ستجد فى هذا المقال
لماذا يحتاج الDNS إلى طبقات أمان إضافية؟
لماذا يحتاج الDNS إلى طبقات أمان إضافية؟
DNS عبر TLS مقابل DNS عبر HTTPS | تأمين DNS
يتم إرسال استعلامات DNS بنص عادي ، مما يعني أنه يمكن لأي شخص قراءتها. DNS عبر HTTPS و DNS عبر استعلامات واستجابات DNS المشفرة TLS للحفاظ على تصفح المستخدم آمنًا وخاصًا. ومع ذلك ، فإن كلا النهجين لهما إيجابيات وسلبيات.
لماذا يحتاج DNS إلى طبقات أمان إضافية؟
DNS هو دليل الهاتف للإنترنت ؛ تقوم أدوات حل DNS بترجمة أسماء المجالات التي يمكن للبشر قراءتها إلى عناوين IP يمكن قراءتها آليًا . بشكل افتراضي ، يتم إرسال استعلامات واستجابات DNS بنص عادي (عبر UDP ) ، مما يعني أنه يمكن قراءتها بواسطة الشبكات أو مزودي خدمة الإنترنت أو أي شخص قادر على مراقبة عمليات الإرسال. حتى إذا كان موقع الويب يستخدم HTTPS ، فسيتم الكشف عن استعلام DNS المطلوب للتنقل إلى موقع الويب هذا.
ولذلك :
هذا النقص في الخصوصية له تأثير كبير على الأمن ، وفي بعض الحالات ، على حقوق الإنسان ؛ إذا لم تكن استعلامات DNS خاصة ، فسيصبح من السهل على الحكومات فرض الرقابة على الإنترنت وعلى المهاجمين ملاحقة سلوك المستخدمين عبر الإنترنت.
فكر في استعلام DNS العادي غير المشفر على أنه مثل بطاقة بريدية يتم إرسالها عبر البريد: قد يحدث أن يلقي أي شخص يتعامل مع البريد لمحة عن النص المكتوب على الجانب الخلفي ، لذلك ليس من الحكمة إرسال بطاقة بريدية تحتوي على حساسة أو بريدية. معلومات خاصة.
DNS عبر TLS و DNS عبر HTTPS هما معياران تم تطويرهما لتشفير مرور DNS للنص العادي من أجل منع الأطراف الضارة والمعلنين ومزودي خدمات الإنترنت وغيرهم من القدرة على تفسير البيانات. استمرارًا للتماثل ، تهدف هذه المعايير إلى وضع مظروف حول جميع البطاقات البريدية التي تمر عبر البريد ، بحيث يمكن لأي شخص إرسال بطاقة بريدية دون القلق من أن شخصًا ما يتطفل على ما ينوي القيام به.
ما هو DNS عبر TLS؟
DNS عبر TLS ، أو DoT ، هو معيار لتشفير استعلامات DNS لإبقائها آمنة وخصوصية. تستخدم دائرة النقل نفس بروتوكول الأمان ، TLS ، الذي تستخدمه مواقع HTTPS لتشفير الاتصالات والمصادقة عليها. (يُعرف TLS أيضًا باسم ” SSL .”) تضيف DoT تشفير TLS أعلى بروتوكول مخطط بيانات المستخدم (UDP) ، والذي يُستخدم لاستعلامات DNS. بالإضافة إلى ذلك ، فإنه يضمن عدم التلاعب بطلبات واستجابات DNS أو تزويرها عبر هجمات على المسار .
ما هو DNS عبر HTTPS؟
DNS عبر HTTPS ، أو DoH ، هو بديل لـ DoT. باستخدام DoH ، يتم تشفير استعلامات واستجابات DNS ، ولكن يتم إرسالها عبر بروتوكولات HTTP أو HTTP / 2 بدلاً من إرسالها مباشرةً عبر UDP. مثل DoT ، تضمن DoH أن المهاجمين لا يمكنهم تزوير أو تعديل حركة مرور DNS. تبدو حركة مرور DoH مثل حركة مرور HTTPS الأخرى – على سبيل المثال التفاعلات العادية التي يحركها المستخدم مع مواقع الويب وتطبيقات الويب – من منظور مسؤول الشبكة.
في فبراير 2020 ، بدأ متصفح Mozilla Firefox في تمكين DoH لمستخدمي الولايات المتحدة افتراضيًا. يتم تشفير استعلامات DNS من متصفح Firefox بواسطة DoH والانتقال إلى NextDNS. تدعم العديد من المتصفحات الأخرى أيضًا DoH ، على الرغم من عدم تشغيلها افتراضيًا.
انتظر ، ألا يستخدم HTTPS بروتوكول TLS للتشفير أيضًا؟ كيف يختلف DNS عبر TLS و DNS عبر HTTPS؟
تم تطوير كل معيار بشكل منفصل وله وثائق RFC * الخاصة به ، ولكن الاختلاف الأكثر أهمية بين DoT و DoH هو المنفذ الذي يستخدمونه. تستخدم DoT المنفذ 853 فقط ، بينما تستخدم DoH المنفذ 443 ، وهو المنفذ الذي تستخدمه جميع حركات مرور HTTPS الأخرى أيضًا.
نظرًا لأن DoT لديها منفذ مخصص ، يمكن لأي شخص لديه رؤية شبكة رؤية حركة مرور DoT القادمة والذهاب ، على الرغم من أن الطلبات والاستجابات نفسها مشفرة. في المقابل ، مع DoH ، يتم تمويه استعلامات واستجابات DNS ضمن حركة مرور HTTPS الأخرى ، نظرًا لأنها تأتي وتذهب من نفس المنفذ.
* RFC تعني “طلب التعليقات” ، و RFC هي محاولة جماعية من قبل المطورين وخبراء الشبكات وقادة الفكر لتوحيد تقنية أو بروتوكول إنترنت .
ما هو الميناء؟
في الشبكات ، يعد المنفذ مكانًا افتراضيًا على جهاز مفتوح للاتصالات من الأجهزة الأخرى. يحتوي كل كمبيوتر متصل بالشبكة على عدد قياسي من المنافذ ، وكل منفذ محجوز لأنواع معينة من الاتصالات.
فكر في موانئ السفن في المرفأ: كل ميناء شحن مرقّم ، ومن المفترض أن تتجه أنواع مختلفة من السفن إلى موانئ شحن محددة لتفريغ البضائع أو الركاب. الشبكات هي نفس الطريقة: من المفترض أن تنتقل أنواع معينة من الاتصالات إلى منافذ شبكة معينة. الفرق هو أن منافذ الشبكة افتراضية؛ إنها أماكن للاتصالات الرقمية بدلاً من الاتصالات المادية.
أيهما أفضل ، DoT أم DoH؟
هذا هو للنقاش. من وجهة نظر أمان الشبكة ، يمكن القول إن دائرة النقل أفضل. إنه يمنح مسؤولي الشبكة القدرة على مراقبة استعلامات DNS وحظرها ، وهو أمر مهم لتحديد حركة المرور الضارة وإيقافها. وفي الوقت نفسه ، يتم إخفاء استعلامات DoH في حركة مرور HTTPS العادية ، مما يعني أنه لا يمكن حظرها بسهولة دون حظر جميع حركة مرور HTTPS الأخرى أيضًا.
ومع ذلك ، من منظور الخصوصية ، يمكن القول إن دائرة الصحة هي الأفضل. باستخدام DoH ، يتم إخفاء استعلامات DNS داخل التدفق الأكبر لحركة مرور HTTPS. هذا يمنح مسؤولي الشبكة رؤية أقل ولكنه يوفر للمستخدمين مزيدًا من الخصوصية.
ما الفرق بين DNS عبر TLS / HTTPS و DNSSEC؟
DNSSEC عبارة عن مجموعة من امتدادات الأمان للتحقق من هوية خوادم جذر DNS وخوادم الأسماء الموثوقة في الاتصالات مع محللي DNS . إنه مصمم لمنع إفساد ذاكرة التخزين المؤقت لنظام أسماء النطاقات ، من بين هجمات أخرى. لا يقوم بتشفير الاتصالات. من ناحية أخرى ، يقوم DNS عبر TLS أو HTTPS بتشفير استعلامات DNS. 1.1.1.1 يدعم DNSSEC أيضًا.