Yra įvairių būdų apsaugoti savo DNS užklausas, tačiau kiekvienas metodas turi savo stipriąsias ir silpnąsias puses.
Domeno vardų sistema (DNS) plačiai laikoma interneto telefonų knyga, paverčiančia domenų vardus į informaciją, kurią gali nuskaityti kompiuteriai, pavyzdžiui, IP adresus.
Kai į adreso juostą įrašote domeno vardą, DNS automatiškai konvertuoja jį į atitinkamą IP adresą. Jūsų naršyklė naudoja šią informaciją, kad gautų duomenis iš pradinio serverio ir įkeltų svetainę.
Tačiau kibernetiniai nusikaltėliai dažnai gali šnipinėti DNS srautą, todėl reikia šifruoti, kad jūsų interneto naršymas būtų privatus ir saugus.
Kas yra DNS šifravimo protokolai?
DNS šifravimo protokolai yra sukurti siekiant padidinti jūsų tinklo ar svetainės privatumą ir saugumą šifruojant DNS užklausas ir atsakymus. DNS užklausos ir atsakymai reguliariai siunčiami paprastu tekstu, todėl kibernetiniams nusikaltėliams lengviau perimti ir sugadinti ryšį.
Dėl DNS šifravimo protokolų šiems įsilaužėliams tampa vis sunkiau peržiūrėti ir keisti jūsų slaptus duomenis arba sutrikdyti tinklą. Yra įvairių
užšifruoti DNS teikėjai, kurie gali apsaugoti jūsų užklausas nuo smalsių akių.Dažniausi DNS šifravimo protokolai
Šiandien naudojami keli DNS šifravimo protokolai. Šie šifravimo protokolai gali būti naudojami siekiant užkirsti kelią šnipinėjimui tinkle, šifruojant srautą HTTPS protokolu per transporto lygmens saugos (TLS) ryšį.
1. DNSCrypt
DNSCrypt yra tinklo protokolas, kuris užšifruoja visą DNS srautą tarp vartotojo kompiuterio ir bendrųjų vardų serverių. Protokolas naudoja viešojo rakto infrastruktūrą (PKI), kad patikrintų DNS serverio ir jūsų klientų autentiškumą.
Ryšiui tarp kliento ir serverio autentifikuoti naudojami du raktai – viešasis ir privatusis. Kai inicijuojama DNS užklausa, klientas ją užšifruoja naudodamas viešąjį serverio raktą.
Tada užšifruota užklausa siunčiama į serverį, kuris iššifruoja užklausą naudodamas savo privatų raktą. Tokiu būdu DNSCrypt užtikrina, kad ryšys tarp kliento ir serverio visada būtų autentifikuotas ir užšifruotas.
DNSCrypt yra palyginti senesnis tinklo protokolas. Jį iš esmės pakeitė DNS-over-TLS (DoT) ir DNS-over-HTTPS (DoH) dėl didesnio palaikymo ir stipresnių saugumo garantijų, kurias suteikia šie naujesni protokolai.
2. DNS-over-TLS
DNS-over-TLS užšifruoja jūsų DNS užklausą naudodamas transporto sluoksnio apsaugą (TLS). TLS užtikrina, kad jūsų DNS užklausa būtų užšifruota iki galo, užkirsti kelią žmogaus viduryje (MITM) atakoms.
Kai naudojate DNS-over-TLS (DoT), jūsų DNS užklausa siunčiama į DNS-over-TLS, o ne į nešifruotą sprendiklį. DNS-over-TLS sprendiklis iššifruoja jūsų DNS užklausą ir jūsų vardu siunčia ją autoritetingam DNS serveriui.
Numatytasis DoT prievadas yra TCP prievadas 853. Kai prisijungiate naudodami DoT, ir klientas, ir sprendėjas atlieka skaitmeninį rankos paspaudimą. Tada klientas siunčia savo DNS užklausą per šifruotą TLS kanalą sprendėjui.
DNS sprendėjas apdoroja užklausą, suranda atitinkamą IP adresą ir šifruotu kanalu siunčia atsakymą atgal klientui. Užšifruotą atsakymą gauna klientas, kur jis iššifruojamas, o klientas naudoja IP adresą prisijungdamas prie norimos svetainės ar paslaugos.
3. DNS per HTTPS
HTTPS yra saugi HTTP versija, kuri dabar naudojama norint pasiekti svetaines. Kaip ir DNS-over-TLS, DNS-over-HTTPS (DoH) taip pat užšifruoja visą informaciją prieš siunčiant ją tinklu.
Nors tikslas yra tas pats, yra keletas esminių skirtumų tarp DoH ir DoT. Pradedantiesiems DoH siunčia visas užšifruotas užklausas per HTTPS, o ne tiesiogiai sukuria TLS ryšį srautui šifruoti.
Antra, jis naudoja 403 prievadą bendram ryšiui, todėl sunku atskirti nuo bendro žiniatinklio srauto. DoT naudoja 853 prievadą, todėl daug lengviau atpažinti srautą iš to prievado ir jį blokuoti.
„DoH“ buvo plačiai pritaikyta žiniatinklio naršyklėse, pvz., „Mozilla Firefox“ ir „Google Chrome“, nes ji naudoja esamą HTTPS infrastruktūrą. DoT dažniau naudojamas operacinėse sistemose ir skirtuose DNS sprendiniuose, o ne tiesiogiai integruotas į žiniatinklio naršykles.
Dvi pagrindinės priežastys, kodėl DoH tapo plačiau pritaikytos, yra tai, kad ją daug lengviau integruoti į esamą žiniatinklį naršyklėse, o dar svarbiau – jis sklandžiai susilieja su įprastu interneto srautu, todėl tai padaryti yra daug sunkiau blokas.
4. DNS-over-QUIC
Palyginti su kitais šiame sąraše esančiais DNS šifravimo protokolais, DNS-over-QUIC (DoQ) yra gana naujas. Tai naujas saugos protokolas, siunčiantis DNS užklausas ir atsakymus per QUIC (Quick UDP Internet Connections) transportavimo protokolą.
Dauguma interneto srauto šiandien priklauso nuo perdavimo valdymo protokolo (TCP) arba vartotojo duomenų gramų protokolo (UDP), o DNS užklausos paprastai siunčiamos per UDP. Tačiau QUIC protokolas buvo įdiegtas siekiant pašalinti kelis TCP/UDP trūkumus ir padeda sumažinti delsą bei pagerinti saugumą.
QUIC yra palyginti naujas „Google“ sukurtas transportavimo protokolas, skirtas užtikrinti geresnį našumą, saugumą ir patikimumą, palyginti su tradiciniais protokolais, tokiais kaip TCP ir TLS. QUIC sujungia TCP ir UDP funkcijas, taip pat integruojant įtaisytąjį šifravimą, panašų į TLS.
Kadangi DoQ yra naujesnis, jis turi keletą pranašumų, palyginti su aukščiau paminėtais protokolais. Pradedantiesiems „DoQ“ siūlo greitesnį veikimą, sumažina bendrą delsą ir pagerina ryšio laiką. Tai lemia greitesnę DNS skiriamąją gebą (laiką, per kurį DNS nustato IP adresą). Galiausiai tai reiškia, kad svetainės jums pateikiamos greičiau.
Dar svarbiau, kad DoQ yra atsparesnis paketų praradimui, palyginti su TCP ir UDP, nes jis gali atsigauti po prarastų paketų nereikalaujant visiško pakartotinio perdavimo, skirtingai nei TCP pagrįsti protokolai.
Be to, daug lengviau perkelti ryšius naudojant QUIC. QUIC apjungia kelis srautus viename jungtyje, sumažindamas ryšiui reikalingų kelionių pirmyn ir atgal skaičių ir taip pagerindamas našumą. Tai taip pat gali būti naudinga perjungiant „Wi-Fi“ ir korinio ryšio tinklus.
QUIC dar turi būti plačiai pritaikytas, palyginti su kitais protokolais. Tačiau tokios įmonės kaip „Apple“, „Google“ ir „Meta“ jau naudoja QUIC, dažnai kurdamos savo versiją („Microsoft“ naudoja MsQUIC visam SMB srautui), o tai žada gerą ateitį.
Ateityje tikimasi daugiau DNS pakeitimų
Tikimasi, kad naujos technologijos iš esmės pakeis mūsų prieigą prie žiniatinklio. Pavyzdžiui, daugelis įmonių dabar naudoja blokų grandinės technologijas, kad sukurtų saugesnius domenų vardų suteikimo protokolus, tokius kaip HNS ir nesustabdomi domenai.