Ce este Traficul DNS criptat?

Explicator

DeJeff Butts

Publicat24 august 2023

În tărâmul vast, interconectat al internetului, Sistemul de nume de domeniu (DNS) acționează ca un ghid esențial, traducând nume de domenii prietenoase pentru oameni precum „example.com” în adrese IP pe care mașinile le înțeleg. De fiecare dată când vizitați un site web sau trimiteți un e-mail, se face o interogare DNS, care servește drept punte între intenția umană și acțiunea mașinii. Cu toate acestea, de ani de zile, aceste interogări DNS au fost expuse și transmise în text simplu, făcându-le o mină de aur pentru snoopers, hackeri și chiar unii furnizori de servicii de internet (ISP) care caută informații despre internetul utilizatorilor comportamentelor. Introduceți conceptul de „trafic DNS criptat”, care își propune să protejeze aceste căutări vitale, încapsulându-le în straturi de protecție criptografică.

Problema cu DNS-ul tradițional

Înainte de a aborda o descriere a traficului DNS criptat, probabil că ar trebui să vorbim despre traficul DNS în general. Sistemul de nume de domeniu (DNS) este un cheie în tărâmul nostru digital. Gândiți-vă la el ca la un director complex pentru Internet; rolul său nu este doar de a face navigarea online intuitivă pentru utilizatori, ci și de a spori rezistența serviciilor online.

În esență, DNS-ul face o punte între ele adresă de internet prietenoasă cu oamenii și mașinilor formate. Pentru un utilizator obișnuit, în loc să reamintească o adresă IP complexă (Internet Protocol) precum „104.25.98.13” (reprezentând adresa sa IPv4) sau 2400:cb00:2048:1:6819:630d (formatul IPv6), se poate introduce pur și simplu „groovypost.com” într-un browser.

În timp ce pentru oameni, beneficiul este clar, pentru aplicații și dispozitive, funcția DNS ia o nuanță ușor diferită. Valoarea sa nu este neapărat în sprijinirea memoriei - la urma urmei, software-ul nu se luptă cu uitarea așa cum facem noi. În schimb, DNS, în acest caz, întărește rezistența.

Cum, întrebi? Prin DNS, organizațiile nu sunt limitate la un singur server. În schimb, își pot dispersa prezența pe o multitudine de servere. Acest sistem dă putere DNS să direcționează un utilizator către cel mai optim server pentru nevoile lor. Poate duce un utilizator la un server din apropiere, eliminând probabilitatea unei experiențe lente, predispuse la decalaj.

Această direcție strategică este piatra de temelie pentru majoritatea serviciilor cloud, unde DNS joacă un rol esențial în legarea utilizatorilor la o resursă de calcul din apropiere.

Preocupări de confidențialitate în DNS

Din păcate, DNS constituie o problemă potențială majoră de confidențialitate. Fără o formă de criptare care să ofere un scut de protecție pentru comunicarea dispozitivului dvs. cu soluția DNS, riscați accesul nejustificat sau modificările schimburilor DNS.

Aceasta include intruziunile persoanelor pe Wi-Fi, furnizorul de servicii de internet (ISP) și chiar intermediari. Ramificațiile? Confidențialitate compromisă, deoarece persoanele din afară discern numele de domenii pe care le frecventați.

În esență, criptarea a susținut întotdeauna a internet securizat si privatt experiență de navigare. În timp ce discernăm că un utilizator a accesat „groovypost.com” ar putea părea banal, într-un context mai grandios, devine un portal pentru înțelegerea comportamentului online al unei persoane, a predilecțiilor și, potențial, obiective.

Astfel de date culese se pot metamorfoza în mărfuri, vândute unor entități pentru câștiguri financiare sau folosite de actori răuvoitori pentru a orchestra subterfugiile fiscale.

Un raport realizat de Consiliul Internațional de Securitate Neustar în 2021 a luminat această amenințare, dezvăluind că 72% dintre întreprinderi s-au confruntat cu cel puțin o incursiune DNS în anul precedent.

În plus, 58% dintre aceste întreprinderi au avut consecințe semnificative ale incursiunilor. Pe măsură ce încălcările DNS cresc, traficul DNS criptat apare ca un bastion împotriva unei game de amenințări, inclusiv spionaj, falsificare și diverse stratageme DNS sofisticate.

Trafic DNS criptat: o scufundare profundă

Traficul DNS criptat transformă datele DNS transparente într-un format securizat, descifrabil numai de entitățile care comunică: clientul DNS (cum ar fi browserele sau dispozitivele de rețea) și rezolutorul DNS.

Evoluția criptării DNS

Inițial, DNS nu a fost încorporat cu atribute de securitate. Nașterea DNS-ului a venit într-un moment în care Internetul era în curs de dezvoltare, lipsit de comerț online, servicii bancare sau vitrine digitale. Criptarea DNS părea redundantă.

Cu toate acestea, pe măsură ce ne îndreptăm către peisajul actual – marcat de o înflorire a afacerilor electronice și de o creștere a amenințărilor cibernetice – nevoia de mai multă securitate în ceea ce privește confidențialitatea DNS a devenit clară.

Două protocoale de criptare proeminente au apărut pentru a răspunde acestei nevoi: DNS over TLS (DoT) și DNS over HTTPS (DoH).

DNS prin TLS (DoT)

DoT folosește Securitatea stratului de transport (TLS) protocol pentru protejarea și încapsularea dialogurilor DNS. În mod intrigant, TLS – recunoscut în mod obișnuit de un alt moniker, SSL – alimentează criptarea și autentificarea site-ului web HTTPS.

Pentru interacțiunile DNS, DoT folosește protocolul de datagramă utilizator (UDP), cuplat cu protecție TLS. Ambiția de conducere? Amplifică confidențialitatea utilizatorilor și împiedică potențialii actori rău intenționați care urmăresc să intercepteze sau să modifice datele DNS.

Portul 853 este portul predominant printre locuitorii digitali pentru DoT. Susținătorii standardului DoT își afirmă adesea potența în a se confrunta cu provocările legate de drepturile omului în regiuni tumultuoase.

Cu toate acestea, în țările în care exprimarea liberă se confruntă cu restrângerea, aura protectoare a DoT ar putea în mod ironic să pună în evidență utilizatorii, făcându-i ținte pentru regimuri supresive.

DNS prin HTTPS (DoH)

DoH, în esența sa, utilizează HTTPS pentru interpretări DNS la distanță și operează în principal prin portul 443. Pentru o funcționare cu succes, rezolutorii au nevoie de un server DoH care găzduiește un punct final de interogare.

Adoptarea DOH peste browsere

De la versiunea Google Chrome 83 atât pe Windows, cât și pe macOS, browserul a îmbrățișat DoH, accesibil prin setările sale. Cu configurarea corectă a serverului DNS, Chrome accentuează solicitările DNS prin criptare.

În plus, toată lumea are autonomie de a-și alege serverul DoH preferat. Chrome chiar se integrează cu diverși furnizori DoH, cum ar fi Google Public DNS și Cloudflare.

Microsoft Edge oferă, de asemenea suport încorporat pentru DoH, navigabil prin setările sale. Când este activat și asociat cu un server DNS compatibil, Edge asigură că interogările DNS rămân criptate.

Într-o colaborare cu Cloudflare în 2018, Mozilla Firefox a integrat DoH, cunoscut sub numele de Trusted Recursive Resolver. Din 25 februarie 2020, pasionații Firefox din S.U.A. ar putea valorifica DoH cu Cloudflare acționând ca soluție implicită.

Pentru a nu fi omis, utilizatorii Opera pot, de asemenea, să activeze sau să dezactiveze DoH prin setările browserului, direcționând implicit cererile DNS către Cloudflare.

Integrarea DOH cu sistemul de operare

Din punct de vedere istoric, sistemele de operare Microsoft au ezitat să îmbrățișeze tehnologia de avangardă. Windows 10, totuși, a virat către viitor, permițând utilizatorilor să activeze DoH prin setările sale.

Apple s-a aventurat mai departe, introducând tehnici de criptare centrate pe aplicații. Această mișcare revoluționară dă putere dezvoltatorilor de aplicații să încorporeze configurațiile lor DNS criptate distincte, făcând uneori controalele tradiționale învechite.

Orizontul extins al traficului DNS criptat simbolizează evoluția tărâmului digital, subliniind căutarea perpetuă pentru securitate fortificată și confidențialitate sporită.

Controversa care însoțește DNS-ul criptat

În timp ce criptarea traficului DNS întărește confidențialitatea și sporește confidențialitatea utilizatorilor cu măsuri de protecție precum ODoH, nu toată lumea acceptă această schimbare. Diviziunea se află în primul rând între utilizatorii finali și operatorii de rețea.

Din punct de vedere istoric, operatorii de rețea au accesat interogările DNS la contracarează sursele de malware și alte conținuturi nedorite. Efortul lor de a susține aceste practici pentru nevoile legitime de securitate și management al rețelei este, de asemenea, punctul central al grupului de lucru IETF ADD (Adaptive DNS Discovery).

În esență, dezbaterea poate fi caracterizată ca: „criptare universală” versus „suveranitatea rețelei”. Iată o explorare detaliată:

Criptare universală a traficului DNS

Majoritatea metodelor de criptare se bazează pe solutoarele DNS care sunt configurate pentru criptare. Cu toate acestea, aceste soluții care acceptă criptarea cuprind doar o mică parte din total.

Centralizarea sau consolidarea soluțiilor DNS este o problemă care se profilează. Cu opțiuni limitate, această centralizare creează ținte tentante pentru entitățile răuvoitoare sau supraveghere intruzivă.

Majoritatea configurațiilor DNS criptate permit utilizatorilor să-și aleagă soluția. Cu toate acestea, a face o alegere informată poate fi descurajantă pentru o persoană obișnuită. Opțiunea implicită ar putea să nu fie întotdeauna optimă din diverse motive, cum ar fi jurisdicția gazdă a soluției.

Evaluarea fiabilității operatorilor de server centralizați este complicată. Adesea, trebuie să depindem de declarațiile publice de confidențialitate și, eventual, de autoevaluările sau evaluările de la terți.

Recenziile externe nu sunt întotdeauna solide. Predominant, ei își bazează concluziile pe datele furnizate de către auditați, renunțând la o investigație aprofundată și practică. De-a lungul timpului, este posibil ca aceste audituri să nu reflecte cu acuratețe practicile unui operator, mai ales dacă există schimbări organizaționale.

DNS criptat este doar o fațetă a navigării pe internet. Mai multe alte surse de date pot urmări în continuare utilizatorii, făcând DNS-ul criptat o metodă de atenuare, nu un remediu. Aspecte ca metadate necriptate rămân accesibile și informative.

Criptarea poate proteja traficul DNS, dar anumite segmente de conexiune HTTPS rămân transparente. În plus, DNS criptat poate ocoli listele de blocare bazate pe DNS, deși accesarea site-urilor direct prin IP-ul lor face același lucru.

Pentru a contracara cu adevărat urmărirea și supravegherea, utilizatorii ar trebui să exploreze soluții cuprinzătoare, cum ar fi rețelele private virtuale (VPN) și Tor, făcând controlul traficului mai dificil.

Poziția „suveranității rețelei”

Criptarea ar putea reduce capacitatea unui operator de a controla și ulterior de a reglementa sau de a rectifica operațiunile de rețea. Acest lucru este esențial pentru funcționalități precum controlul parental, vizibilitatea interogărilor DNS corporative și detectarea programelor malware.

Ascensiunea protocoalelor Bring Your Own Device (BYOD), permițând utilizatorilor să interacționeze cu sistemele securizate utilizarea dispozitivelor personale, introduce complexități, în special în sectoare stricte precum finanțele și sănătate.

Pe scurt, în timp ce DNS-ul criptat oferă confidențialitate și securitate îmbunătățite, adoptarea sa a stârnit o dezbatere plină de viață, subliniind echilibrul complicat dintre confidențialitatea utilizatorilor și gestionarea rețelei.

Concluzia: Bazați-vă pe traficul DNS criptat sau vizualizați-l ca un instrument de confidențialitate

Într-o epocă a amenințărilor cibernetice în creștere și a preocupărilor în creștere cu privire la confidențialitate, protejarea amprentei digitale nu a fost niciodată mai critică. Unul dintre elementele de bază în această frontieră digitală este sistemul de nume de domeniu (DNS). În mod tradițional, totuși, aceste solicitări DNS au fost efectuate în text simplu, expuse oricăror priviri indiscrete care ar putea privi, fie că este vorba de infractorii cibernetici sau de terțe părți. Traficul DNS criptat a apărut ca o soluție pentru a elimina această vulnerabilitate.

Depinde de dvs. să determinați cel mai bun mod de a utiliza DNS criptat. Vă puteți baza pe o soluție software, cum ar fi caracteristicile browserului oferite de Microsoft Edge, Google Chrome și altele. Dacă utilizați OpenDNS pe routerul dvs, totuși, ar trebui să luați în considerare și împerecherea acestuia cu DNSCrypt pentru securitate completă.