Articles /

DNSCrypt

A DNSCrypt bemutatása

Háttérinformációk:

A DNS az internet egyik alapvető építőköve. Minden alkalommal használjuk, amikor meglátogatunk egy webhelyet, e-mailt küldünk, IM-beszélgetést folytatunk, vagy bármi mást teszünk az interneten. Bár az OpenDNS évek óta világszínvonalú biztonságot nyújt a DNS használatával, és az OpenDNS az elérhető legbiztonságosabb DNS-szolgáltatás, az alapul szolgáló DNS protokoll nem volt elég biztonságos a kényelmünkhöz. Sokan emlékeznek még a Kaminsky sebezhetőségre, amely a világ szinte minden DNS implementációját érintette (bár az OpenDNS-t nem).

Ezzel együtt, a Kaminsky sebezhetőség által érintett problémák osztálya a DNS protokoll néhány alapjának eredendő gyengeségéből fakadt – különösen az “utolsó mérföldön”. Az “utolsó mérföld” az internetkapcsolatnak a számítógép és az internetszolgáltató közötti része. A DNSCrypt a mi módszerünk a DNS-forgalom “utolsó mérföldjének” biztosítására és a DNS protokollal kapcsolatos komoly biztonsági aggályok egész osztályának megoldására (nem szándékos szóvicc). Mivel a világ internetkapcsolata egyre mobilabbá válik, és egyre több ember csatlakozik több különböző WiFi hálózathoz egyetlen nap alatt, egyre nagyobb szükség van egy megoldásra.

Az utolsó mérföldön számos példa volt a DNS-forgalom manipulálására, vagy man-in-the-middle támadásokra és a szimatolásra, és ez komoly biztonsági kockázatot jelent, amit mindig is meg akartunk oldani. Ma már megtehetjük.

Miért olyan jelentős a DNSCrypt

Miként az SSL a HTTP webes forgalmat HTTPS titkosított webes forgalommá alakítja, a DNSCrypt a hagyományos DNS-forgalmat titkosított DNS-forgalommá alakítja, amely biztonságos a lehallgatással és a man-in-the-middle támadásokkal szemben. Nem igényel semmilyen változtatást a domainneveken vagy azok működésében, egyszerűen csak egy módszert biztosít az ügyfeleink és az adatközpontjainkban lévő DNS-kiszolgálóink közötti kommunikáció biztonságos titkosítására. Tudjuk azonban, hogy az állítások önmagukban nem működnek a biztonság világában, ezért megnyitottuk a DNSCrypt kódbázisunk forrását, és az elérhető a GitHub-on.

ADNSCrypt az SSL óta a legjelentősebb előrelépés lehet az internetes biztonságban, jelentősen javítva minden egyes internetező online biztonságát és magánéletét.

Megjegyzés: Rosszindulatú programok, botnetek és adathalászat elleni védelmet keres laptopokhoz vagy iOS-eszközökhöz? Tekintse meg az OpenDNS által kínált Umbrella Mobilityt.

Töltse le most:

Download DNSCrypt for Mac
Download DNSCrypt for Windows

Gyakran ismételt kérdések (GYIK):

1. Egyszerűbben, mi az a DNSCrypt?

A DNSCrypt egy olyan könnyű szoftver, amelyet mindenkinek használnia kell az online adatvédelem és biztonság növelése érdekében. Úgy működik, hogy titkosítja a felhasználó és az OpenDNS közötti teljes DNS-forgalmat, megakadályozva a kémkedést, a hamisítást és a man-in-the-middle támadásokat.

2. Hogyan használhatom ma a DNSCryptet?

Megnyitottuk a DNSCrypt kódbázisunk forrását, és elérhető a GitHubon. A grafikus felületek már nincsenek fejlesztés alatt; a nyílt forráskódú közösség azonban továbbra is biztosítja a technikai előzetes nem hivatalos frissítéseit.

Tippek:
Ha tűzfal vagy más köztes szoftver zavarja a csomagokat, akkor próbálja meg engedélyezni a DNSCryptet a TCP 443-as porton keresztül. Ettől a legtöbb tűzfal azt fogja hinni, hogy HTTPS-forgalomról van szó, és békén hagyja.

Ha a biztonság helyett a megbízhatóságot részesíti előnyben, engedélyezze a nem biztonságos DNS-re való visszalépést. Ha nem tud elérni minket, megpróbáljuk a DHCP által kiosztott vagy korábban konfigurált DNS-kiszolgálókat használni. Ez azonban biztonsági kockázatot jelent.

3. Mi a helyzet a DNSSEC-kel? Ez megszünteti a DNSCrypt szükségességét?

Nem. A DNSCrypt és a DNSSEC kiegészítik egymást. A DNSSEC számos dolgot tesz. Először is, hitelesítést biztosít. (A DNS-rekord, amelyre választ kapok, annak a domainnévnek a tulajdonosától származik, amelyről érdeklődöm, vagy manipulálták?) Másodszor, a DNSSEC egy bizalmi láncot biztosít, amely segít abban, hogy a kapott válaszok ellenőrizhetők legyenek. Sajnos azonban a DNSSEC valójában nem nyújt titkosítást a DNS-bejegyzésekhez, még a DNSSEC által aláírtakhoz sem. Még ha a világon mindenki DNSSEC-et használna is, a DNS-forgalom titkosításának szükségessége nem szűnne meg. Ráadásul a DNSSEC ma az összes domainnév közel nulla százalékát képviseli, és az internet növekedésével napról napra egyre kisebb százalékát a DNS-rekordoknak.

Ezzel együtt a DNSSEC és a DNSCrypt tökéletesen működhet együtt. Semmilyen módon nem állnak egymással ellentétben. Gondoljon a DNSCryptre úgy, mint a teljes DNS-forgalom körüli burkolatra, a DNSSEC-re pedig úgy, mint a rekordok egy részhalmazának aláírására és érvényesítésére szolgáló eszközre. A DNSSEC-nek vannak olyan előnyei, amelyeket a DNSCrypt nem próbál kezelni. Valójában reméljük, hogy a DNSSEC elfogadása növekszik, hogy az emberek jobban megbízhassanak a teljes DNS-infrastruktúrában, nem csak az ügyfeleink és az OpenDNS közötti kapcsolatban.

4. Ez SSL-t használ? Mi a titkosítás és mi a terv?

Nem használunk SSL-t. Bár azt az analógiát állítjuk, hogy a DNSCrypt olyan, mint az SSL, mivel az összes DNS-forgalmat titkosítással burkolja be, ugyanúgy, ahogy az SSL burkolja be az összes HTTP-forgalmat, nem a kriptokönyvtárat használjuk. Mi elliptikus görbés kriptográfiát használunk, különösen a Curve25519 elliptikus görbét. A tervezési célok hasonlóak a DNSCurve forwarder tervezésénél leírtakhoz.

Leave a Reply