DNS-päringute kaitsmiseks on erinevaid viise, kuid igal lähenemisviisil on oma tugevad ja nõrgad küljed.
Domeeninimesüsteemi (DNS) peetakse laialdaselt Interneti telefoniraamatuks, mis teisendab domeeninimed arvutite poolt loetavaks teabeks, näiteks IP-aadressideks.
Iga kord, kui kirjutate domeeninime aadressiribale, teisendab DNS selle automaatselt vastavaks IP-aadressiks. Teie brauser kasutab seda teavet lähteserverist andmete toomiseks ja saidi laadimiseks.
Kuid küberkurjategijad võivad sageli DNS-liiklust luurata, mistõttu on teie veebisirvimise privaatsuse ja turvalisuse tagamiseks vajalik krüpteerimine.
Mis on DNS-i krüpteerimisprotokollid?
DNS-i krüpteerimisprotokollid on loodud teie võrgu või veebisaidi privaatsuse ja turvalisuse suurendamiseks, krüpteerides DNS-i päringuid ja vastuseid. DNS-päringud ja vastused saadetakse regulaarselt lihttekstina, mis muudab küberkurjategijate jaoks side pealtkuulamise ja muutmise lihtsamaks.
DNS-i krüpteerimisprotokollid muudavad nende häkkerite jaoks teie tundlike andmete vaatamise ja muutmise või võrgu häirimise üha keerulisemaks. Neid on erinevaid
krüptitud DNS-i pakkujad, mis suudavad teie päringuid uudishimulike pilkude eest kaitsta.Kõige tavalisemad DNS-i krüpteerimisprotokollid
Tänapäeval on kasutusel mitu DNS-i krüpteerimisprotokolli. Neid krüpteerimisprotokolle saab kasutada võrgus nuhkimise vältimiseks, krüpteerides liikluse HTTPS-protokolli kaudu transpordikihi turbeühenduse (TLS) kaudu.
1. DNSCrypt
DNSCrypt on võrguprotokoll, mis krüpteerib kogu DNS-liikluse kasutaja arvuti ja üldiste nimeserverite vahel. Protokoll kasutab DNS-serveri ja teie klientide autentsuse kontrollimiseks avaliku võtme infrastruktuuri (PKI).
See kasutab kliendi ja serveri vahelise suhtluse autentimiseks kahte võtit, avalikku võtit ja privaatvõtit. Kui DNS-päring algatatakse, krüpteerib klient selle serveri avaliku võtmega.
Seejärel saadetakse krüptitud päring serverisse, kes dekrüpteerib päringu oma privaatvõtme abil. Nii tagab DNSCrypt, et side kliendi ja serveri vahel on alati autentitud ja krüptitud.
DNSCrypt on suhteliselt vanem võrguprotokoll. Tänu nende uuemate protokollide pakutavale laiemale toele ja tugevamatele turvagarantiidele on see suures osas asendatud DNS-over-TLS-iga (DoT) ja DNS-over-HTTPS-iga (DoH).
2. DNS-over-TLS
DNS-over-TLS krüpteerib teie DNS-päringu transpordikihi turvalisuse (TLS) abil. TLS tagab, et teie DNS-päring on otsast lõpuni krüpteeritud, mees-in-the-middle (MITM) rünnakute ennetamine.
Kui kasutate DNS-over-TLS-i (DoT), saadetakse teie DNS-päring krüptimata lahendaja asemel DNS-üle-TLS-i lahendajale. DNS-over-TLS-i lahendaja dekrüpteerib teie DNS-päringu ja saadab selle teie nimel autoriteetsesse DNS-serverisse.
DoT-i vaikeport on TCP-port 853. Kui loote ühenduse DoT abil, teevad nii klient kui ka lahendaja digitaalse käepigistuse. Seejärel saadab klient oma DNS-päringu krüptitud TLS-i kanali kaudu lahendajale.
DNS-i lahendaja töötleb päringu, leiab vastava IP-aadressi ja saadab vastuse kliendile krüpteeritud kanali kaudu tagasi. Krüpteeritud vastuse saab klient, kus see dekrüpteeritakse, ja klient kasutab IP-aadressi soovitud veebisaidi või teenusega ühenduse loomiseks.
3. DNS-üle-HTTPS
HTTPS on HTTP turvaline versioon, mida nüüd kasutatakse veebisaitidele juurdepääsuks. Nagu DNS-over-TLS, krüpteerib ka DNS-over-HTTPS (DoH) kogu teabe enne selle võrgu kaudu saatmist.
Kuigi eesmärk on sama, on DoH ja DoT vahel mõned põhimõttelised erinevused. Alustuseks saadab DoH kõik krüptitud päringud HTTPS-i kaudu, selle asemel, et luua otse liikluse krüptimiseks TLS-ühendus.
Teiseks kasutab see porti 403 üldiseks suhtluseks, mistõttu on raske eristada üldisest veebiliiklusest. DoT kasutab porti 853, mis muudab selle pordi liikluse tuvastamise ja selle blokeerimise palju lihtsamaks.
DoH on näinud laiemat kasutuselevõttu veebibrauserites, nagu Mozilla Firefox ja Google Chrome, kuna see kasutab olemasolevat HTTPS-i infrastruktuuri. DoT-d kasutavad sagedamini operatsioonisüsteemid ja spetsiaalsed DNS-i lahendajad, selle asemel, et seda otse veebibrauseritesse integreerida.
Kaks peamist põhjust, miks DoH on laiemalt kasutusele võetud, on see, et seda on palju lihtsam olemasolevasse veebi integreerida brauserid ja mis veelgi olulisem, see sulandub sujuvalt tavalise veebiliiklusega, muutes selle palju raskemaks blokk.
4. DNS-over-QUIC
Võrreldes teiste selles loendis olevate DNS-i krüpteerimisprotokollidega, on DNS-over-QUIC (DoQ) üsna uus. See on arenev turvaprotokoll, mis saadab DNS-päringuid ja vastuseid QUIC (Quick UDP Internet Connections) transpordiprotokolli kaudu.
Enamik Interneti-liiklust tugineb tänapäeval edastusjuhtimisprotokollile (TCP) või kasutaja datagrammi protokollile (UDP), kusjuures DNS-päringud saadetakse tavaliselt UDP kaudu. Siiski võeti kasutusele QUIC-protokoll, et ületada mõned TCP/UDP puudused ning aidata vähendada latentsust ja parandada turvalisust.
QUIC on Google'i välja töötatud suhteliselt uus transpordiprotokoll, mis on loodud pakkuma paremat jõudlust, turvalisust ja töökindlust võrreldes traditsiooniliste protokollidega, nagu TCP ja TLS. QUIC ühendab nii TCP kui ka UDP funktsioone, integreerides samal ajal ka TLS-iga sarnase sisseehitatud krüptimise.
Kuna see on uuem, pakub DoQ ülalmainitud protokollide ees mitmeid eeliseid. Alustuseks pakub DoQ kiiremat jõudlust, vähendades üldist latentsust ja parandades ühenduvusaegu. Selle tulemuseks on kiirem DNS-i eraldusvõime (aeg, mis kulub DNS-il IP-aadressi lahendamiseks). Lõppkokkuvõttes tähendab see, et veebisaite serveeritakse teile kiiremini.
Veelgi olulisem on see, et DoQ on TCP ja UDP-ga võrreldes paketikadude suhtes vastupidavam, kuna erinevalt TCP-põhistest protokollidest suudab see kaotatud pakettidest taastuda ilma täielikku uuesti edastamist nõudmata.
Lisaks on QUIC-i abil ühendusi palju lihtsam üle viia. QUIC kapseldab ühe ühenduse sisse mitu voogu, vähendades ühenduse jaoks vajalike edasi-tagasi reiside arvu ja parandades seeläbi jõudlust. See võib olla kasulik ka Wi-Fi ja mobiilsidevõrkude vahel vahetamisel.
QUIC on teiste protokollidega võrreldes veel laialdaselt kasutusele võtmata. Kuid sellised ettevõtted nagu Apple, Google ja Meta kasutavad juba QUIC-i, luues sageli oma versiooni (Microsoft kasutab kogu SMB-liikluse jaoks MsQUIC-i), mis on tuleviku jaoks hea.
Tulevikus on oodata DNS-i rohkem muudatusi
Arvatakse, et uued tehnoloogiad muudavad põhjalikult seda, kuidas me veebile ligi pääseme. Näiteks kasutavad paljud ettevõtted nüüd plokiahela tehnoloogiaid, et leida turvalisemaid domeeninimede määramise protokolle, nagu HNS ja Unstoppable Domains.