Articles / 17 listopadu, 2021

DNSCrypt

Uvedení DNSCrypt

Pozadí: Potřeba lepšího zabezpečení DNS

DNS je jedním ze základních stavebních kamenů internetu. Používá se při každé návštěvě webových stránek, odesílání e-mailů, IM konverzacích nebo jiných činnostech na internetu. Ačkoli služba OpenDNS již léta poskytuje prvotřídní zabezpečení pomocí DNS a OpenDNS je nejbezpečnější dostupnou službou DNS, základní protokol DNS nebyl pro naše pohodlí dostatečně bezpečný. Mnozí si jistě vzpomenou na Kaminského zranitelnost, která ovlivnila téměř všechny implementace DNS na světě (i když ne OpenDNS).

Také třída problémů, kterých se Kaminského zranitelnost týkala, byla důsledkem některých základních kamenů protokolu DNS, které jsou ze své podstaty slabé – zejména v „poslední míli“. „Poslední míle“ je část internetového připojení mezi vaším počítačem a poskytovatelem internetových služeb. DNSCrypt je náš způsob, jak zabezpečit „poslední míli“ provozu DNS a vyřešit (bez slovní hříčky) celou třídu závažných bezpečnostních problémů protokolu DNS. Vzhledem k tomu, že připojení k internetu je ve světě stále mobilnější a stále více lidí se během jediného dne připojuje k několika různým sítím WiFi, roste potřeba řešení.

Bylo zaznamenáno mnoho příkladů manipulace nebo útoků typu man-in-the-middle a slídění v provozu DNS na poslední míli a představuje to vážné bezpečnostní riziko, které jsme vždy chtěli vyřešit. Dnes se nám to podařilo.

Proč je DNSCrypt tak významný

Stejně jako SSL mění webový provoz HTTP na šifrovaný webový provoz HTTPS, DNSCrypt mění běžný provoz DNS na šifrovaný provoz DNS, který je bezpečný před odposlechem a útoky typu man-in-the-middle. Nevyžaduje žádné změny v názvech domén ani v jejich fungování, pouze poskytuje metodu bezpečného šifrování komunikace mezi našimi zákazníky a našimi servery DNS v našich datových centrech. Víme však, že samotná tvrzení ve světě zabezpečení nefungují, proto jsme otevřeli zdrojový kód naší kódové základny DNSCrypt a je k dispozici na GitHubu.

DNSCrypt má potenciál stát se nejvlivnějším pokrokem v oblasti zabezpečení internetu od dob SSL a výrazně zlepšit online bezpečnost a soukromí každého jednotlivého uživatele internetu.

Poznámka: Hledáte ochranu proti malwaru, botnetům a phishingu pro notebooky nebo zařízení se systémem iOS? Podívejte se na Umbrella Mobility od OpenDNS.

Stáhněte si nyní:

Stáhněte si DNSCrypt pro Mac
Stáhněte si DNSCrypt pro Windows

Často kladené otázky (FAQ):

1. Co je to DNSCrypt? Co je to DNSCrypt, zjednodušeně řečeno?

DNSCrypt je nenáročný software, který by měl používat každý pro zvýšení soukromí a bezpečnosti online. Funguje tak, že šifruje veškerý provoz DNS mezi uživatelem a službou OpenDNS, čímž zabraňuje jakémukoli špehování, spoofingu nebo útokům typu man-in-the-middle.

2. Jak mohu DNSCrypt používat už dnes?

Zpřístupnili jsme zdrojový kód naší kódové základny DNSCrypt a je k dispozici na GitHubu. Grafické rozhraní již není ve vývoji, nicméně open source komunita stále poskytuje neoficiální aktualizace technického náhledu.

Tipy:
Pokud máte firewall nebo jiný middleware, který manipuluje s pakety, měli byste zkusit povolit DNSCrypt s TCP přes port 443.
Pokud máte firewall nebo jiný middleware, který manipuluje s pakety, měli byste zkusit povolit DNSCrypt s TCP přes port 443. To způsobí, že si většina firewallů bude myslet, že jde o provoz HTTPS, a nechá ho na pokoji.

Pokud dáváte přednost spolehlivosti před bezpečností, povolte nouzový přechod na nezabezpečený DNS. Pokud se s námi nemůžete spojit, zkusíme použít vaše servery DNS přiřazené pomocí DHCP nebo dříve nakonfigurované. To však představuje bezpečnostní riziko.

3. Co DNSSEC? Odstraňuje to potřebu DNSCryptu?

Ne. DNSCrypt a DNSSEC se vzájemně doplňují. DNSSEC dělá řadu věcí. Za prvé zajišťuje ověřování. (Pochází záznam DNS, na který dostávám odpověď, od vlastníka doménového jména, na které se ptám, nebo s ním někdo manipuloval?) Za druhé, DNSSEC poskytuje řetězec důvěryhodnosti, který pomáhá vytvořit jistotu, že odpovědi, které dostáváte, jsou ověřitelné. Bohužel však DNSSEC ve skutečnosti neposkytuje šifrování záznamů DNS, a to ani těch, které jsou podepsány DNSSEC. I kdyby všichni na světě používali DNSSEC, potřeba šifrovat veškerý provoz DNS by nezmizela. Navíc DNSSEC dnes představuje téměř nulové procento všech doménových jmen a s rostoucím internetem každým dnem stále menší procento záznamů DNS.

To znamená, že DNSSEC a DNSCrypt mohou dokonale spolupracovat. Nejsou v žádném případě v rozporu. Představte si DNSCrypt jako obal kolem veškerého provozu DNS a DNSSEC jako způsob podepisování a poskytování ověření pro podmnožinu těchto záznamů. DNSSEC přináší výhody, které se DNSCrypt nesnaží řešit. Ve skutečnosti doufáme, že přijetí DNSSEC poroste, aby lidé mohli mít větší důvěru v celou infrastrukturu DNS, nejen ve spojení mezi našimi zákazníky a OpenDNS.

4. Používá to SSL? Jaké je šifrování a jaký je design?“

Nevyužíváme SSL. Ačkoli používáme analogii, že DNSCrypt je jako SSL v tom smyslu, že obaluje veškerý provoz DNS šifrováním stejně jako SSL obaluje veškerý provoz HTTP, není to použitá kryptografická knihovna. Používáme kryptografii eliptických křivek, konkrétně eliptickou křivku Curve25519. Cíle návrhu jsou podobné cílům popsaným v návrhu přeposílače DNSCurve.

Universe