DNS sobre TLS - DNS over TLS
| Estado | Norma propuesta |
|---|---|
| Ultima versión |
RFC 7858 , RFC 8310 mayo de 2016 y marzo de 2018 |
| Organización | IETF |
| Autores | |
| Abreviatura | Punto |
Protocolos de seguridad de Internet |
|---|
| Gestión de claves |
| Capa de aplicación |
| sistema de nombres de dominio |
| Capa de Internet |
DNS sobre TLS ( DoT ) es un protocolo de seguridad de red para cifrar y envolver consultas y respuestas del Sistema de nombres de dominio (DNS) a través del protocolo Transport Layer Security (TLS). El objetivo del método es aumentar la privacidad y la seguridad del usuario al evitar las escuchas y la manipulación de los datos del DNS a través de ataques de intermediarios .
Si bien DNS-over-TLS es aplicable a cualquier transacción de DNS, primero se estandarizó para su uso entre resolutores de stub o reenvío y resolutores recursivos, en RFC 7858 en mayo de 2016. Los esfuerzos posteriores de IETF especifican el uso de DoT entre servidores recursivos y autorizados ( "DNS autorizado sobre TLS" o "ADoT") y una implementación relacionada entre servidores autorizados (transferencia de zona por TLS o "xfr por TLS").
Software de servidor
Los usuarios de BIND también pueden proporcionar DNS a través de TLS enviándolo a través de stunnel . Unbound ha admitido DNS sobre TLS desde el 22 de enero de 2018. Unwind ha admitido DoT desde el 29 de enero de 2019. Con el soporte de Android Pie para DNS sobre TLS, algunos bloqueadores de anuncios ahora admiten el uso del protocolo cifrado como una forma relativamente fácil de acceder a sus servicios en comparación con cualquiera de los diversos métodos alternativos que se utilizan normalmente, como las VPN y los servidores proxy.
Software de cliente
Los clientes de Android que ejecutan Android 9 (Pie) o versiones más recientes admiten DNS sobre TLS y lo usarán de forma predeterminada si la infraestructura de red, por ejemplo, el ISP , lo admite.
En abril de 2018, Google anunció que Android Pie incluirá soporte para DNS sobre TLS, lo que permitirá a los usuarios configurar un servidor DNS en todo el teléfono tanto en Wi-Fi como en conexiones móviles, una opción que históricamente solo era posible en dispositivos rooteados . DNSDist, de PowerDNS , también anunció soporte para DNS sobre TLS en la versión 1.3.0.
Los usuarios de Linux y Windows pueden usar DNS sobre TLS como cliente a través del demonio stubby de NLnet Labs o Knot Resolver. Alternativamente, pueden instalar getdns-utils para usar DoT directamente con la herramienta getdns_query. La no unida resolución de DNS por NLnet Labs también es compatible con DNS a través de TLS.
El iOS 14 de Apple introdujo soporte a nivel de sistema operativo para DNS sobre TLS (y DNS sobre HTTPS). iOS no permite la configuración manual de servidores DoT y requiere el uso de una aplicación de terceros para realizar cambios de configuración.
systemd-resuelto es una implementación solo de Linux que se puede configurar para usar DNS sobre TLS, editando /etc/systemd/resolved.confy habilitando la configuración DNSOverTLS. La mayoría de las principales distribuciones de Linux tienen systemd instalado de forma predeterminada.
personalDNSfilter es un filtro DNS de código abierto compatible con DoT y DNS sobre HTTPS (DoH) para dispositivos habilitados para Java, incluido Android.
Nebulo es una aplicación de cambio de DNS de código abierto para Android que admite DoT y DoH.
Resolvedores públicos
DNS-over-TLS se implementó por primera vez en un resolutor recursivo público por Quad9 en 2017. Otros operadores de resolutores recursivos como Google y Cloudflare siguieron su ejemplo en los años siguientes, y ahora es una función ampliamente admitida generalmente disponible en la mayoría de los resolutores recursivos grandes.
Críticas y consideraciones de implementación
DoT puede impedir el análisis y la supervisión del tráfico de DNS con fines de ciberseguridad. DoT se ha utilizado para eludir los controles parentales que operan en el nivel DNS estándar (sin cifrar); Circle, un enrutador de control parental que se basa en consultas de DNS para comparar dominios con una lista de bloqueo, bloquea DoT de forma predeterminada debido a esto. Sin embargo, hay proveedores de DNS que ofrecen filtrado y controles parentales junto con soporte para DoT y DoH. En ese escenario, las consultas de DNS se comparan con las listas de bloqueo una vez que el proveedor las recibe en lugar de antes de salir del enrutador del usuario.
El cifrado por sí solo no protege la privacidad. Solo protege contra observadores de terceros. No garantiza lo que hacen los puntos finales con los datos (luego descifrados).
Los clientes de DoT no necesariamente consultan directamente ningún servidor de nombres autorizado . El cliente puede confiar en el servidor DoT utilizando consultas tradicionales (puerto 53 u 853) para llegar finalmente a los servidores autorizados. Por lo tanto, DoT no califica como un protocolo encriptado de extremo a extremo , solo encriptado salto a salto y solo si el DNS sobre TLS se usa de manera consistente.
Ver también
Referencias
enlaces externos
- RFC 7858 - Especificación para DNS sobre seguridad de la capa de transporte (TLS)
- RFC 8310 - Perfiles de uso para DNS sobre TLS y DNS sobre DTLS
- Proyecto de privacidad de DNS: dnsprivacy.org