Articles /

DNSCrypt

Introduktion af DNSCrypt

Baggrund: Behovet for en bedre DNS-sikkerhed

DNS er en af de grundlæggende byggesten i internettet. Den bruges hver gang du besøger et websted, sender en e-mail, har en IM-samtale eller foretager dig noget andet online. OpenDNS har i årevis leveret sikkerhed i verdensklasse ved hjælp af DNS, og OpenDNS er den mest sikre DNS-tjeneste, der findes, men den underliggende DNS-protokol har ikke været sikker nok til vores komfort. Mange vil huske Kaminsky-sårbarheden, som påvirkede næsten alle DNSimplementeringer i verden (dog ikke OpenDNS).

Dette sagt, var den klasse af problemer, som Kaminsky-sårbarheden vedrørte, et resultat af nogle af de underliggende fundamenter i DNS-protokollen, som i sagens natur er svage – især i den “sidste mil”. Den “sidste mil” er den del af din internetforbindelse, der ligger mellem din computer og din internetudbyder. DNSCrypt er vores måde at sikre den “sidste mil” af DNS-trafikken på og løse (uden ordspil) en hel klasse af alvorlige sikkerhedsproblemer i forbindelse med DNS-protokollen. Efterhånden som verdens internetforbindelse bliver mere og mere mobil, og flere og flere mennesker opretter forbindelse til flere forskellige WiFi-netværk på en enkelt dag, stiger behovet for en løsning.

Der har været talrige eksempler på manipulation eller man-in-the-middle-angreb og snage af DNS-trafikken på den sidste mil, og det udgør en alvorlig sikkerhedsrisiko, som vi altid har ønsket at løse. I dag kan vi det.

Hvorfor DNSCrypt er så vigtigt

På samme måde som SSL forvandler HTTP-webtrafik til HTTPS-krypteret webtrafik, forvandler DNSCrypt almindelig DNS-trafik til krypteret DNS-trafik, der er sikret mod aflytning og man-in-the-middle-angreb. Det kræver ingen ændringer af domænenavne eller af, hvordan de fungerer, det giver blot en metode til sikker kryptering af kommunikationen mellem vores kunder og vores DNS-servere i vores datacentre. Vi ved dog, at påstande alene ikke virker i sikkerhedsverdenen, så vi har åbnet kilden til vores DNSCrypt-kodebase, og den er tilgængelig på GitHub.

DNSCrypt har potentiale til at være det mest betydningsfulde fremskridt inden for internetsikkerhed siden SSL og forbedre hver enkelt internetbrugeres online-sikkerhed og privatliv betydeligt.

Note: Leder du efter beskyttelse mod malware, botnet og phishing til bærbare computere eller iOS-enheder? Tjek Umbrella Mobility fra OpenDNS.

Download nu:

Download DNSCrypt til Mac
Download DNSCrypt til Windows

Hyppigt stillede spørgsmål (FAQ):

1. Hvad er DNSCrypt på almindeligt dansk?

DNSCrypt er et stykke let software, som alle bør bruge for at øge privatlivets fred og sikkerheden på nettet. Det fungerer ved at kryptere al DNS-trafik mellem brugeren og OpenDNS, hvilket forhindrer spionage, spoofing eller man-in-the-middle-angreb.

2. Hvordan kan jeg bruge DNSCrypt i dag?

Vi har åbnet kildekoden til vores DNSCrypt-kodebase, og den er tilgængelig på GitHub. De grafiske grænseflader er ikke længere under udvikling; open source-fællesskabet leverer dog stadig uofficielle opdateringer til den tekniske forhåndsvisning.

Tips:
Hvis du har en firewall eller anden middleware, der mishandler dine pakker, bør du prøve at aktivere DNSCrypt med TCP over port 443. Dette vil få de fleste firewalls til at tro, at der er tale om HTTPS-trafik, og lade den være i fred.

Hvis du foretrækker pålidelighed frem for sikkerhed, skal du aktivere fallback til usikker DNS. Hvis du ikke kan nå os, prøver vi at bruge dine DHCP-tildelte eller tidligere konfigurerede DNS-servere. Dette er dog en sikkerhedsrisiko.

3. Hvad med DNSSEC? Eliminerer dette behovet for DNSCrypt?

Nej. DNSCrypt og DNSSEC supplerer hinanden. DNSSEC gør en række ting. For det første giver den autentificering. (Kommer den DNS-post, jeg får svar på, fra ejeren af det domænenavn, jeg spørger om, eller er der blevet pillet ved den?) For det andet giver DNSSEC en tillidskæde, der hjælper med at skabe tillid til, at de svar, du får, kan verificeres. Men desværre giver DNSSEC ikke egentlig kryptering af DNS-poster, heller ikke dem, der er signeret af DNSSEC. Selv hvis alle i verden brugte DNSSEC, ville behovet for at kryptere al DNS-trafik ikke forsvinde. Desuden repræsenterer DNSSEC i dag en procentdel på næsten nul af de samlede domænenavne og en stadig mindre procentdel af DNS-poster hver dag, efterhånden som internettet vokser.

Det sagt kan DNSSEC og DNSCrypt fungere perfekt sammen. De er ikke i konflikt med hinanden på nogen måde. Tænk på DNSCrypt som en indpakning omkring al DNS-trafik og DNSSEC som en måde at signere og levere validering for en delmængde af disse poster på. Der er fordele ved DNSSEC, som DNSCrypt ikke forsøger at imødekomme. Vi håber faktisk, at DNSSEC bliver mere udbredt, så folk kan få større tillid til hele DNS-infrastrukturen og ikke kun til forbindelsen mellem vores kunder og OpenDNS.

4. Bruger dette SSL? Hvad er krypteringen, og hvad er designet?

Vi bruger ikke SSL. Selv om vi laver en analogi med, at DNSCrypt er ligesom SSL, idet den omslutter al DNS-trafik med kryptering på samme måde som SSL omslutter al HTTP-trafik, er det ikke det kryptobibliotek, der anvendes. Vi bruger elliptisk kurve-kryptografi, især den elliptiske kurve Curve25519. Designmålene svarer til dem, der er beskrevet i DNSCurve-forwarderens design.

Leave a Reply