Istnieją różne sposoby ochrony zapytań DNS, ale każde podejście ma swoje mocne i słabe strony.
System nazw domen (DNS) jest powszechnie uważany za internetową książkę telefoniczną, przekształcającą nazwy domen w informacje, które mogą być odczytywane przez komputery, takie jak adresy IP.
Za każdym razem, gdy wpisujesz nazwę domeny w pasku adresu, DNS automatycznie konwertuje ją na odpowiadający jej adres IP. Twoja przeglądarka wykorzystuje te informacje do pobierania danych z serwera źródłowego i ładowania strony.
Ale cyberprzestępcy często mogą szpiegować ruch DNS, przez co szyfrowanie jest niezbędne do zapewnienia prywatności i bezpieczeństwa przeglądania sieci.
Co to są protokoły szyfrowania DNS?
Protokoły szyfrowania DNS mają na celu zwiększenie prywatności i bezpieczeństwa Twojej sieci lub witryny internetowej poprzez szyfrowanie zapytań i odpowiedzi DNS. Zapytania i odpowiedzi DNS są regularnie wysyłane zwykłym tekstem, co ułatwia cyberprzestępcom przechwytywanie i manipulowanie komunikacją.
Protokoły szyfrowania DNS coraz bardziej utrudniają tym hakerom przeglądanie i modyfikowanie poufnych danych lub zakłócanie pracy sieci. Są różne szyfrowani dostawcy DNS, którzy mogą chronić Twoje zapytania przed wścibskimi oczami.
Najpopularniejsze protokoły szyfrowania DNS
Obecnie w użyciu jest kilka protokołów szyfrowania DNS. Tych protokołów szyfrowania można używać do zapobiegania szpiegowaniu w sieci przez szyfrowanie ruchu w protokole HTTPS za pośrednictwem połączenia TLS (Transport Layer Security).
1. DNSCrypt
DNSCrypt to protokół sieciowy, który szyfruje cały ruch DNS między komputerem użytkownika a ogólnymi serwerami nazw. Protokół wykorzystuje infrastrukturę klucza publicznego (PKI) do weryfikacji autentyczności serwera DNS i klientów.
Wykorzystuje dwa klucze, klucz publiczny i klucz prywatny, aby uwierzytelnić komunikację między klientem a serwerem. Po zainicjowaniu zapytania DNS klient szyfruje je przy użyciu klucza publicznego serwera.
Zaszyfrowane zapytanie jest następnie wysyłane do serwera, który odszyfrowuje zapytanie przy użyciu swojego klucza prywatnego. W ten sposób DNSCrypt zapewnia, że komunikacja między klientem a serwerem jest zawsze uwierzytelniana i szyfrowana.
DNSCrypt to stosunkowo starszy protokół sieciowy. Został w dużej mierze zastąpiony przez DNS-over-TLS (DoT) i DNS-over-HTTPS (DoH) ze względu na szersze wsparcie i silniejsze gwarancje bezpieczeństwa zapewniane przez te nowsze protokoły.
2. DNS-over-TLS
DNS-over-TLS szyfruje zapytanie DNS przy użyciu Transport Layer Security (TLS). TLS zapewnia, że zapytanie DNS jest szyfrowane od końca do końca, zapobieganie atakom typu man-in-the-middle (MITM)..
Gdy używasz usługi DNS-over-TLS (DoT), zapytanie DNS jest wysyłane do programu rozpoznawania nazw DNS przez TLS zamiast do niezaszyfrowanego programu rozpoznawania nazw. Resolwer DNS-over-TLS odszyfrowuje zapytanie DNS i wysyła je w Twoim imieniu do autorytatywnego serwera DNS.
Domyślnym portem dla DoT jest port TCP 853. Kiedy łączysz się za pomocą DoT, zarówno klient, jak i program tłumaczący wykonują cyfrowe uzgadnianie. Następnie klient wysyła swoje zapytanie DNS przez zaszyfrowany kanał TLS do programu tłumaczącego.
Resolwer DNS przetwarza zapytanie, znajduje odpowiedni adres IP i odsyła odpowiedź z powrotem do klienta przez zaszyfrowany kanał. Zaszyfrowana odpowiedź jest odbierana przez klienta, gdzie jest odszyfrowywana, a klient używa adresu IP, aby połączyć się z żądaną witryną lub usługą.
3. DNS-over-HTTPS
HTTPS to bezpieczna wersja HTTP, która jest obecnie używana do uzyskiwania dostępu do stron internetowych. Podobnie jak DNS-over-TLS, DNS-over-HTTPS (DoH) również szyfruje wszystkie informacje przed wysłaniem ich przez sieć.
Chociaż cel jest taki sam, istnieją pewne fundamentalne różnice między DoH i DoT. Na początek DoH wysyła wszystkie zaszyfrowane zapytania przez HTTPS zamiast bezpośrednio tworzyć połączenie TLS do szyfrowania ruchu.
Po drugie, wykorzystuje port 403 do ogólnej komunikacji, co utrudnia odróżnienie go od ogólnego ruchu sieciowego. DoT używa portu 853, co znacznie ułatwia identyfikację ruchu z tego portu i blokowanie go.
DoH znalazł szersze zastosowanie w przeglądarkach internetowych, takich jak Mozilla Firefox i Google Chrome, ponieważ wykorzystuje istniejącą infrastrukturę HTTPS. DoT jest częściej używany przez systemy operacyjne i dedykowane programy rozpoznawania nazw DNS niż bezpośrednio integrowany z przeglądarkami internetowymi.
Dwa główne powody, dla których DoH jest szeroko stosowany, to fakt, że znacznie łatwiej jest zintegrować go z istniejącą siecią przeglądarek, a co ważniejsze, bezproblemowo łączy się ze zwykłym ruchem internetowym, co znacznie utrudnia blok.
4. DNS-over-QUIC
W porównaniu z innymi protokołami szyfrowania DNS z tej listy, DNS-over-QUIC (DoQ) jest dość nowy. Jest to nowy protokół bezpieczeństwa, który wysyła zapytania i odpowiedzi DNS za pośrednictwem protokołu transportowego QUIC (Quick UDP Internet Connections).
Większość dzisiejszego ruchu internetowego opiera się na protokole kontroli transmisji (TCP) lub protokole datagramów użytkownika (UDP), przy czym zapytania DNS są zwykle wysyłane przez UDP. Jednak protokół QUIC został wprowadzony w celu przezwyciężenia kilku wad TCP/UDP i pomaga zmniejszyć opóźnienia i poprawić bezpieczeństwo.
QUIC to stosunkowo nowy protokół transportowy opracowany przez Google, zaprojektowany w celu zapewnienia lepszej wydajności, bezpieczeństwa i niezawodności w porównaniu z tradycyjnymi protokołami, takimi jak TCP i TLS. SZYBKO łączy w sobie cechy protokołu TCP i UDP, jednocześnie integrując wbudowane szyfrowanie podobne do TLS.
Ponieważ jest nowszy, DoQ oferuje kilka zalet w porównaniu z protokołami wymienionymi powyżej. Na początek DoQ oferuje wyższą wydajność, zmniejszając ogólne opóźnienia i poprawiając czas łączności. Skutkuje to szybszym rozpoznawaniem DNS (czas potrzebny DNS na rozpoznanie adresu IP). Ostatecznie oznacza to, że strony internetowe są obsługiwane szybciej.
Co ważniejsze, DoQ jest bardziej odporny na utratę pakietów w porównaniu z protokołami TCP i UDP, ponieważ może odzyskać utracone pakiety bez konieczności pełnej retransmisji, w przeciwieństwie do protokołów opartych na TCP.
Co więcej, migracja połączeń za pomocą QUIC jest znacznie łatwiejsza. QUIC hermetyzuje wiele strumieni w jednym połączeniu, zmniejszając liczbę podróży w obie strony wymaganych dla połączenia, a tym samym poprawiając wydajność. Może to być również przydatne podczas przełączania między Wi-Fi a sieciami komórkowymi.
QUIC nie został jeszcze powszechnie przyjęty w porównaniu z innymi protokołami. Ale firmy takie jak Apple, Google i Meta już używają QUIC, często tworząc własną wersję (Microsoft używa MsQUIC dla całego ruchu SMB), co dobrze wróży na przyszłość.
Spodziewaj się więcej zmian w DNS w przyszłości
Oczekuje się, że nowe technologie zasadniczo zmienią sposób, w jaki uzyskujemy dostęp do sieci. Na przykład wiele firm wykorzystuje obecnie technologie blockchain, aby opracować bezpieczniejsze protokoły nazewnictwa domen, takie jak HNS i Unstoppable Domains.
