Articles /

DNSCrypt

Introduktion av DNSCrypt

Bakgrund: Behovet av bättre DNS-säkerhet

DNS är en av Internets grundläggande byggstenar. Den används varje gång du besöker en webbplats, skickar ett e-postmeddelande, har en IM-konversation eller gör något annat på nätet. Även om OpenDNS har tillhandahållit säkerhet i världsklass med hjälp av DNS i flera år, och OpenDNS är den säkraste DNS-tjänsten som finns tillgänglig, har det underliggande DNS-protokollet inte varit tillräckligt säkert för vår bekvämlighet. Många kommer ihåg Kaminsky-sårbarheten, som påverkade nästan alla DNS-implementationer i världen (dock inte OpenDNS).

Det sagt, den klass av problem som Kaminsky-sårbarheten gällde var ett resultat av att några av de underliggande grunderna för DNS-protokollet är svaga i sig själva – särskilt i den ”sista kilometern”. Den ”sista milen” är den del av din Internetanslutning som ligger mellan din dator och din internetleverantör. DNSCrypt är vårt sätt att säkra den ”sista milen” av DNS-trafiken och lösa (utan ordvitsar) en hel klass av allvarliga säkerhetsproblem med DNS-protokollet. I takt med att världens Internetanslutning blir alltmer mobil och fler och fler människor ansluter sig till flera olika WiFi-nätverk under en enda dag, ökar behovet av en lösning.

Det har funnits många exempel på manipulering, eller man-in-the-middle-attacker, och snokning av DNS-trafiken på den sista milen och det utgör en allvarlig säkerhetsrisk som vi alltid har velat åtgärda. Idag kan vi det.

Varför DNSCrypt är så viktigt

På samma sätt som SSL förvandlar HTTP-webbtrafik till HTTPS-krypterad webbtrafik, förvandlar DNSCrypt vanlig DNS-trafik till krypterad DNS-trafik som är säker mot tjuvlyssning och man-in-the-middle-attacker. Det kräver inga ändringar av domännamnen eller hur de fungerar, utan tillhandahåller helt enkelt en metod för att säkert kryptera kommunikationen mellan våra kunder och våra DNS-servrar i våra datacenter. Vi vet dock att enbart påståenden inte fungerar i säkerhetsvärlden, så vi har öppnat upp källkoden till vår DNSCrypt-kodbas och den finns tillgänglig på GitHub.

DNSCrypt har potential att bli det mest betydelsefulla framsteget inom internetsäkerheten sedan SSL, vilket avsevärt förbättrar varje enskild internetanvändares säkerhet och integritet på nätet.

Anm.: Letar du efter skydd mot skadlig kod, botnät och phishing för bärbara datorer eller iOS-enheter? Kolla in Umbrella Mobility från OpenDNS.

Ladda ner nu:

Ladda ner DNSCrypt för Mac
Ladda ner DNSCrypt för Windows

Hälsosvenska frågor (FAQ):

1. Vad är DNSCrypt?

DNSCrypt är en lätt programvara som alla bör använda för att öka integriteten och säkerheten på nätet. Den fungerar genom att kryptera all DNS-trafik mellan användaren och OpenDNS, vilket förhindrar spionage, spoofing eller man-in-the-middle-attacker.

2. Hur kan jag använda DNSCrypt idag?

Vi har öppnat upp källkoden till vår DNSCrypt-kodbas och den är tillgänglig på GitHub. De grafiska gränssnitten är inte längre under utveckling, men öppen källkodssamhället tillhandahåller fortfarande inofficiella uppdateringar av den tekniska förhandsversionen.

Tips:
Om du har en brandvägg eller annan mellanprogramvara som manglar dina paket bör du prova att aktivera DNSCrypt med TCP över port 443. Detta får de flesta brandväggar att tro att det är HTTPS-trafik och låter det vara.

Om du föredrar tillförlitlighet framför säkerhet kan du aktivera fallback till osäker DNS. Om du inte kan nå oss försöker vi använda dina DHCP-tilldelade eller tidigare konfigurerade DNS-servrar. Detta är dock en säkerhetsrisk.

3. Hur är det med DNSSEC? Tar detta bort behovet av DNSCrypt?

Nej. DNSCrypt och DNSSEC kompletterar varandra. DNSSEC gör ett antal saker. För det första tillhandahåller den autentisering. (Kommer DNS-posten som jag får svar på från ägaren till det domännamn jag frågar om eller har den manipulerats?). För det andra tillhandahåller DNSSEC en förtroendekedja för att hjälpa till att skapa förtroende för att svaren du får är verifierbara. Men tyvärr ger DNSSEC faktiskt ingen kryptering av DNS-poster, inte ens de som är signerade med DNSSEC. Även om alla i världen använde DNSSEC skulle behovet av att kryptera all DNS-trafik inte försvinna. Dessutom representerar DNSSEC i dag en nästan noll procentandel av de totala domännamnen och en allt mindre procentandel av DNS-posterna varje dag i takt med att Internet växer.

Detta sagt kan DNSSEC och DNSCrypt fungera perfekt tillsammans. De står inte i konflikt med varandra på något sätt. Tänk på DNSCrypt som ett omslag kring all DNS-trafik och DNSSEC som ett sätt att signera och tillhandahålla validering för en delmängd av dessa poster. Det finns fördelar med DNSSEC som DNSCrypt inte försöker ta hänsyn till. Vi hoppas faktiskt att DNSSEC-användningen ökar så att människor kan ha större förtroende för hela DNS-infrastrukturen, inte bara för länken mellan våra kunder och OpenDNS.

4. Använder detta SSL? Vad är krypteringen och vad är utformningen?

Vi använder inte SSL. Även om vi gör en analogi med att DNSCrypt är som SSL i och med att det omsluter all DNS-trafik med kryptering på samma sätt som SSL omsluter all HTTP-trafik, så är det inte kryptobiblioteket som används. Vi använder elliptisk-kurva-kryptografi, särskilt den elliptiska kurvan Curve25519. Konstruktionsmålen liknar dem som beskrivs i konstruktionen av DNSCurve-forwardern.

Leave a Reply