DNSCrypt
Introduzione a DNSCrypt
Principio: La necessità di una migliore sicurezza DNS
DNS è uno degli elementi fondamentali di Internet. Viene usato ogni volta che si visita un sito web, si invia un’e-mail, si ha una conversazione IM o si fa qualsiasi altra cosa online. Mentre OpenDNS ha fornito una sicurezza di livello mondiale usando il DNS per anni, e OpenDNS è il servizio DNS più sicuro disponibile, il protocollo DNS sottostante non è stato abbastanza sicuro per la nostra comodità. Molti ricorderanno la vulnerabilità Kaminsky, che ha avuto un impatto su quasi tutte le implementazioni DNS nel mondo (anche se non OpenDNS).
Detto questo, la classe di problemi a cui si riferiva la vulnerabilità Kaminsky era il risultato di alcune delle basi sottostanti del protocollo DNS che sono intrinsecamente deboli – in particolare nell'”ultimo miglio”. L'”ultimo miglio” è la parte della vostra connessione Internet tra il vostro computer e il vostro ISP. DNSCrypt è il nostro modo di proteggere l'”ultimo miglio” del traffico DNS e di risolvere (senza giochi di parole) un’intera classe di gravi problemi di sicurezza con il protocollo DNS. Poiché la connettività Internet nel mondo diventa sempre più mobile e sempre più persone si connettono a diverse reti WiFi in un solo giorno, la necessità di una soluzione sta aumentando.
Ci sono stati numerosi esempi di manomissione, o attacchi man-in-the-middle, e snooping del traffico DNS all’ultimo miglio e rappresenta un grave rischio per la sicurezza che abbiamo sempre voluto risolvere. Oggi possiamo farlo.
Perché DNSCrypt è così significativo
Nello stesso modo in cui l’SSL trasforma il traffico web HTTP in traffico web criptato HTTPS, DNSCrypt trasforma il normale traffico DNS in traffico DNS criptato che è sicuro da intercettazioni e attacchi man-in-the-middle. Non richiede alcuna modifica ai nomi di dominio o al loro funzionamento, fornisce semplicemente un metodo per crittografare in modo sicuro la comunicazione tra i nostri clienti e i nostri server DNS nei nostri centri dati. Sappiamo che le affermazioni da sole non funzionano nel mondo della sicurezza, tuttavia, quindi abbiamo aperto i sorgenti della nostra base di codice DNSCrypt ed è disponibile su GitHub.
DNSCrypt ha il potenziale per essere il progresso più incisivo nella sicurezza di Internet dopo SSL, migliorando significativamente la sicurezza e la privacy online di ogni singolo utente di Internet.
Nota: Cerchi protezione da malware, botnet e phishing per laptop o dispositivi iOS? Controlla Umbrella Mobility di OpenDNS.
Scarica ora:
Scarica DNSCrypt per Mac
Scarica DNSCrypt per Windows
Domande frequenti (FAQ):
1. In parole povere, cos’è DNSCrypt?
DNSCrypt è un software leggero che tutti dovrebbero usare per aumentare la privacy e la sicurezza online. Funziona criptando tutto il traffico DNS tra l’utente e OpenDNS, impedendo qualsiasi spionaggio, spoofing o attacco man-in-the-middle.
2. Come posso usare DNSCrypt oggi?
Abbiamo aperto il sorgente del nostro codice base DNSCrypt ed è disponibile su GitHub. Le interfacce grafiche non sono più in sviluppo; tuttavia, la comunità open source sta ancora fornendo aggiornamenti non ufficiali all’anteprima tecnica.
Suggerimenti:
Se avete un firewall o un altro middleware che rovina i vostri pacchetti, dovreste provare ad abilitare DNSCrypt con TCP sulla porta 443. Questo farà sì che la maggior parte dei firewall pensi che si tratti di traffico HTTPS e lo lascerà stare.
Se preferisci l’affidabilità alla sicurezza, abilita il fallback al DNS insicuro. Se non puoi raggiungerci, proveremo ad usare i tuoi server DNS assegnati da DHCP o configurati in precedenza. Questo però è un rischio per la sicurezza.
3. E il DNSSEC? Questo elimina la necessità di DNSCrypt?
No. DNSCrypt e DNSSEC sono complementari. Il DNSSEC fa una serie di cose. In primo luogo, fornisce l’autenticazione. (Il record DNS per cui sto ricevendo una risposta proviene dal proprietario del nome di dominio su cui sto chiedendo o è stato manomesso?) In secondo luogo, il DNSSEC fornisce una catena di fiducia per aiutare a stabilire la fiducia che le risposte che state ricevendo sono verificabili. Ma sfortunatamente, il DNSSEC non fornisce effettivamente la crittografia per i record DNS, anche quelli firmati dal DNSSEC. Anche se tutti nel mondo utilizzassero il DNSSEC, la necessità di crittografare tutto il traffico DNS non scomparirebbe. Inoltre, il DNSSEC oggi rappresenta una percentuale prossima allo zero dei nomi di dominio complessivi e una percentuale sempre più piccola di record DNS ogni giorno, man mano che Internet cresce.
Detto questo, DNSSEC e DNSCrypt possono funzionare perfettamente insieme. Non sono in conflitto in alcun modo. Pensate al DNSCrypt come a un involucro intorno a tutto il traffico DNS e al DNSSEC come a un modo per firmare e fornire la convalida per un sottoinsieme di quei record. Ci sono vantaggi per il DNSSEC che il DNSCrypt non cerca di affrontare. Infatti, speriamo che l’adozione del DNSSEC cresca in modo che le persone possano avere più fiducia nell’intera infrastruttura DNS, non solo nel collegamento tra i nostri clienti e OpenDNS.
4. Sta usando SSL? Qual è la crittografia e qual è il design?
Non stiamo usando SSL. Mentre facciamo l’analogia che DNSCrypt è come SSL in quanto avvolge tutto il traffico DNS con la crittografia nello stesso modo in cui SSL avvolge tutto il traffico HTTP, non è la libreria di crittografia utilizzata. Stiamo usando la crittografia a curve ellittiche, in particolare la curva ellittica Curve25519. Gli obiettivi del progetto sono simili a quelli descritti nel progetto del forwarder DNSCurve.
Leave a Reply