DNSCrypt
Inleiding DNSCrypt
Achtergronden: De behoefte aan een betere DNS beveiliging
DNS is een van de fundamentele bouwstenen van het Internet. Het wordt gebruikt wanneer u een website bezoekt, een e-mail verstuurt, een IM-gesprek voert of iets anders online doet. Hoewel OpenDNS al jaren een beveiliging van wereldklasse biedt met behulp van DNS, en OpenDNS de meest veilige DNS-service is die beschikbaar is, is het onderliggende DNS-protocol niet veilig genoeg geweest voor ons comfort. Velen zullen zich de Kaminsky-kwetsbaarheid herinneren, die bijna elke DNS-implementatie ter wereld trof (maar niet OpenDNS).
Dat gezegd hebbende, was de klasse van problemen waar de Kaminsky-kwetsbaarheid betrekking op had een gevolg van enkele van de onderliggende fundamenten van het DNS-protocol die inherent zwak zijn – met name in de “laatste mijl”. De “laatste mijl” is het gedeelte van uw internetverbinding tussen uw computer en uw internetprovider. DNSCrypt is onze manier om de “laatste mijl” van DNS-verkeer te beveiligen en een hele klasse van ernstige beveiligingsproblemen met het DNS-protocol op te lossen (geen woordspeling bedoeld). Nu de internetconnectiviteit wereldwijd steeds mobieler wordt en steeds meer mensen op één dag verbinding maken met verschillende WiFi-netwerken, neemt de behoefte aan een oplossing toe.
Er zijn talloze voorbeelden geweest van manipulatie, of man-in-the-middle-aanvallen, en het afluisteren van DNS-verkeer op de laatste mijl en het vertegenwoordigt een ernstig veiligheidsrisico dat we altijd al hebben willen oplossen. Vandaag kunnen we dat.
Waarom DNSCrypt zo belangrijk is
Op dezelfde manier waarop SSL HTTP-webverkeer verandert in HTTPS-gecodeerd webverkeer, verandert DNSCrypt regulier DNS-verkeer in DNS-verkeer dat is beveiligd tegen afluisteren en man-in-the-middle-aanvallen. Het vereist geen wijzigingen in domeinnamen of de manier waarop ze werken, het biedt gewoon een methode om de communicatie tussen onze klanten en onze DNS-servers in onze datacenters veilig te versleutelen. We weten echter dat claims alleen niet werken in de beveiligingswereld, dus hebben we de broncode van onze DNSCrypt-codebase opengesteld en is deze beschikbaar op GitHub.
DNSCrypt heeft het potentieel om de meest impactvolle vooruitgang in internetbeveiliging te zijn sinds SSL, en de online veiligheid en privacy van elke internetgebruiker aanzienlijk te verbeteren.
Note: Op zoek naar bescherming tegen malware, botnets en phishing voor laptops of iOS-apparaten? Kijk dan eens naar Umbrella Mobility van OpenDNS.
Download nu:
Download DNSCrypt voor Mac
Download DNSCrypt voor Windows
Veelgestelde vragen (FAQ):
1. In gewoon Nederlands, wat is DNSCrypt?
NSCrypt is lichtgewicht software die iedereen zou moeten gebruiken om online privacy en veiligheid te verbeteren. Het versleutelt al het DNS-verkeer tussen de gebruiker en OpenDNS, waardoor spionage, spoofing of man-in-the-middle-aanvallen worden voorkomen.
2. Hoe kan ik DNSCrypt vandaag de dag gebruiken?
We hebben de broncode van onze DNSCrypt-codebase opengesteld en deze is beschikbaar op GitHub. De grafische interfaces zijn niet langer in ontwikkeling; de open-sourcegemeenschap levert echter nog steeds onofficiële updates voor de technische preview.
Tips:
Als u een firewall of andere middleware hebt die uw pakketten manipuleert, moet u proberen DNSCrypt in te schakelen met TCP over poort 443. Hierdoor zullen de meeste firewalls denken dat het HTTPS-verkeer is en het met rust laten.
Als u betrouwbaarheid verkiest boven beveiliging, schakelt u fallback naar onveilige DNS in. Als u ons niet kunt bereiken, zullen we proberen uw DHCP-toegewezen of eerder geconfigureerde DNS-servers te gebruiken. Dit is echter een veiligheidsrisico.
3. Hoe zit het met DNSSEC? Neemt dit de noodzaak van DNSCrypt weg?
Nee. DNSCrypt en DNSSEC zijn complementair. DNSSEC doet een aantal dingen. Ten eerste, het zorgt voor authenticatie. (Is het DNS record waar ik een antwoord voor krijg afkomstig van de eigenaar van de domeinnaam waar ik naar vraag of is er mee geknoeid?) Ten tweede biedt DNSSEC een vertrouwensketen om u te helpen erop te vertrouwen dat de antwoorden die u krijgt, controleerbaar zijn. Maar helaas biedt DNSSEC geen werkelijke codering voor DNS-records, zelfs niet voor records die door DNSSEC zijn ondertekend. Zelfs als iedereen ter wereld DNSSEC zou gebruiken, zou de noodzaak om al het DNS-verkeer te coderen niet verdwijnen. Bovendien vertegenwoordigt DNSSEC vandaag een bijna-nul percentage van alle domeinnamen en een steeds kleiner percentage van DNS-records elke dag naarmate het internet groeit.
Dat gezegd hebbende, kunnen DNSSEC en DNSCrypt perfect samenwerken. Ze zijn op geen enkele manier tegenstrijdig. Zie DNSCrypt als een omhulsel rond al het DNS-verkeer en DNSSEC als een manier om een subset van die records te ondertekenen en te valideren. Er zijn voordelen aan DNSSEC die DNSCrypt niet probeert aan te pakken. We hopen zelfs dat DNSSEC steeds meer wordt toegepast, zodat mensen meer vertrouwen kunnen hebben in de volledige DNS-infrastructuur, niet alleen in de koppeling tussen onze klanten en OpenDNS.
4. Wordt hier SSL voor gebruikt? Wat is de crypto en wat is het ontwerp?
We gebruiken geen SSL. Hoewel we de analogie maken dat DNSCrypt op SSL lijkt, omdat het al het DNS-verkeer met encryptie omwikkelt, zoals SSL al het HTTP-verkeer omwikkelt, is dat niet de cryptobibliotheek die wordt gebruikt. Wij gebruiken elliptische-curve cryptografie, in het bijzonder de Curve25519 elliptische curve. De ontwerpdoelen zijn vergelijkbaar met die beschreven in het DNSCurve forwarder ontwerp.
Leave a Reply