Articles /

DNSCrypt

Introdução de DNSCrypt

Fundo: A necessidade de uma melhor segurança DNS

DNS é um dos blocos fundamentais de construção da Internet. É utilizado sempre que visita um website, envia um e-mail, tem uma conversa por mensagens instantâneas ou faz qualquer outra coisa online. Enquanto o OpenDNS tem fornecido segurança de classe mundial usando DNS há anos, e o OpenDNS é o serviço de DNS mais seguro disponível, o protocolo DNS subjacente não tem sido suficientemente seguro para o nosso conforto. Muitos se lembrarão da Vulnerabilidade Kaminsky, que impactou quase todas as implementações de DNS no mundo (embora não o OpenDNS).

Que disse, a classe de problemas com os quais a Vulnerabilidade Kaminsky se relacionou foi resultado de algumas das bases subjacentes do protocolo DNS que são inerentemente fracas – particularmente na “última milha”. A “última milha” é a parte da sua ligação à Internet entre o seu computador e o seu ISP. DNSCrypt é a nossa forma de proteger a “última milha” do tráfego DNS e resolver (sem trocadilho) toda uma classe de graves preocupações de segurança com o protocolo DNS. À medida que a conectividade mundial da Internet se torna cada vez mais móvel e cada vez mais pessoas se conectam a várias redes WiFi diferentes em um único dia, aumenta a necessidade de uma solução.

Têm havido inúmeros exemplos de adulteração, ou ataques “man-in-the-middle”, e bisbilhotice do tráfego DNS na última milha e isso representa um sério risco de segurança que sempre quisemos corrigir. Hoje nós podemos.

Por que DNSCrypt é tão significativo

Da mesma forma que o SSL transforma o tráfego web HTTP em tráfego web HTTPS criptografado, DNSCrypt transforma o tráfego DNS regular em tráfego DNS criptografado que é seguro contra escutas e ataques man-in-the-middle. Ele não requer nenhuma alteração nos nomes de domínio ou na forma como eles funcionam, ele simplesmente fornece um método para criptografar com segurança a comunicação entre nossos clientes e nossos servidores DNS em nossos centros de dados. No entanto, sabemos que as alegações por si só não funcionam no mundo da segurança, por isso abrimos a fonte para a nossa base de códigos DNSCrypt e ela está disponível em GitHub.

DNSCrypt tem o potencial de ser o avanço mais impactante na segurança da Internet desde SSL, melhorando significativamente a segurança e privacidade online de cada usuário da Internet.

Note: Procurando proteção contra malware, botnet e phishing para laptops ou dispositivos iOS? Verifique Umbrella Mobility by OpenDNS.

Download Now:

Download DNSCrypt for Mac
Download DNSCrypt for Windows

Frequently Asked Questions (FAQ):

1. Em inglês simples, o que é DNSCrypt?

DNSCrypt é um software leve que todos devem usar para aumentar a privacidade e segurança online. Ele funciona criptografando todo o tráfego DNS entre o usuário e o OpenDNS, evitando qualquer espionagem, spoofing ou ataques man-in-the-middle.

2 Como posso usar DNSCrypt hoje?

Abrimos o código fonte para nossa base de código DNSCrypt e ele está disponível no GitHub. As interfaces gráficas não estão mais em desenvolvimento; no entanto, a comunidade de código aberto ainda está fornecendo atualizações não-oficiais para a visualização técnica.

Tips:
Se você tem um firewall ou outro middleware manipulando seus pacotes, você deve tentar habilitar o DNSCrypt com TCP pela porta 443. Isso fará a maioria dos firewalls pensar que é tráfego HTTPS e deixá-lo em paz.

Se você preferir confiabilidade em vez de segurança, habilite o fallback para DNS inseguro. Se você não conseguir nos contatar, tentaremos usar seus servidores DNS com DHCP atribuído ou previamente configurado. Mas isto é um risco de segurança.

3. E o DNSSEC? Isto elimina a necessidade de DNSCrypt?

Não. DNSCrypt e DNSSEC são complementares. O DNSSEC faz uma série de coisas. Primeiro, ele fornece autenticação. (O registro DNS que estou recebendo é uma resposta do proprietário do nome de domínio sobre o qual estou perguntando ou ele foi adulterado?) Segundo, o DNSSEC fornece uma cadeia de confiança para ajudar a estabelecer a confiança de que as respostas que você está recebendo são verificáveis. Mas infelizmente, o DNSSEC não fornece criptografia para registros DNS, mesmo aqueles assinados pelo DNSSEC. Mesmo que todos no mundo usassem o DNSSEC, a necessidade de criptografar todo o tráfego DNS não desapareceria. Além disso, o DNSSEC hoje representa uma porcentagem quase nula de nomes de domínio em geral e uma porcentagem cada vez menor de registros DNS a cada dia à medida que a Internet cresce.

Dito isto, DNSSEC e DNSCrypt podem funcionar perfeitamente juntos. Eles não são conflitantes de forma alguma. Pense no DNSCrypt como um invólucro em torno de todo o tráfego DNS e no DNSSEC como uma forma de assinar e fornecer validação para um subconjunto desses registros. Há benefícios para o DNSSEC que o DNSCrypt não está tentando endereçar. Na verdade, esperamos que a adoção do DNSSEC cresça para que as pessoas possam ter mais confiança em toda a infra-estrutura do DNS, e não apenas na ligação entre os nossos clientes e OpenDNS.

4. Isto é usar SSL? Qual é o criptograma e qual é o design?

Não estamos usando SSL. Enquanto nós fazemos a analogia de que o DNSCrypt é como o SSL no sentido em que envolve todo o tráfego DNS com criptografia da mesma forma que o SSL envolve todo o tráfego HTTP, não é a biblioteca criptográfica que está sendo usada. Estamos usando criptografia de curva elíptica, em particular a Curve25519 elliptic curve. Os objetivos do projeto são similares aos descritos no projeto do forwarder DNSCurve.

Leave a Reply