는 2021년 9월 28일 출시된 버전 9.0에서 DoT 지원을 추가했습니다.

클라이언트 소프트웨어

Android 9(Pie) 이후를 실행하고 있는 Android 클라이언트는 DNS over TLS를 지원하며, 네트워크 인프라스트럭처(ISP 등)가 DNS [12][13]over TLS를 지원하는 경우 기본적으로 사용됩니다.

2018년 4월 구글은 Android Pie에 DNS over [14]TLS 지원이 포함되어 사용자가 Wi-Fi와 모바일 연결 모두에서 DNS 서버 전체를 설정할 수 있게 될 것이라고 발표했습니다.이것은 역사적으로 루트 디바이스에서만 가능했던 옵션입니다.PowerDNS의 DNSDist도 버전 1.3.[15]0에서 DNS over TLS 지원을 발표했습니다.

LinuxWindows 사용자는 NLnet Labs stubby 데몬 또는 Not Resolver를 [16]통해 DNS over TLS를 클라이언트로 사용할 수 있습니다.또는 getdns_query 툴에서 직접 DoT를 사용하기 위해 getdns-utils를[17] 설치할 수도 있습니다.NLnet Labs의 Unbound DNS Resolver는 DNS over [18]TLS도 지원합니다.

Apple의 iOS 14에서는 DNS over TLS(및 DNS over HTTPS)에 대한 OS 수준의 지원이 도입되었습니다.iOS에서는 DoT 서버를 수동으로 구성할 수 없으며 구성을 [19]변경하려면 서드파티 애플리케이션을 사용해야 합니다.

systemd-resolved는 DNS over TLS를 사용하도록 설정할 수 있는 Linux만의 구현입니다./etc/systemd/resolved.conf설정을 유효하게 합니다.DNSOverTLS대부분의 주요 Linux 디스트리뷰션에는 기본적으로 [22][circular reference]systemd가 설치되어 있습니다.[20][21]

Personal DNSfilter는 Android를 포함한 Java 지원 장치의 DoT 및 DNS over HTTPS(DoH)를 지원하는 오픈소스 DNS 필터입니다.

Nebulo는[24] DoT와 DoH를 모두 지원하는 안드로이드용 오픈소스 DNS 체인저 애플리케이션입니다.

퍼블릭 리졸바

DNS-over-TLS는 2017년 [25][26]Quad9에 의해 공개 재귀 해결기에서 처음 구현되었습니다.구글이나 Cloudflare같은 다른 재귀 리졸바 연산자도 그 뒤를 따랐고, 현재는 대부분의 대형 [27][28][29][30][31][32][33][34]재귀 리졸바에서 일반적으로 사용할 수 있는 광범위하게 지원되는 기능입니다.

비판 및 구현 고려 사항

DoT 에서는, 사이버 시큐러티의 목적으로 DNS 트래픽의 분석과 감시를 방해할 가능성이 있습니다.DoT는 (암호화되지 않은) 표준 DNS 수준에서 작동하는 부모 제어를 바이패스하기 위해 사용되었습니다.DNS 쿼리에 의존하여 도메인을 블록목록에 대해 체크하는 부모 제어 라우터인 Circle은 이 [35]때문에 기본적으로 DoT를 차단합니다.그러나 DoT와 DoH를 [36][37][38][39][40]모두 지원하는 필터링 및 보호자 제어를 제공하는 DNS 공급자도 있습니다.이 시나리오에서 DNS 쿼리는 사용자의 라우터를 떠나기 전에 공급자에 의해 수신되면 블록목록에 대해 체크됩니다.

암호화만으로는 프라이버시가 보호되지 않습니다.타사 옵저버로부터만 보호합니다.엔드포인트가 (복호화된) 데이터에 대해 무엇을 할지는 보장되지 않습니다.

DoT 클라이언트는 권한이 있는 네임서버에 직접 문의할 필요는 없습니다.클라이언트는 기존의 (포트 53 또는 853) 쿼리를 사용하여 최종적으로 신뢰할 수 있는 서버에 도달할 수 있습니다.따라서 DoT는 엔드 투 엔드의 암호화 프로토콜로는 적합하지 않습니다.단, 홉 투 홉만 암호화되며 DNS over TLS가 일관되게 사용되는 경우에만 암호화됩니다.

대체 수단

DNS over HTTPS(DoH)는 DNS 쿼리를 암호화하기 위한 유사한 프로토콜 표준이며 암호화 및 DoT와 전송에 사용되는 방식만 다릅니다.프라이버시와 보안에 근거해, 이 둘 사이에 뛰어난 프로토콜이 존재하는지 아닌지는 논란의 여지가 있는 문제이며, 다른 한편에서는 그 장점이 특정 사용 [41]사례에 따라 다르다고 주장한다.

DNSCrypt는 DNS 트래픽을 인증 및 암호화하는 또 다른 네트워크 프로토콜이지만, Internet Engineering Task Force(IETF; 인터넷 기술 특별 조사위원회)에 Request for Comments(RFC; 주석 요청)를 사용하여 제안되지는 않았습니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ Henderson, Karl; April, Tim; Livingood, Jason (2020-02-14). "Authoritative DNS-over-TLS Operational Considerations". Internet Engineering Task Force. Retrieved 17 July 2021.
  2. ^ Mankin, Allison (2019-07-08). "DNS Zone Transfer-over-TLS". Internet Engineering Task Force. Retrieved 17 July 2021.
  3. ^ "4. BIND 9 Configuration Reference — BIND 9 documentation". bind9.readthedocs.io. Retrieved 2021-11-14.
  4. ^ "Bind - DNS over TLS".
  5. ^ "Unbound version 1.7.3 Changelog".
  6. ^ Aleksandersen, Daniel. "Actually secure DNS over TLS in Unbound". Ctrl blog. Retrieved 2018-08-07.
  7. ^ "openbsd-cvs mailing list archives".
  8. ^ "openbsd-cvs mailing list archives".
  9. ^ "blockerDNS - Block Ads and Online Trackers So You Can Browse the Web Privately on Your Android Phone Without Installing an App!". blockerdns.com. Retrieved 2019-08-14.
  10. ^ "The official release of AdGuard DNS — a new unique approach to privacy-oriented DNS". AdGuard Blog. Retrieved 2019-08-14.
  11. ^ "Blahdns -- Dns service support DoH, DoT, DNSCrypt". blahdns.com. Retrieved 2019-08-14.
  12. ^ "DNS over TLS support in Android P Developer Preview". Android Developers Blog. Retrieved 2019-12-07.
  13. ^ Wallen, Jack (August 23, 2018). "How to enable DNS over TLS in Android Pie". TechRepublic. Retrieved 2021-03-17.
  14. ^ "DNS over TLS support in Android P Developer Preview". Google Security Blog. April 17, 2018.
  15. ^ "DNS-over-TLS". dnsdist.org. Retrieved 25 April 2018.
  16. ^ "Knot Resolver".
  17. ^ Package: getdns-utils, retrieved 2019-04-04
  18. ^ "Unbound - About". NLnet Labs. Retrieved 2020-05-26.
  19. ^ Cimpanu, Catalin. "Apple adds support for encrypted DNS (DoH and DoT)". ZDNet. Retrieved 2020-10-03.
  20. ^ "resolved.conf manual page". Retrieved 16 December 2019.
  21. ^ "Fedora Magazine: Use DNS over TLS". 10 July 2020. Retrieved 4 September 2020.
  22. ^ "Systemd adoption". Retrieved 16 December 2019.
  23. ^ "personalDNSfilter - a personal open source dns filter for stopping ads and more". zenz-solutions.de. Retrieved 2020-05-26.
  24. ^ "Nebulo - DNS Changer for DNS over HTTPS/TLS - Apps on Google Play". play.google.com. Retrieved 2020-05-26.
  25. ^ Band, Alex (2017-11-20). "Privacy: Using DNS-over-TLS with the Quad9 DNS Service". Medium. Retrieved 17 July 2021. Recently the Quad9 DNS service was launched. Quad9 differentiates from similar services by focusing on security and privacy. One interesting feature is the fact that you can communicate with the service using DNS-over-TLS. This encrypts the communication between your client and the DNS server, safeguarding your privacy.
  26. ^ Bortzmeyer, Stéphane (2017-11-21). "Quad9 is a public DNS resolver, with promises of better privacy, and a DNS-over-TLS access". RIPE Labs. Retrieved 17 July 2021. Last week, the new DNS resolver Quad9 has been announced. It is a public DNS resolver with the additional benefit that it is accessible in a secure way over TLS (RFC 7858). There are plenty of public DNS resolvers, but the link to them is not secure. This allows hijackings, as seen in Turkey, as well as third-party monitoring. The new Quad9 service on the other hand is operated by the not-for-profit Packet Clearing House (PCH), which manages large parts of the DNS infrastructure, and it allows access to the DNS over TLS. This makes it very difficult for third parties to listen in. And it makes it possible to authenticate the resolver.
  27. ^ "Public DNS resolver Anycast DNS for All". www.dnslify.com. Retrieved 2020-05-26.
  28. ^ "Telsy TRT". Retrieved 2020-05-26.
  29. ^ "How to keep your ISP's nose out of your browser history with encrypted DNS". Ars Technica. Retrieved 2018-04-08.
  30. ^ "DNS over TLS - Cloudflare Resolver". developers.cloudflare.com. Retrieved 2018-04-08.
  31. ^ "Google Public DNS now supports DNS-over-TLS". Google Online Security Blog. Retrieved 2019-01-10.
  32. ^ "Quad9, a Public DNS Resolver - with Security". RIPE Labs. Retrieved 2018-04-08.
  33. ^ "Troubleshooting DNS over TLS". 13 May 2018.[사용자 생성 소스]
  34. ^ "LibreDNS". LibreDNS. Retrieved 2019-10-20.
  35. ^ "Managing encrypted DNS connections (DNS over TLS, DNS over HTTPS) with Circle". Circle Support Center. Retrieved 2020-07-07.
  36. ^ Gallagher, Sean (16 November 2017). "New Quad9 DNS service blocks malicious domains for everyone". Ars Technica. Retrieved 14 November 2021. The system blocks domains associated with botnets, phishing attacks, and other malicious Internet hosts.
  37. ^ "Parental Control with DNS over TLS Support". CleanBrowsing. Retrieved 2020-08-20.
  38. ^ "Parental Control with DNS Over HTTPS (DoH) Support". CleanBrowsing. Retrieved 2020-08-20.
  39. ^ "Products". blockerdns.com. Retrieved 2020-08-20.
  40. ^ "Protect your privacy with DNS-over-TLS on SafeDNS". SafeDNS. Retrieved 2020-08-20.
  41. ^ Claburn, Thomas (2020-05-20). "Google rolls out pro-privacy DNS-over-HTTPS support in Chrome 83... with a handy kill switch for corporate IT". The Register. Retrieved 2021-02-03.

외부 링크