DNS-titkosítás HTTPS-en keresztüli DNS használatával

A hagyományos DNS titkosítatlan UDP- vagy TCP-üzeneteket használ az 53-as porton, amely a DNS-forgalmat passzív monitorozásnak, forgalomelemzésnek és a támadók aktív manipulációinak teszi elérhetővé. A DNS-titkosítás védi a DNS-lekérdezési és válaszforgalmat attól, hogy megfigyeljék, módosítják vagy illetéktelenül módosítják a hálózaton keresztüli átvitel közben.

A HTTPS-en keresztüli DNS (DoH) egy szabványalapú mechanizmus, amely a DNS-forgalmat a DNS-üzenetek HTTPS-en belüli beágyazásával titkosítja, és a Transport Layer Security (TLS) használatával biztosítja a bizalmasságot és az integritást. A DNS-forgalom titkosításával a DoH segít megelőzni a lehallgatást, a középen belüli támadásokat és a DNS-lekérdezések és válaszok jogosulatlan ellenőrzését.

A HTTPS-en keresztüli DNS működése

A HTTPS-en keresztüli DNS nem változtatja meg az alapvető DNS-lekérdezési és válaszmodellt. Ehelyett megváltoztatja a DNS-üzenetek hálózaton keresztüli átvitelét. Ha engedélyezi a DoH-t egy DNS-kiszolgálón, a DoH egy további titkosított kommunikációs lehetőség lesz, és a DNS-kiszolgáló továbbra is válaszol a hagyományos DNS-lekérdezésekre, kivéve, ha explicit módon letiltja ezt a képességet.

DoH engedélyezésekor:

  • A DNS-kiszolgáló a HTTPS-forgalmat figyeli.

  • Egy DoH-kompatibilis ügyfelet (például Windows 11-ügyfelet) úgy konfigurálhat, hogy titkosított lekérdezéseket használjon egy DNS-kiszolgálóra.

  • A DoH-ügyfél TLS-kapcsolatot létesít a DNS-kiszolgálóval.

  • Az ügyfél DNS-lekérdezéseket küld egy HTTPS-kérésen belül.

  • A DNS-kiszolgáló a szokásos módon dolgozza fel a lekérdezést.

  • A DNS-válasz a HTTPS-válaszon belül lesz visszaadva.

DNS HTTPS-en keresztül a DNS-kiszolgálóhoz (előzetes verzió)

Fontos

A DNS-lekérdezések HTTPS-en keresztül (DoH) funkció a Windows Server DNS-kiszolgálóhoz jelenleg előzetes verzióban érhető el. Ezek az információk egy előzetes termékre vonatkoznak, amely a kiadás előtt jelentősen módosítható. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.

A Windows Server 2025 2025 2026-02-s biztonsági frissítésétől kezdve (KB5075899) engedélyezheti a DNS-t HTTPS-en (DoH) keresztül a DNS-kiszolgáló szolgáltatásban a DoH-kompatibilis ügyfelek és a DNS-kiszolgáló közötti DNS-forgalom titkosításához.

Példa a DoH kommunikációs folyamatára az alábbi ábrán látható módon.

Az ügyfél és a kiszolgáló közötti DNS https-kapcsolaton keresztüli kommunikációs folyamatát bemutató ábra.

Ha a DNS-t HTTPS-en keresztül konfigurálja a DNS-kiszolgálóhoz, az előzetes verzióban vegye figyelembe az alábbiakat:

  • A felsőbb rétegbeli DNS-kommunikáció (továbbítók, feltételes továbbítók, mérvadó kiszolgálók) titkosítatlanok maradnak.

  • A DNS-zónaátvitelek titkosítatlanok maradnak.

  • A DNS dinamikus frissítései alapértelmezés szerint titkosítatlanok maradnak.

  • Nem hozhat létre olyan DNS-lekérdezésszűrőt, amely csak DoH-lekérdezésekkel egyezik.

  • A Transport Protocol lekérdezésszűrővel rendelkező szabályzatok nem egyeznek a DoH-lekérdezésekkel. Például egy Transport Protocol szűrővel beállított szabályzat nem egyezik EQ, TCP a DoH-val.

A DNS biztonsági előnyei HTTPS-en keresztül

A HTTPS-en keresztüli DNS a következő biztonsági és adatvédelmi előnyöket biztosítja:

  • Bizalmasság. A DNS-lekérdezések és válaszok titkosítva vannak, ami megakadályozza a passzív monitorozást.

  • Integritás. A TLS védi a DNS-üzeneteket az átvitel során történő módosítástól.

  • Authentication. A DNS-ügyfelek szabványos HTTPS-tanúsítványérvényesítéssel ellenőrizhetik a DNS-kiszolgáló identitását.

  • Ellenállás a forgalomelemzéssel szemben. A DNS-forgalom más HTTPS-forgalommal keveredik, így csökkenti a DNS-specifikus szűrésnek vagy -kezelésnek való kitettséget. Ez a megközelítés javítja az adatvédelmet és az elfogással szembeni ellenállást.

DNS HTTPS protokollon és szabványokon keresztül

Az IETF a HTTPS-en keresztüli DNS-t határozza meg az RFC 8484 – DNS-lekérdezések HTTPS-en (DoH) keresztül.

Az RFC 8484 megadja, hogyan küldhet és fogadhat DNS-üzeneteket HTTP-vel TLS-en keresztül. A DoH szabvány a GET és a POST metódusokat is támogatja, és meghatározza a DNS-üzenetek médiatípusait. Ez a megközelítés lehetővé teszi a DNS-forgalom számára, hogy kihasználja a modern HTTPS-funkciókat, például a titkosítást, a hitelesítést és a kapcsolat újrafelhasználását.

Emellett a DoH szabvány lehetővé teszi a kiszolgálói implementációk számára a kiszolgáló figyelési URI-jának és portjának konfigurálását, lehetővé téve a rugalmas üzembe helyezést különböző hálózati környezetekben.

DNS-titkosítás és DNSSEC

A DNS-titkosítás, például a DoH és a DNSSEC különböző fenyegetésmodellekkel foglalkozik, és kiegészítő technológiák. A DNS-titkosítás védi a dns-forgalmat a vezetéken, míg a DNSSEC biztosítja, hogy a DNS-adatok titkosításilag ellenőrizve legyen az integritás szempontjából, és mérvadó forrásból származnak.

A DoH és a DNSSEC együttes használatával mélységi védelmet kaphat a titkosított átvitel és a hitelesített DNS-adatok kombinálásával. További információ a DNSSEC-ről: Mi a DNSSEC?

Következő lépések

DNS engedélyezése HTTPS-en keresztül a Windows DNS Serveren

  • Last updated on