DNS súkromie (DoH/DoT)

Posted on by Simona Česaná
DNS súkromie (DoH/DoT)

Prečo je DNS kľúčové pre súkromie

Domain Name System (DNS) je „zoznam kontaktov“ internetu: prekladá názvy ako priklad.sk na IP adresy. Každý váš dotaz je informácia o tom, kam sa chystáte pripojiť – aj keď je následná komunikácia šifrovaná (HTTPS), samotné DNS dopyty tradične odchádzajú v otvorenom texte. Preto z nich vie veľa vyčítať váš poskytovateľ internetu, prevádzkovateľ Wi-Fi, alebo ktokoľvek medzi vami a DNS serverom.

Ako funguje „klasické“ DNS a kde unikajú dáta

  • Stub resolver v zariadení pošle dotaz (typicky UDP/53) na rekurzívny resolver (často router alebo server ISP).
  • Rekurzívny resolver sa pýta ďalej (autoritné servery) a odpoveď cachuje.
  • Problém: dotaz aj odpoveď sú čitateľné po ceste. Možné je pasívne sledovanie, cenzúra či injektovanie odpovedí.

DoT vs. DoH: čo to je a v čom sa líšia

Moderné štandardy prinášajú šifrovanie medzi vami a rekurzívnym resolverom:

Vlastnosť DoT (DNS over TLS) DoH (DNS over HTTPS)
Transport TLS na samostatnom porte (zvyčajne 853) HTTPS (TLS) cez štandardný port 443
Skrývanie v bežnej prevádzke Nižšie – špecifický port môže sieť blokovať Vyššie – splýva s bežným HTTPS
Integrácia do aplikácií Typicky systémové/rezolverové Jednoduché pre prehliadače a appky
Diagnostika Jednoduchšia (oddelený port a protokol) Zložitejšia (DNS vnútri HTTP/2/3)
Výkon Nízka latencia, per-tok TLS Multiplex cez HTTP/2/3, možný zisk pri viacerých dotazoch

Čo šifrovanie DNS nerieši (a čo áno)

  • Rieši: utajenie obsahu dotazov pred pozorovateľmi na trase, integritu medzi klientom a resolverom.
  • Nerieši: viditeľnosť IP adries cieľových serverov, ani to, že resolver sám vaše dotazy vidí a môže logovať.
  • Dôležité pojmy:
    • QNAME minimization – resolver posiela autoritám len nevyhnutne dlhú časť mena.
    • Padding – vypĺňanie dĺžky dotazov proti fingerprintingu.
    • DNSSEC – chráni integritu (podpisy), nie súkromie (šifrovanie).
    • ECH (Encrypted ClientHello) – dopĺňa súkromie TLS tým, že skrýva uvedenie hostiteľa pri nadviazaní spojenia; dopad mimo DNS.
    • EDNS Client Subnet (ECS) – môže prezrádzať sieť klienta autoritám (preferujte vypnutý alebo agregovaný ECS).

Hrozby, pred ktorými DoH/DoT pomáhajú

  1. Pasívny dohľad na verejných Wi-Fi – čitateľnosť vašich DNS dotazov.
  2. Manipulácia odpovedí (blokovanie, presmerovanie, NXDOMAIN hijacking, vložené reklamy).
  3. Zostavovanie profilov poskytovateľmi pripojenia a tretími stranami.

Výber dôveryhodného resolvera

Šifrovanie presúva dôveru z tranzitnej siete na prevádzkovateľa resolvera. Pri výbere sledujte:

  • Politika logovania: retencia, anonymizácia, zdieľanie s tretími stranami.
  • Jurisdikcia a transparentnosť: správy o požiadavkách, auditované zásady.
  • Podpora súkromia: QNAME minimization, bez ECS, podpora TLS 1.3/HTTP/3, odpoveď na CNAME cloaking.
  • Spoľahlivosť a výkon: anycast uzly, SLA, dostupnosť DoT aj DoH.
  • Bezpečnostné funkcie: ochrana proti malvéru/phishingu (dobrovoľné), možnosť profilu „čisté DNS“ bez filtrov.

Možnosti nasadenia v domácnosti

  • Prehliadač – rýchla voľba: povoliť DoH priamo v prehliadači (izolované na webové prenosy).
  • Operačný systém – centrálne riešenie: systém nasmeruje všetky appky na DoH/DoT resolver.
  • Router – jedna konfigurácia pre celú LAN: router komunikuje so svetom cez DoT/DoH, klientom v LAN poskytuje DNS lokálne (nezabudnite vypnúť „DNS rebind“ riziká a povoliť cache).
  • Vlastný resolver (napr. unbound, Knot Resolver, stubby) – plná kontrola, QNAME minimization, DoT/DoH upstream.
  • Blokovanie trackerov (napr. pi-hole) – kombinujte s DoT/DoH na upstream, aby blokovací uzol neodchádzal v otvorenom texte.

Nastavenia podľa platformy – praktické poznámky

  • Android – „Súkromný DNS“ (typicky DoT) na úrovni systému. Zadajte názov hostiteľa resolvera (nie IP).
  • iOS/iPadOS/macOS – profily a konfigurácie umožňujú DoH/DoT; niektoré MDM riešenia to vynucujú podnikovým politikám.
  • Windows – „Secure DNS/DoH“ v sieťových nastaveniach; vyberte známe poskytovatele alebo pridajte vlastného.
  • Linux – systemd-resolved, NetworkManager či unbound podporujú DoT/DoH; voľte per-rozloženie.
  • Prehliadače – Firefox má vlastné DoH (TRR), Chromium-založené prehliadače používajú „Secure DNS“. Pozor na duplicitu: systém + prehliadač môžu používať rôznych poskytovateľov.

Poznámka: názvy menu a umiestnenie voľby sa líšia podľa verzie systému; riaďte sa dokumentáciou vašej platformy.

Overenie funkčnosti a diagnostika

  • DNS leak test: webové testy prezradia, aký resolver vidia vaše dopyty. Hľadajte, či je to zvolený DoH/DoT poskytovateľ.
  • Router/OS logy: skontrolujte, či odchádzajú spojenia na port 853 (DoT) alebo HTTPS na hostiteľoch resolvera (DoH).
  • Príkazy a nástroje: niektoré utilitky podporujú DoT/DoH (napr. kdig, drill, moderné knižnice). Klasické nslookup spravidla používa systémový resolver.
  • Fallbacky: overte, čo sa stane pri výpadku – či klient nepadá späť na nešifrované DNS bez varovania.

Výkon, spoľahlivosť a vplyv na používateľský komfort

  • Cache na routeri aj v resolveri znižuje latenciu; HTTP/2/3 multiplex do DoH vie urýchliť sériu dotazov.
  • Blízkosť anycast uzla značne ovplyvní dojem – vyberte poskytovateľa s uzlami vo vašom regióne.
  • Happy Eyeballs a časové limity – rozumné timeouty a paralelné pokusy zvyšujú úspešnosť.

DNS v kontexte ďalších ochranných vrstiev

  • VPN – presmeruje DNS do tunela; skombinujte s DoH/DoT k VPN resolveru, aby ani tunelová brána nevidela otvorené dotazy.
  • HTTPS RR/SVCB a ECH – moderné záznamy a šifrované ClientHello znižujú únik metadát mimo DNS.
  • DNSSEC – odporúčané zapnúť pre integritu; súkromie dopĺňajú DoH/DoT.

Jednoduchý postup nasadenia (v 5 krokoch)

  1. Vyberte si dôveryhodného poskytovateľa s jasnou politikou súkromia.
  2. Rozhodnite sa, kde to zapnete: prehliadač (najrýchlejšie), systém (komplexné), alebo router (centrálne pre celú domácnosť).
  3. Zapnite DoH (port 443) alebo DoT (port 853) podľa možností platformy; uložte meno hostiteľa a profil.
  4. Otestujte úniky a správanie pri výpadku; skontrolujte, či nedochádza k návratu na nešifrované DNS.
  5. Voliteľne dolaďte: vypnite ECS, zapnite QNAME minimization, povoľte DNSSEC validáciu a lokálnu cache.

Špecifiká v podnikových a školských sieťach

  • Split-horizon DNS – interné názvy musia zostať dostupné; klienti by nemali obchádzať firemný resolver.
  • Politiky a MDM – centrálne profily môžu vynútiť DoH/DoT k firemnému resolveru a zároveň logovanie minimalizovať.
  • Captive portály – môžu vyžadovať dočasné vypnutie alebo špeciálne výnimky.

Časté otázky

Je DoH „lepšie“ než DoT?
Závisí od prostredia. DoH prejde cez port 443 a maskuje sa ako webový prenos; DoT je protokolovo čistejší a ľahšie sa monitoruje/diagnostikuje. Na úroveň súkromia voči sieti majú podobný efekt.
Potrebujem aj DNSSEC, ak mám DoH/DoT?
Áno, odporúča sa – rieši integritu záznamov od autorít. DoH/DoT šifruje len cestu ku resolveru.
Vidí môj resolver všetko?
Áno. Preto je dôležitý výber poskytovateľa a jeho politika ochrany údajov.
Môže to spomaliť internet?
Prvé spojenie môže mať mierny overhead, no cache a HTTP/2/3 ho kompenzujú. Pri dobrej infraštruktúre rozdiel nepostrehnete.

Kontrolný zoznam odporúčaní

  • Zvoľte dôveryhodný resolver (bez ECS, s QNAME minimization, DNSSEC validátor).
  • Zapnite DoH/DoT na úrovni, ktorá vám dáva zmysel (prehliadač/systém/router).
  • Otestujte úniky a správanie pri výpadku; skontrolujte fallbacky.
  • Na routeri povoľte cache a zabezpečte, aby klienti nemohli obchádzať lokálny DNS.
  • Kombinujte s ďalšími vrstvami: HTTPS, ECH, prípadne VPN.

DoH a DoT prinášajú výrazné zvýšenie súkromia tým, že skrývajú vaše DNS dotazy pred neželanými očami v sieti. Samy osebe však nenahrádzajú dobrú voľbu resolvera, DNSSEC, ani ďalšie moderné mechanizmy, ktoré chránia metadáta. Ak zvolíte správnu kombináciu (dôveryhodný poskytovateľ, vhodná úroveň nasadenia, rozumné politiky), získate súkromnejšie a zároveň spoľahlivé DNS bez toho, aby ste menili svoje návyky na internete.

Related Posts

Dobrovoľná dražba

Dobrovoľná dražba: Právny Inštitút a Jeho Význam Dobrovoľná dražba je právny inštitút zavedený zákonom č. 527/2002 Z. z. o dobrovoľných dražbách v znení neskorších predpisov. […]

Doplnková ochrana

Doplnková Ochrana v Kontexte Migrácie a Azylu Doplnková ochrana je významným konceptom v oblasti migrácie a azylu, ktorý sa týka poskytovania ochrany žiadateľom, ktorým nebol […]

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *