Articles /

DNSCrypt

Einführung in DNSCrypt

Hintergrund: Die Notwendigkeit einer besseren DNS-Sicherheit

DNS ist einer der grundlegenden Bausteine des Internets. Es wird jedes Mal verwendet, wenn Sie eine Website besuchen, eine E-Mail senden, eine IM-Konversation führen oder etwas anderes online tun. Während OpenDNS seit Jahren erstklassige Sicherheit mit DNS bietet und OpenDNS der sicherste DNS-Dienst auf dem Markt ist, war das zugrundeliegende DNS-Protokoll für unseren Komfort nicht sicher genug. Viele werden sich an die Kaminsky-Schwachstelle erinnern, die fast jede DNS-Implementierung auf der Welt betraf (allerdings nicht OpenDNS).

Das heißt, dass die Klasse von Problemen, auf die sich die Kaminsky-Schwachstelle bezog, ein Ergebnis einiger der zugrundeliegenden Grundlagen des DNS-Protokolls waren, die von Natur aus schwach sind – insbesondere in der „letzten Meile“. Die „letzte Meile“ ist der Teil Ihrer Internetverbindung, der zwischen Ihrem Computer und Ihrem ISP liegt. DNSCrypt ist unser Weg, die „letzte Meile“ des DNS-Verkehrs zu sichern und eine ganze Reihe ernsthafter Sicherheitsprobleme mit dem DNS-Protokoll zu lösen. Da die Internetkonnektivität weltweit immer mobiler wird und immer mehr Menschen sich an einem einzigen Tag mit mehreren verschiedenen WiFi-Netzwerken verbinden, steigt der Bedarf an einer Lösung.

Es gibt zahlreiche Beispiele für Manipulationen oder Man-in-the-Middle-Angriffe und das Ausspähen des DNS-Verkehrs auf der letzten Meile, und dies stellt ein ernsthaftes Sicherheitsrisiko dar, das wir schon immer beheben wollten. Heute können wir das.

Warum DNSCrypt so wichtig ist

In der gleichen Weise, wie SSL den HTTP-Webverkehr in HTTPS-verschlüsselten Webverkehr verwandelt, verwandelt DNSCrypt den normalen DNS-Verkehr in verschlüsselten DNS-Verkehr, der vor Abhör- und Man-in-the-Middle-Angriffen sicher ist. Es erfordert keine Änderungen an den Domänennamen oder ihrer Funktionsweise, sondern bietet lediglich eine Methode zur sicheren Verschlüsselung der Kommunikation zwischen unseren Kunden und unseren DNS-Servern in unseren Rechenzentren. Wir wissen jedoch, dass Behauptungen allein in der Welt der Sicherheit nicht funktionieren, daher haben wir den Quellcode unserer DNSCrypt-Codebasis geöffnet und auf GitHub zur Verfügung gestellt.

DNSCrypt hat das Potenzial, der bedeutendste Fortschritt in der Internetsicherheit seit SSL zu sein und die Online-Sicherheit und den Datenschutz jedes einzelnen Internetnutzers erheblich zu verbessern.

Hinweis: Suchen Sie nach Malware-, Botnet- und Phishing-Schutz für Laptops oder iOS-Geräte? Schauen Sie sich Umbrella Mobility von OpenDNS an.

Jetzt herunterladen:

Den DNSCrypt für Mac herunterladen
Den DNSCrypt für Windows herunterladen

Häufig gestellte Fragen (FAQ):

1. Was ist DNSCrypt im Klartext?

DNSCrypt ist eine leichtgewichtige Software, die jeder verwenden sollte, um die Online-Privatsphäre und Sicherheit zu erhöhen. Es verschlüsselt den gesamten DNS-Verkehr zwischen dem Benutzer und OpenDNS und verhindert so Spionage, Spoofing oder Man-in-the-Middle-Angriffe.

2. Wie kann ich DNSCrypt heute verwenden?

Wir haben den Quellcode unserer DNSCrypt-Codebasis geöffnet und er ist auf GitHub verfügbar. Die grafischen Oberflächen befinden sich nicht mehr in der Entwicklung; die Open-Source-Community stellt jedoch weiterhin inoffizielle Updates für die technische Vorschau bereit.

Tipps:
Wenn Sie eine Firewall oder andere Middleware haben, die Ihre Pakete stört, sollten Sie versuchen, DNSCrypt mit TCP über Port 443 zu aktivieren. Dadurch denken die meisten Firewalls, dass es sich um HTTPS-Verkehr handelt und lassen ihn in Ruhe.

Wenn Sie Zuverlässigkeit der Sicherheit vorziehen, aktivieren Sie Fallback zu unsicherem DNS. Wenn Sie uns nicht erreichen können, werden wir versuchen, Ihre per DHCP zugewiesenen oder zuvor konfigurierten DNS-Server zu verwenden. Dies stellt jedoch ein Sicherheitsrisiko dar.

3. Was ist mit DNSSEC? Wird dadurch DNSCrypt überflüssig?

Nein. DNSCrypt und DNSSEC ergänzen sich. DNSSEC leistet eine Reihe von Dingen. Erstens bietet es eine Authentifizierung. (Stammt der DNS-Eintrag, auf den ich eine Antwort erhalte, vom Eigentümer des Domänennamens, nach dem ich frage, oder wurde er manipuliert?) Zweitens bietet DNSSEC eine Vertrauenskette, die dazu beiträgt, dass die Antworten, die Sie erhalten, überprüfbar sind. Aber leider bietet DNSSEC keine Verschlüsselung für DNS-Einträge, auch nicht für solche, die mit DNSSEC signiert sind. Selbst wenn alle Menschen auf der Welt DNSSEC verwenden würden, bliebe die Notwendigkeit, den gesamten DNS-Verkehr zu verschlüsseln, bestehen. Hinzu kommt, dass DNSSEC heute einen Prozentsatz von fast Null der gesamten Domänennamen ausmacht und dass der Prozentsatz der DNS-Einträge mit dem Wachstum des Internets jeden Tag kleiner wird.

Das heißt, dass DNSSEC und DNSCrypt perfekt zusammenarbeiten können. Sie stehen in keiner Weise im Widerspruch zueinander. Betrachten Sie DNSCrypt als einen Wrapper für den gesamten DNS-Verkehr und DNSSEC als eine Möglichkeit, eine Teilmenge dieser Datensätze zu signieren und zu validieren. Es gibt Vorteile von DNSSEC, die DNSCrypt nicht anspricht. Wir hoffen sogar, dass DNSSEC sich immer mehr durchsetzt, damit die Menschen mehr Vertrauen in die gesamte DNS-Infrastruktur haben können und nicht nur in die Verbindung zwischen unseren Kunden und OpenDNS.

4. Wird SSL verwendet? Was ist die Verschlüsselung und wie ist das Design?

Wir verwenden kein SSL. Obwohl wir die Analogie herstellen, dass DNSCrypt wie SSL ist, da es den gesamten DNS-Verkehr mit Verschlüsselung umhüllt, so wie SSL den gesamten HTTP-Verkehr umhüllt, ist es nicht die verwendete Krypto-Bibliothek. Wir verwenden elliptische Kurven-Kryptographie, insbesondere die elliptische Kurve Curve25519. Die Ziele des Entwurfs ähneln denen, die im Entwurf des DNSCurve-Forwarders beschrieben sind.

Leave a Reply