এই পৃষ্ঠাটি Cloud Translation API অনুবাদ করেছে।

DNS-ওভার-TLS

ভূমিকা

প্রথাগত DNS প্রশ্ন এবং প্রতিক্রিয়া এনক্রিপশন ছাড়াই UDP বা TCP এর মাধ্যমে পাঠানো হয়। এটি ইভড্রপিং এবং স্পুফিং (ডিএনএস-ভিত্তিক ইন্টারনেট ফিল্টারিং সহ) ঝুঁকিপূর্ণ। ক্লায়েন্টদের কাছে পুনরাবৃত্ত সমাধানকারীদের প্রতিক্রিয়াগুলি অবাঞ্ছিত বা দূষিত পরিবর্তনগুলির জন্য সবচেয়ে ঝুঁকিপূর্ণ, যখন পুনরাবৃত্তিমূলক সমাধানকারী এবং প্রামাণিক নাম সার্ভারগুলির মধ্যে যোগাযোগগুলি প্রায়শই অতিরিক্ত সুরক্ষা অন্তর্ভুক্ত করে৷

এই সমস্যাগুলির সমাধান করার জন্য, Google পাবলিক DNS RFC 7858 দ্বারা নির্দিষ্ট করা TLS-এনক্রিপ্ট করা TCP সংযোগগুলির উপর DNS রেজোলিউশন অফার করে। DNS-ওভার-TLS ক্লায়েন্ট এবং সমাধানকারীদের মধ্যে গোপনীয়তা এবং নিরাপত্তা উন্নত করে। এটি DNSSEC-কে পরিপূরক করে এবং DNSSEC-প্রমাণিত ফলাফলগুলিকে ক্লায়েন্টের পথে পরিবর্তন বা স্পুফিং থেকে রক্ষা করে।

কিভাবে এটা কাজ করে

একটি ক্লায়েন্ট সিস্টেম দুটি প্রোফাইলের একটির সাথে DNS-ওভার-TLS ব্যবহার করতে পারে: কঠোর বা সুবিধাবাদী গোপনীয়তা। কঠোর গোপনীয়তা প্রোফাইলের সাথে, ব্যবহারকারী DNS-ওভার-TLS পরিষেবার জন্য একটি DNS সার্ভার নাম ( RFC 8310- এ প্রমাণীকরণ ডোমেন নাম ) কনফিগার করে এবং ক্লায়েন্টকে অবশ্যই DNS সার্ভারে 853 পোর্টে একটি নিরাপদ TLS সংযোগ তৈরি করতে সক্ষম হতে হবে। একটি নিরাপদ সংযোগ স্থাপনে ব্যর্থতা একটি কঠিন ত্রুটি এবং এর ফলে ক্লায়েন্টের জন্য কোন DNS পরিষেবা থাকবে না।

সুবিধাবাদী গোপনীয়তা প্রোফাইলের সাথে, DNS সার্ভার আইপি ঠিকানাটি ব্যবহারকারীর দ্বারা সরাসরি কনফিগার করা হতে পারে বা স্থানীয় নেটওয়ার্ক থেকে প্রাপ্ত হতে পারে (DHCP বা অন্য কোন উপায় ব্যবহার করে)। ক্লায়েন্ট সমাধানকারী নির্দিষ্ট DNS সার্ভারে 853 পোর্টে একটি নিরাপদ সংযোগ স্থাপন করার চেষ্টা করে। যদি একটি নিরাপদ সংযোগ স্থাপন করা হয়, তাহলে এটি পথের প্যাসিভ পর্যবেক্ষকদের কাছ থেকে ব্যবহারকারীর প্রশ্নের জন্য গোপনীয়তা প্রদান করে। যেহেতু ক্লায়েন্ট সার্ভারের সত্যতা যাচাই করে না এটি একটি সক্রিয় আক্রমণকারী থেকে সুরক্ষিত নয়। যদি ক্লায়েন্ট পোর্ট 853-এ একটি নিরাপদ সংযোগ স্থাপন করতে না পারে, তবে এটি কোনো নিরাপত্তা বা গোপনীয়তা ছাড়াই UDP বা TCP-এর মাধ্যমে স্ট্যান্ডার্ড DNS পোর্ট 53-এ DNS সার্ভারের সাথে যোগাযোগ করতে ফিরে আসে। সুবিধাবাদী গোপনীয়তার ব্যবহার কঠোর গোপনীয়তা প্রোফাইলকে ব্যাপকভাবে গ্রহণ করার লক্ষ্যে বর্ধিত গোপনীয়তার ক্রমবর্ধমান স্থাপনাকে সমর্থন করার উদ্দেশ্যে।

একটি কঠোর গোপনীয়তা প্রোফাইল ব্যবহার করার সময়, স্টাব সমাধানকারীরা নিম্নলিখিত পদক্ষেপগুলির সাথে একটি DNS-ওভার-TLS সংযোগ স্থাপন করে৷

স্টাব সমাধানকারীটি DNS-over-TLS সমাধানকারী নাম dns.google দিয়ে কনফিগার করা হয়েছে।
স্টাব সমাধানকারী স্থানীয় DNS সমাধানকারী ব্যবহার করে dns.google এর জন্য IP ঠিকানা(গুলি) পায়৷
স্টাব সমাধানকারী সেই আইপি ঠিকানায় পোর্ট 853 এর সাথে একটি TCP সংযোগ তৈরি করে।
স্টাব রিজলভারটি Google পাবলিক ডিএনএস রিসোলভারের সাথে একটি TLS হ্যান্ডশেক শুরু করে৷
Google পাবলিক DNS সার্ভার একটি বিশ্বস্ত রুট শংসাপত্র পর্যন্ত TLS শংসাপত্রের একটি সম্পূর্ণ চেইন সহ তার TLS শংসাপত্র ফেরত দেয়।
স্টাব সমাধানকারী উপস্থাপিত শংসাপত্রের উপর ভিত্তি করে সার্ভারের পরিচয় যাচাই করে।
- যদি পরিচয় যাচাই করা না যায়, DNS নামের রেজোলিউশন ব্যর্থ হয় এবং স্টাব সমাধানকারী একটি ত্রুটি ফেরত দেয়।
TLS সংযোগ প্রতিষ্ঠিত হওয়ার পরে, স্টাব রিজলভারের একটি Google পাবলিক DNS সার্ভারের মধ্যে একটি নিরাপদ যোগাযোগের পথ থাকে।
এখন স্টাব সমাধানকারী DNS প্রশ্ন পাঠাতে পারে এবং সংযোগে প্রতিক্রিয়া পেতে পারে।

একটি সুবিধাবাদী গোপনীয়তা প্রোফাইল ব্যবহার করার সময়, ক্লায়েন্ট প্রথমে সার্ভারে একটি নিরাপদ TLS সংযোগ তৈরি করার চেষ্টা করে। এটি একটি গুরুত্বপূর্ণ পার্থক্যের সাথে উপরের মত একইভাবে করা হয় - ক্লায়েন্ট দ্বারা কোন শংসাপত্রের বৈধতা সঞ্চালিত হয় না। এর মানে সার্ভারের পরিচয় বিশ্বাস করা যায় না। সার্ভারে পোর্ট 853-এ একটি TLS সংযোগ স্থাপন করা না গেলে, স্টাব সমাধানকারী পোর্ট 53-এ DNS সার্ভারের সাথে কথা বলতে ফিরে আসে।

দ্রষ্টব্য: সার্ভারে পরিষেবা আক্রমণ এবং সংস্থান নিষ্কাশন অস্বীকার করার জন্য, Google পাবলিক DNS DNS-ওভার-TLS সংযোগগুলি বন্ধ করে দিতে পারে যেগুলি খুব বেশি দিন নিষ্ক্রিয় ছিল বা যখন সংযোগে প্রচুর সংখ্যক প্রশ্ন পাওয়া গেছে। পরের বার যখন ক্লায়েন্টকে DNS প্রশ্নগুলি সম্পাদন করতে হবে, স্টাব সমাধানকারী Google পাবলিক ডিএনএস সমাধানকারীর সাথে সংযোগ পুনঃস্থাপন করতে উপরের পদক্ষেপগুলি পুনরাবৃত্তি করবে৷

গোপনীয়তা

আমাদের গোপনীয়তা নীতি DNS-ওভার-TLS পরিষেবাতে প্রযোজ্য।

2019/06/27-এ আমরা DNS-ওভার-TLS পরিষেবার জন্য EDNS ক্লায়েন্ট সাবনেট (ECS) পুনরায় সক্রিয় করেছি। সেবা চালু করার সময় ইসিএস নিষ্ক্রিয় করা হয়েছিল।

স্ট্যান্ডার্ড সমর্থন

Google পাবলিক DNS RFC 7858 এর উপর ভিত্তি করে DNS-ওভার-TLS প্রয়োগ করে। উপরন্তু আমরা একটি উচ্চ মানের এবং কম লেটেন্সি DNS পরিষেবা প্রদানের জন্য নিম্নলিখিত সুপারিশগুলিকে সমর্থন করি৷

এটি ব্যবহার করা শুরু করুন

Android 9 (Pie) বা উচ্চতর ডিভাইসে এটি কনফিগার করার নির্দেশাবলী দেখুন।

DNS-ওভার-TLS শুধুমাত্র IPv6-এর জন্য Google পাবলিক DNS64 পরিষেবা সমর্থিত। মনে রাখবেন যে একাধিক নেটওয়ার্কের সাথে সংযুক্ত একটি মোবাইল ডিভাইসের জন্য DNS64 কনফিগার করার সুপারিশ করা হয় না, কারণ DNS64 শুধুমাত্র তখনই কাজ করে যখন IPv6 উপলব্ধ থাকে।