DNSCrypt

Wprowadzenie DNSCrypt

Tło: The need for a better DNS security

DNS jest jednym z podstawowych elementów składowych Internetu. Jest on wykorzystywany za każdym razem, gdy odwiedzasz stronę internetową, wysyłasz e-mail, prowadzisz rozmowę przez komunikator lub robisz cokolwiek innego online. Podczas gdy OpenDNS od lat zapewnia światowej klasy bezpieczeństwo DNS, a OpenDNS jest najbezpieczniejszą z dostępnych usług DNS, leżący u jego podstaw protokół DNS nie był wystarczająco bezpieczny dla naszego komfortu. Wielu pamięta lukę w protokole Kaminsky’ego, która miała wpływ na prawie każdą implementację DNS na świecie (ale nie OpenDNS).

Przyznaję, że klasa problemów, które dotyczyły luki w protokole Kaminsky’ego była wynikiem słabych fundamentów protokołu DNS – szczególnie w „ostatniej mili”. Ostatnia mila” to część Twojego połączenia internetowego pomiędzy Twoim komputerem a dostawcą Internetu. DNSCrypt jest naszym sposobem na zabezpieczenie „ostatniej mili” ruchu DNS i rozwiązanie (nie jest to zamierzona gra słów) całej klasy poważnych problemów związanych z bezpieczeństwem protokołu DNS. Ponieważ światowa łączność internetowa staje się coraz bardziej mobilna i coraz więcej osób łączy się z kilkoma różnymi sieciami WiFi w ciągu jednego dnia, potrzeba rozwiązania tego problemu jest coraz większa.

Istnieją liczne przykłady manipulacji lub ataków typu man-in-the-middle oraz podsłuchiwania ruchu DNS na ostatniej mili i stanowi to poważne zagrożenie bezpieczeństwa, które zawsze chcieliśmy naprawić. Dziś możemy to zrobić.

Dlaczego DNSCrypt jest tak istotny

W ten sam sposób SSL zmienia ruch HTTP w szyfrowany ruch HTTPS, DNSCrypt zmienia zwykły ruch DNS w szyfrowany ruch DNS, który jest bezpieczny przed podsłuchem i atakami man-in-the-middle. Nie wymaga to żadnych zmian w nazwach domen ani w sposobie ich działania, po prostu zapewnia metodę bezpiecznego szyfrowania komunikacji pomiędzy naszymi klientami a serwerami DNS w naszych centrach danych. Wiemy jednak, że same roszczenia nie działają w świecie bezpieczeństwa, dlatego otworzyliśmy źródła do naszej bazy kodu DNSCrypt i jest ona dostępna na GitHub.

DNSCrypt ma potencjał, aby być najbardziej wpływowym postępem w bezpieczeństwie internetowym od czasu SSL, znacząco poprawiając bezpieczeństwo online i prywatność każdego użytkownika Internetu.

Uwaga: Szukasz ochrony przed złośliwym oprogramowaniem, botnetami i phishingiem dla laptopów lub urządzeń z systemem iOS? Sprawdź Umbrella Mobility firmy OpenDNS.

Download Now:

Download DNSCrypt for Mac
Download DNSCrypt for Windows

Często zadawane pytania (FAQ):

1. Co to jest DNSCrypt?

DNSCrypt to lekkie oprogramowanie, którego każdy powinien używać w celu zwiększenia prywatności i bezpieczeństwa online. Jego działanie polega na szyfrowaniu całego ruchu DNS pomiędzy użytkownikiem a OpenDNS, zapobiegając szpiegowaniu, spoofingowi lub atakom man-in-the-middle.

2. Jak mogę używać DNSCrypt dzisiaj?

Otworzyliśmy źródła do naszej bazy kodu DNSCrypt i są one dostępne na GitHub. Interfejsy graficzne nie są już rozwijane, jednak społeczność open source wciąż dostarcza nieoficjalne aktualizacje do podglądu technicznego.

Wskazówki:
Jeśli masz zaporę ogniową lub inne oprogramowanie pośredniczące, które zniekształca twoje pakiety, powinieneś spróbować włączyć DNSCrypt z TCP na porcie 443. To sprawi, że większość firewalli będzie myśleć, że jest to ruch HTTPS i pozostawi go w spokoju.

Jeśli wolisz niezawodność od bezpieczeństwa, włącz fallback to insecure DNS. Jeśli nie możesz się z nami skontaktować, spróbujemy użyć twoich serwerów DNS przypisanych przez DHCP lub wcześniej skonfigurowanych. Jest to jednak ryzyko dla bezpieczeństwa.

3. Co z DNSSEC? Czy to eliminuje potrzebę stosowania DNSCrypt?

Nie. DNSCrypt i DNSSEC są komplementarne. DNSSEC robi kilka rzeczy. Po pierwsze, zapewnia uwierzytelnienie. (Czy rekord DNS, na który otrzymuję odpowiedź, pochodzi od właściciela nazwy domeny, o którą pytam, czy też został zmanipulowany)? Po drugie, DNSSEC zapewnia łańcuch zaufania, aby pomóc ustalić pewność, że odpowiedzi, które otrzymujemy są weryfikowalne. Niestety, DNSSEC nie zapewnia szyfrowania rekordów DNS, nawet tych podpisanych przez DNSSEC. Nawet gdyby wszyscy na świecie używali DNSSEC, potrzeba szyfrowania całego ruchu DNS nie zniknęłaby. Co więcej, DNSSEC reprezentuje dziś niemal zerowy procent wszystkich nazw domen i coraz mniejszy procent rekordów DNS każdego dnia, w miarę jak Internet się rozrasta.

To powiedziawszy, DNSSEC i DNSCrypt mogą doskonale współpracować. Nie są one w żaden sposób sprzeczne. Pomyśl o DNSCrypt jako o owijce wokół całego ruchu DNS, a o DNSSEC jako o sposobie podpisywania i zapewniania walidacji dla podzbioru tych rekordów. Istnieją korzyści z DNSSEC, których DNSCrypt nie stara się rozwiązać. Mamy nadzieję, że DNSSEC będzie się rozwijał, aby ludzie mieli więcej zaufania do całej infrastruktury DNS, a nie tylko do połączenia pomiędzy naszymi klientami a OpenDNS.

4. Czy to używa SSL? Co to jest kryptografia i jaki jest projekt?

Nie używamy SSL. Chociaż stosujemy analogię, że DNSCrypt jest jak SSL, ponieważ szyfruje cały ruch DNS w taki sam sposób, w jaki SSL szyfruje cały ruch HTTP, to nie jest to używana biblioteka kryptograficzna. Używamy kryptografii krzywej eliptycznej, w szczególności krzywej eliptycznej Curve25519. Cele projektu są podobne do tych opisanych w projekcie forwardera DNSCurve.

.