Există diferite moduri de a vă proteja interogările DNS, dar fiecare abordare vine cu propriile sale puncte forte și puncte slabe.
Sistemul de nume de domeniu (DNS) este considerat pe scară largă ca agenda telefonică a internetului, transformând numele de domenii în informații care pot fi citite de computere, cum ar fi adresele IP.
Ori de câte ori scrieți un nume de domeniu în bara de adrese, DNS-ul îl convertește automat în adresa IP corespunzătoare. Browserul dumneavoastră folosește aceste informații pentru a prelua datele de pe serverul de origine și pentru a încărca site-ul.
Dar criminalii cibernetici pot spiona adesea traficul DNS, făcând criptarea necesară pentru a vă menține navigarea pe web privată și sigură.
Ce sunt protocoalele de criptare DNS?
Protocoalele de criptare DNS sunt concepute pentru a crește confidențialitatea și securitatea rețelei sau a site-ului dvs. web prin criptarea interogărilor și răspunsurilor DNS. Interogările și răspunsurile DNS sunt trimise în mod regulat în text simplu, ceea ce facilitează interceptarea și modificarea comunicării de către infractorii cibernetici.
Protocoalele de criptare DNS fac din ce în ce mai dificil pentru acești hackeri să vadă și să modifice datele dvs. sensibile sau să vă perturbe rețeaua. Sunt diverse furnizori de DNS criptați care vă pot proteja interogările de privirile indiscrete.
Cele mai comune protocoale de criptare DNS
Există mai multe protocoale de criptare DNS utilizate astăzi. Aceste protocoale de criptare pot fi utilizate pentru a preveni snooping-ul într-o rețea prin criptarea traficului fie în cadrul protocolului HTTPS printr-o conexiune de securitate a nivelului de transport (TLS).
1. DNSCrypt
DNSCrypt este un protocol de rețea care criptează tot traficul DNS dintre computerul utilizatorului și serverele de nume generale. Protocolul folosește infrastructura cheii publice (PKI) pentru a verifica autenticitatea serverului DNS și a clienților dumneavoastră.
Utilizează două chei, o cheie publică și o cheie privată pentru a autentifica comunicarea dintre client și server. Când este inițiată o interogare DNS, clientul o criptează folosind cheia publică a serverului.
Interogarea criptată este apoi trimisă serverului, care decriptează interogarea folosind cheia privată. În acest fel, DNSCrypt asigură că comunicarea dintre client și server este întotdeauna autentificată și criptată.
DNSCrypt este un protocol de rețea relativ mai vechi. Acesta a fost în mare parte înlocuit de DNS-over-TLS (DoT) și DNS-over-HTTPS (DoH) datorită suportului mai larg și garanțiilor de securitate mai puternice oferite de aceste protocoale mai noi.
2. DNS-over-TLS
DNS-over-TLS criptează interogarea DNS utilizând Transport Layer Security (TLS). TLS se asigură că interogarea dvs. DNS este criptată de la capăt la capăt, prevenirea atacurilor „man-in-the-middle” (MITM)..
Când utilizați DNS-over-TLS (DoT), interogarea DNS este trimisă la un rezolutor DNS-over-TLS în loc de un solutor necriptat. Soluția DNS-over-TLS decriptează interogarea dvs. DNS și o trimite către serverul DNS autorizat în numele dvs.
Portul implicit pentru DoT este portul TCP 853. Când vă conectați folosind DoT, atât clientul, cât și rezolutorul efectuează o strângere de mână digitală. Apoi, clientul își trimite interogarea DNS prin canalul TLS criptat către resolver.
Resolutorul DNS procesează interogarea, găsește adresa IP corespunzătoare și trimite răspunsul înapoi către client prin canalul criptat. Răspunsul criptat este primit de client, unde este decriptat, iar clientul folosește adresa IP pentru a se conecta la site-ul web sau serviciul dorit.
3. DNS-over-HTTPS
HTTPS este versiunea securizată a HTTP care este acum utilizată pentru accesarea site-urilor web. La fel ca DNS-over-TLS, DNS-over-HTTPS (DoH) criptează, de asemenea, toate informațiile înainte de a fi trimise prin rețea.
Deși scopul este același, există unele diferențe fundamentale între DoH și DoT. Pentru început, DoH trimite toate interogările criptate prin HTTPS în loc să creeze direct o conexiune TLS pentru criptarea traficului.
În al doilea rând, folosește portul 403 pentru comunicarea generală, ceea ce face dificilă diferențierea de traficul web general. DoT folosește portul 853, ceea ce facilitează identificarea traficului din acel port și blocarea acestuia.
DoH a cunoscut o adoptare mai largă în browserele web precum Mozilla Firefox și Google Chrome, deoarece folosește infrastructura HTTPS existentă. DoT este folosit mai frecvent de sistemele de operare și de soluții DNS dedicate, mai degrabă decât de integrat direct în browserele web.
Două motive majore pentru care DoH a cunoscut o adoptare mai largă sunt pentru că este mult mai ușor de integrat în web-ul existent browsere și, mai important, se îmbină perfect cu traficul web obișnuit, făcându-l mult mai dificil bloc.
4. DNS-over-QUIC
În comparație cu celelalte protocoale de criptare DNS din această listă, DNS-over-QUIC (DoQ) este destul de nou. Este un protocol de securitate emergent care trimite interogări și răspunsuri DNS prin protocolul de transport QUIC (Quick UDP Internet Connections).
Majoritatea traficului de internet se bazează astăzi pe protocolul de control al transmisiei (TCP) sau protocolul de datagramă utilizator (UDP), cu interogări DNS trimise de obicei prin UDP. Cu toate acestea, protocolul QUIC a fost introdus pentru a depăși câteva dezavantaje ale TCP/UDP și ajută la reducerea latenței și la îmbunătățirea securității.
QUIC este un protocol de transport relativ nou dezvoltat de Google, conceput pentru a oferi performanță, securitate și fiabilitate mai bune în comparație cu protocoalele tradiționale precum TCP și TLS. QUIC combină caracteristicile TCP și UDP, în timp ce integrează și criptarea încorporată similară cu TLS.
Deoarece este mai nou, DoQ oferă mai multe avantaje față de protocoalele menționate mai sus. Pentru început, DoQ oferă performanțe mai rapide, reducând latența generală și îmbunătățind timpii de conectivitate. Acest lucru are ca rezultat o rezoluție DNS mai rapidă (timpul necesar DNS-ului pentru a rezolva adresa IP). În cele din urmă, acest lucru înseamnă că site-urile web vă sunt oferite mai rapid.
Mai important, DoQ este mai rezistent la pierderea de pachete în comparație cu TCP și UDP, deoarece se poate recupera de la pachetele pierdute fără a necesita o retransmisie completă, spre deosebire de protocoalele bazate pe TCP.
În plus, este mult mai ușor să migrați conexiunile folosind și QUIC. QUIC încapsulează mai multe fluxuri într-o singură conexiune, reducând numărul de călătorii dus-întors necesare pentru o conexiune și, prin urmare, îmbunătățind performanța. Acest lucru poate fi util și atunci când comutați între rețelele Wi-Fi și celulare.
QUIC trebuie încă să fie adoptat pe scară largă în comparație cu alte protocoale. Dar companii precum Apple, Google și Meta folosesc deja QUIC, creându-și adesea propria versiune (Microsoft folosește MsQUIC pentru tot traficul IMM-urilor), ceea ce este de bun augur pentru viitor.
Așteptați-vă la mai multe modificări ale DNS-ului în viitor
Se așteaptă ca tehnologiile emergente să schimbe fundamental modul în care accesăm internetul. De exemplu, multe companii folosesc acum tehnologiile blockchain pentru a veni cu protocoale mai sigure de denumire a domeniilor, cum ar fi HNS și Unstoppable Domains.
