Obstaja več načinov za zaščito poizvedb DNS, vendar ima vsak pristop svoje prednosti in slabosti.
Sistem domenskih imen (DNS) na splošno velja za imenik interneta, ki pretvarja imena domen v informacije, ki jih lahko preberejo računalniki, kot so naslovi IP.
Kadarkoli vpišete ime domene v naslovno vrstico, ga DNS samodejno pretvori v ustrezen naslov IP. Vaš brskalnik uporablja te podatke za pridobivanje podatkov iz izvornega strežnika in nalaganje spletnega mesta.
Toda kibernetski kriminalci lahko pogosto vohunijo za prometom DNS, zaradi česar je šifriranje nujno, da bo vaše brskanje po spletu zasebno in varno.
Kaj so šifrirni protokoli DNS?
Protokoli za šifriranje DNS so zasnovani za povečanje zasebnosti in varnosti vašega omrežja ali spletnega mesta s šifriranjem poizvedb in odgovorov DNS. Poizvedbe in odgovori DNS se redno pošiljajo v navadnem besedilu, kar kibernetskim kriminalcem olajša prestrezanje in spreminjanje komunikacije.
Protokoli za šifriranje DNS tem hekerjem vse težje pregledujejo in spreminjajo vaše občutljive podatke ali motijo vaše omrežje. Obstajajo različne
šifrirani ponudniki DNS, ki lahko vaše poizvedbe zaščitijo pred radovednimi očmi.Najpogostejši protokoli za šifriranje DNS
Danes se uporablja več protokolov za šifriranje DNS. Te šifrirne protokole je mogoče uporabiti za preprečevanje vohljanja v omrežju s šifriranjem prometa znotraj protokola HTTPS prek povezave TLS (Transport Layer Security).
1. DNSCrypt
DNSCrypt je omrežni protokol, ki šifrira ves promet DNS med uporabnikovim računalnikom in splošnimi imenskimi strežniki. Protokol uporablja infrastrukturo javnih ključev (PKI) za preverjanje pristnosti strežnika DNS in vaših odjemalcev.
Za preverjanje pristnosti komunikacije med odjemalcem in strežnikom uporablja dva ključa, javni ključ in zasebni ključ. Ko se sproži poizvedba DNS, jo odjemalec šifrira z javnim ključem strežnika.
Šifrirana poizvedba se nato pošlje strežniku, ki poizvedbo dešifrira s svojim zasebnim ključem. Na ta način DNSCrypt zagotavlja, da je komunikacija med odjemalcem in strežnikom vedno overjena in šifrirana.
DNSCrypt je razmeroma starejši omrežni protokol. V veliki meri sta ga nadomestila DNS-over-TLS (DoT) in DNS-over-HTTPS (DoH) zaradi širše podpore in močnejših varnostnih jamstev, ki jih zagotavljata ta nova protokola.
2. DNS prek TLS
DNS-over-TLS šifrira vašo poizvedbo DNS z uporabo Transport Layer Security (TLS). TLS zagotavlja, da je vaša poizvedba DNS šifrirana od konca do konca, preprečevanje napadov človeka v sredini (MITM)..
Ko uporabljate DNS-over-TLS (DoT), se vaša poizvedba DNS pošlje razreševalniku DNS-over-TLS namesto nešifriranemu razreševalniku. Reševalec DNS-over-TLS dešifrira vašo poizvedbo DNS in jo v vašem imenu pošlje avtoritativnemu strežniku DNS.
Privzeta vrata za DoT so vrata TCP 853. Ko se povežete z DoT, odjemalec in razreševalec izvedeta digitalno rokovanje. Nato odjemalec pošlje svojo poizvedbo DNS prek šifriranega TLS kanala razreševalniku.
Reševalec DNS obdela poizvedbo, poišče ustrezen naslov IP in pošlje odgovor nazaj odjemalcu prek šifriranega kanala. Šifriran odgovor prejme odjemalec, kjer ga dešifrira in odjemalec uporabi naslov IP za povezavo z želeno spletno stranjo ali storitvijo.
3. DNS prek HTTPS
HTTPS je varna različica HTTP, ki se zdaj uporablja za dostop do spletnih mest. Tako kot DNS-over-TLS tudi DNS-over-HTTPS (DoH) šifrira vse informacije, preden se pošljejo po omrežju.
Čeprav je cilj enak, obstaja nekaj temeljnih razlik med DoH in DoT. Za začetek DoH pošlje vse šifrirane poizvedbe prek HTTPS, namesto da neposredno ustvari povezavo TLS za šifriranje vašega prometa.
Drugič, uporablja vrata 403 za splošno komunikacijo, zaradi česar je težko razlikovati od splošnega spletnega prometa. DoT uporablja vrata 853, zaradi česar je veliko lažje prepoznati promet iz teh vrat in ga blokirati.
DoH je doživel širšo uporabo v spletnih brskalnikih, kot sta Mozilla Firefox in Google Chrome, saj izkorišča obstoječo infrastrukturo HTTPS. DoT pogosteje uporabljajo operacijski sistemi in namenski razreševalci DNS, namesto da bi bili neposredno integrirani v spletne brskalnike.
Dva glavna razloga, zakaj je DoH doživel širšo uporabo, sta ta, da ga je veliko lažje vključiti v obstoječi splet brskalnikov, in kar je še pomembneje, brezhibno se zlije z običajnim spletnim prometom, zaradi česar je veliko težje blok.
4. DNS-over-QUIC
V primerjavi z drugimi šifrirnimi protokoli DNS na tem seznamu je DNS-over-QUIC (DoQ) precej nov. Je nastajajoči varnostni protokol, ki pošilja poizvedbe in odgovore DNS prek transportnega protokola QUIC (Hitre internetne povezave UDP).
Večina internetnega prometa danes temelji na protokolu za nadzor prenosa (TCP) ali protokolu uporabniškega datagrama (UDP), pri čemer se poizvedbe DNS običajno pošiljajo prek UDP. Vendar pa je bil protokol QUIC uveden za premagovanje nekaterih pomanjkljivosti TCP/UDP ter pomaga zmanjšati zakasnitev in izboljšati varnost.
QUIC je razmeroma nov transportni protokol, ki ga je razvil Google in je zasnovan tako, da zagotavlja boljšo zmogljivost, varnost in zanesljivost v primerjavi s tradicionalnimi protokoli, kot sta TCP in TLS. QUIC združuje funkcije TCP in UDP, hkrati pa vključuje tudi vgrajeno šifriranje, podobno TLS.
Ker je novejši, ponuja DoQ več prednosti pred zgoraj omenjenimi protokoli. Za začetek DoQ ponuja hitrejše delovanje, zmanjšuje splošno zakasnitev in izboljšuje čas povezljivosti. Posledica tega je hitrejša razrešitev DNS (čas, ki je potreben, da DNS razreši naslov IP). Navsezadnje to pomeni, da so vam spletna mesta na voljo hitreje.
Še pomembneje je, da je DoQ bolj odporen na izgubo paketov v primerjavi s TCP in UDP, saj lahko obnovi izgubljene pakete, ne da bi zahteval popoln ponovni prenos, v nasprotju s protokoli, ki temeljijo na TCP.
Poleg tega je veliko lažje preseliti povezave tudi z uporabo QUIC. QUIC enkapsulira več tokov znotraj ene povezave, zmanjša število povratnih potovanj, potrebnih za povezavo, in s tem izboljša zmogljivost. To je lahko koristno tudi pri preklapljanju med Wi-Fi in mobilnimi omrežji.
QUIC v primerjavi z drugimi protokoli še ni široko sprejet. Toda podjetja, kot so Apple, Google in Meta, že uporabljajo QUIC in pogosto ustvarjajo lastno različico (Microsoft uporablja MsQUIC za ves svoj promet SMB), kar je dobra napoved za prihodnost.
Pričakujte več sprememb DNS v prihodnosti
Pričakuje se, da bodo nove tehnologije temeljito spremenile način dostopanja do spleta. Številna podjetja na primer zdaj izkoriščajo tehnologije veriženja blokov, da pripravijo varnejše protokole za poimenovanje domen, kot sta HNS in Unstoppable Domains.