DNSCrypt
Introducerea DNSCrypt
Context: Necesitatea unei mai bune securități DNS
DNS este unul dintre elementele fundamentale ale internetului. Este utilizat de fiecare dată când vizitați un site web, trimiteți un e-mail, purtați o conversație IM sau faceți orice altceva online. Deși OpenDNS a oferit ani de zile o securitate de clasă mondială folosind DNS, iar OpenDNS este cel mai sigur serviciu DNS disponibil, protocolul DNS de bază nu a fost suficient de sigur pentru confortul nostru. Mulți își vor aminti de vulnerabilitatea Kaminsky, care a afectat aproape toate implementările DNS din lume (deși nu și OpenDNS).
Acestea fiind spuse, clasa de probleme la care se referea vulnerabilitatea Kaminsky a fost rezultatul unora dintre fundamentele de bază ale protocolului DNS care sunt inerent slabe – în special în „ultimul kilometru”. „Ultimul kilometru” este porțiunea din conexiunea la internet dintre computerul dumneavoastră și ISP-ul dumneavoastră. DNSCrypt este modalitatea noastră de a securiza „ultima milă” a traficului DNS și de a rezolva (fără joc de cuvinte) o întreagă clasă de probleme serioase de securitate legate de protocolul DNS. Pe măsură ce conectivitatea mondială la internet devine din ce în ce mai mobilă și tot mai mulți oameni se conectează la mai multe rețele WiFi diferite într-o singură zi, nevoia unei soluții este din ce în ce mai mare.
Au existat numeroase exemple de manipulare sau atacuri de tip „man-in-the-middle” și de spionaj al traficului DNS pe ultimul kilometru și reprezintă un risc grav de securitate pe care am vrut întotdeauna să îl rezolvăm. Astăzi putem.
De ce DNSCrypt este atât de important
În același mod în care SSL transformă traficul web HTTP în trafic web criptat HTTPS, DNSCrypt transformă traficul DNS obișnuit în trafic DNS criptat care este protejat împotriva ascultării și a atacurilor de tip man-in-the-middle. Nu necesită nicio modificare a numelor de domenii sau a modului în care acestea funcționează, ci pur și simplu oferă o metodă de criptare în siguranță a comunicării dintre clienții noștri și serverele noastre DNS din centrele noastre de date. Cu toate acestea, știm că afirmațiile singure nu funcționează în lumea securității, așa că am deschis sursa bazei noastre de cod DNSCrypt și este disponibilă pe GitHub.
DNSCrypt are potențialul de a fi cel mai important progres în securitatea internetului de la SSL încoace, îmbunătățind semnificativ securitatea și confidențialitatea online a fiecărui utilizator de internet.
Nota: Căutați protecție împotriva malware, botnet și phishing pentru laptopuri sau dispozitive iOS? Check out Umbrella Mobility by OpenDNS.
Download Now:
Download DNSCrypt for Mac
Download DNSCrypt for Windows
Frequent Asked Questions (FAQ):
1. În cuvinte simple, ce este DNSCrypt?
DNSCrypt este un software ușor pe care toată lumea ar trebui să îl folosească pentru a spori confidențialitatea și securitatea online. Funcționează prin criptarea întregului trafic DNS între utilizator și OpenDNS, împiedicând orice spionaj, spoofing sau atacuri de tip man-in-the-middle.
2. Cum pot folosi DNSCrypt astăzi?
Am deschis sursa bazei noastre de cod DNSCrypt și este disponibilă pe GitHub. Interfețele grafice nu mai sunt în curs de dezvoltare; cu toate acestea, comunitatea open source furnizează în continuare actualizări neoficiale la previzualizarea tehnică.
Tips:
Dacă aveți un firewall sau alt middleware care vă manipulează pachetele, ar trebui să încercați să activați DNSCrypt cu TCP pe portul 443. Acest lucru va face ca majoritatea firewall-urilor să creadă că este trafic HTTPS și să îl lase în pace.
Dacă preferați fiabilitatea în locul securității, activați fallback la DNS nesigur. Dacă nu ne puteți contacta, vom încerca să folosim serverele DNS atribuite prin DHCP sau configurate anterior. Totuși, acesta este un risc de securitate.
3. Cum rămâne cu DNSSEC? Elimină acest lucru nevoia de DNSCrypt?
Nu. DNSCrypt și DNSSEC sunt complementare. DNSSEC face o serie de lucruri. În primul rând, asigură autentificarea. (Înregistrarea DNS pentru care primesc un răspuns provine de la proprietarul numelui de domeniu pentru care întreb sau a fost falsificată)? În al doilea rând, DNSSEC oferă un lanț de încredere pentru a ajuta la stabilirea încrederii că răspunsurile pe care le primiți sunt verificabile. Dar, din păcate, DNSSEC nu asigură de fapt criptarea înregistrărilor DNS, nici măcar a celor semnate de DNSSEC. Chiar dacă toată lumea ar folosi DNSSEC, necesitatea de a cripta tot traficul DNS nu ar dispărea. Mai mult decât atât, DNSSEC reprezintă astăzi un procent aproape de zero din totalul numelor de domenii și un procent din ce în ce mai mic de înregistrări DNS în fiecare zi, pe măsură ce Internetul se dezvoltă.
Acestea fiind spuse, DNSSEC și DNSCrypt pot funcționa perfect împreună. Ele nu sunt în niciun fel în conflict. Gândiți-vă la DNSCrypt ca la un înveliș în jurul întregului trafic DNS și la DNSSEC ca la o modalitate de a semna și de a oferi validare pentru un subset al acestor înregistrări. Există beneficii ale DNSSEC pe care DNSCrypt nu încearcă să le abordeze. De fapt, sperăm ca adoptarea DNSSEC să crească pentru ca oamenii să aibă mai multă încredere în întreaga infrastructură DNS, nu doar în legătura dintre clienții noștri și OpenDNS.
4. Se folosește SSL? Care este criptografia și care este designul?
Nu folosim SSL. Deși facem analogia că DNSCrypt este ca SSL în sensul că înfășoară tot traficul DNS cu criptare în același mod în care SSL înfășoară tot traficul HTTP, nu este vorba de biblioteca criptografică utilizată. Noi folosim criptografia cu curbă eliptică, în special curba eliptică Curve25519. Obiectivele de proiectare sunt similare cu cele descrise în proiectarea forwarderului DNSCurve.
.
Leave a Reply