Υπάρχουν διάφοροι τρόποι για να προστατεύσετε τα ερωτήματά σας στο DNS, αλλά κάθε προσέγγιση έχει τα δικά της δυνατά και αδύνατα σημεία.
Το Σύστημα Ονομάτων Τομέα (DNS) θεωρείται ευρέως ως ο τηλεφωνικός κατάλογος του Διαδικτύου, μετατρέποντας ονόματα τομέα σε πληροφορίες που μπορούν να διαβαστούν από υπολογιστές, όπως διευθύνσεις IP.
Κάθε φορά που γράφετε ένα όνομα τομέα στη γραμμή διευθύνσεων, το DNS το μετατρέπει αυτόματα στην αντίστοιχη διεύθυνση IP του. Το πρόγραμμα περιήγησής σας χρησιμοποιεί αυτές τις πληροφορίες για να ανακτήσει τα δεδομένα από τον διακομιστή προέλευσης και να φορτώσει τον ιστότοπο.
Ωστόσο, οι εγκληματίες του κυβερνοχώρου μπορούν συχνά να κατασκοπεύουν την κυκλοφορία DNS, καθιστώντας την κρυπτογράφηση απαραίτητη για να διατηρήσετε την περιήγησή σας στον ιστό ιδιωτική και ασφαλή.
Τι είναι τα πρωτόκολλα κρυπτογράφησης DNS;
Τα πρωτόκολλα κρυπτογράφησης DNS έχουν σχεδιαστεί για να αυξάνουν το απόρρητο και την ασφάλεια του δικτύου ή του ιστότοπού σας κρυπτογραφώντας ερωτήματα και απαντήσεις DNS. Τα ερωτήματα και οι απαντήσεις DNS αποστέλλονται τακτικά σε απλό κείμενο, γεγονός που διευκολύνει τους εγκληματίες του κυβερνοχώρου να υποκλέψουν και να παραβιάσουν την επικοινωνία.
Τα πρωτόκολλα κρυπτογράφησης DNS καθιστούν ολοένα και πιο δύσκολο για αυτούς τους χάκερ να προβάλουν και να τροποποιήσουν τα ευαίσθητα δεδομένα σας ή να διακόψουν το δίκτυό σας. Υπάρχουν διάφορα κρυπτογραφημένους παρόχους DNS που μπορούν να προστατεύσουν τα ερωτήματά σας από τα αδιάκριτα βλέμματα.
Τα πιο κοινά πρωτόκολλα κρυπτογράφησης DNS
Υπάρχουν πολλά πρωτόκολλα κρυπτογράφησης DNS που χρησιμοποιούνται σήμερα. Αυτά τα πρωτόκολλα κρυπτογράφησης μπορούν να χρησιμοποιηθούν για να αποτρέψουν την κατασκοπεία σε ένα δίκτυο κρυπτογραφώντας την κυκλοφορία είτε εντός του πρωτοκόλλου HTTPS μέσω μιας σύνδεσης ασφάλειας επιπέδου μεταφοράς (TLS).
1. DNSCrypt
Το DNSCrypt είναι ένα πρωτόκολλο δικτύου που κρυπτογραφεί όλη την κίνηση DNS μεταξύ του υπολογιστή του χρήστη και των διακομιστών γενικών ονομάτων. Το πρωτόκολλο χρησιμοποιεί υποδομή δημόσιου κλειδιού (PKI) για να επαληθεύσει την αυθεντικότητα του διακομιστή DNS και των πελατών σας.
Χρησιμοποιεί δύο κλειδιά, ένα δημόσιο κλειδί και ένα ιδιωτικό κλειδί για τον έλεγχο ταυτότητας της επικοινωνίας μεταξύ του πελάτη και του διακομιστή. Όταν εκκινείται ένα ερώτημα DNS, ο πελάτης το κρυπτογραφεί χρησιμοποιώντας το δημόσιο κλειδί του διακομιστή.
Στη συνέχεια, το κρυπτογραφημένο ερώτημα αποστέλλεται στον διακομιστή, ο οποίος αποκρυπτογραφεί το ερώτημα χρησιμοποιώντας το ιδιωτικό του κλειδί. Με αυτόν τον τρόπο, το DNSCrypt διασφαλίζει ότι η επικοινωνία μεταξύ του πελάτη και του διακομιστή είναι πάντα πιστοποιημένη και κρυπτογραφημένη.
Το DNSCrypt είναι ένα σχετικά παλαιότερο πρωτόκολλο δικτύου. Έχει αντικατασταθεί σε μεγάλο βαθμό από το DNS-over-TLS (DoT) και το DNS-over-HTTPS (DoH) λόγω της ευρύτερης υποστήριξης και των ισχυρότερων εγγυήσεων ασφαλείας που παρέχονται από αυτά τα νεότερα πρωτόκολλα.
2. DNS-over-TLS
Το DNS-over-TLS κρυπτογραφεί το ερώτημά σας DNS χρησιμοποιώντας την ασφάλεια επιπέδου μεταφοράς (TLS). Το TLS διασφαλίζει ότι το ερώτημά σας DNS είναι κρυπτογραφημένο από άκρο σε άκρο, πρόληψη επιθέσεων άνθρωπος στη μέση (MITM)..
Όταν χρησιμοποιείτε DNS-over-TLS (DoT), το ερώτημά σας DNS αποστέλλεται σε μια συσκευή επίλυσης DNS-over-TLS αντί για μια μη κρυπτογραφημένη λύση επίλυσης. Η συσκευή επίλυσης DNS-over-TLS αποκρυπτογραφεί το ερώτημά σας DNS και το στέλνει στον έγκυρο διακομιστή DNS για λογαριασμό σας.
Η προεπιλεγμένη θύρα για το DoT είναι η θύρα TCP 853. Όταν συνδέεστε χρησιμοποιώντας DoT, τόσο ο πελάτης όσο και ο επιλύτης εκτελούν μια ψηφιακή χειραψία. Στη συνέχεια, ο πελάτης στέλνει το ερώτημά του DNS μέσω του κρυπτογραφημένου καναλιού TLS στον επιλύτη.
Το πρόγραμμα επίλυσης DNS επεξεργάζεται το ερώτημα, βρίσκει την αντίστοιχη διεύθυνση IP και στέλνει την απάντηση πίσω στον πελάτη μέσω του κρυπτογραφημένου καναλιού. Η κρυπτογραφημένη απάντηση λαμβάνεται από τον πελάτη, όπου αποκρυπτογραφείται και ο πελάτης χρησιμοποιεί τη διεύθυνση IP για να συνδεθεί στον επιθυμητό ιστότοπο ή υπηρεσία.
3. DNS-over-HTTPS
Το HTTPS είναι η ασφαλής έκδοση του HTTP που χρησιμοποιείται πλέον για την πρόσβαση σε ιστότοπους. Όπως το DNS-over-TLS, το DNS-over-HTTPS (DoH) κρυπτογραφεί επίσης όλες τις πληροφορίες πριν αποσταλούν μέσω του δικτύου.
Ενώ ο στόχος είναι ο ίδιος, υπάρχουν ορισμένες θεμελιώδεις διαφορές μεταξύ DoH και DoT. Για αρχή, το DoH στέλνει όλα τα κρυπτογραφημένα ερωτήματα μέσω HTTPS αντί να δημιουργεί απευθείας μια σύνδεση TLS για την κρυπτογράφηση της επισκεψιμότητάς σας.
Δεύτερον, χρησιμοποιεί τη θύρα 403 για γενική επικοινωνία, γεγονός που καθιστά δύσκολη τη διαφοροποίηση από τη γενική κίνηση ιστού. Το DoT χρησιμοποιεί τη θύρα 853, καθιστώντας πολύ πιο εύκολο τον εντοπισμό της κυκλοφορίας από αυτήν τη θύρα και τον αποκλεισμό της.
Το DoH έχει λάβει ευρύτερη υιοθέτηση σε προγράμματα περιήγησης ιστού όπως το Mozilla Firefox και το Google Chrome, καθώς αξιοποιεί την υπάρχουσα υποδομή HTTPS. Το DoT χρησιμοποιείται πιο συχνά από λειτουργικά συστήματα και αποκλειστικούς αναλυτές DNS, αντί να ενσωματώνεται απευθείας σε προγράμματα περιήγησης ιστού.
Δύο βασικοί λόγοι για τους οποίους το DoH έχει λάβει ευρύτερη υιοθέτηση είναι επειδή είναι πολύ πιο εύκολο να ενσωματωθεί στον υπάρχοντα ιστό προγράμματα περιήγησης, και το πιο σημαντικό, συνδυάζεται άψογα με την κανονική κυκλοφορία ιστού, καθιστώντας το πολύ πιο δύσκολο ΟΙΚΟΔΟΜΙΚΟ ΤΕΤΡΑΓΩΝΟ.
4. DNS-over-QUIC
Σε σύγκριση με τα άλλα πρωτόκολλα κρυπτογράφησης DNS σε αυτήν τη λίστα, το DNS-over-QUIC (DoQ) είναι αρκετά νέο. Είναι ένα αναδυόμενο πρωτόκολλο ασφαλείας που στέλνει ερωτήματα και απαντήσεις DNS μέσω του πρωτοκόλλου μεταφοράς QUIC (Quick UDP Internet Connections).
Το μεγαλύτερο μέρος της διαδικτυακής κίνησης σήμερα βασίζεται στο Πρωτόκολλο Ελέγχου Μεταφοράς (TCP) ή στο Πρωτόκολλο Δεδομένων Χρήστη (UDP), με τα ερωτήματα DNS που συνήθως αποστέλλονται μέσω UDP. Ωστόσο, το πρωτόκολλο QUIC εισήχθη για να ξεπεράσει μερικά μειονεκτήματα του TCP/UDP και συμβάλλει στη μείωση της καθυστέρησης και στη βελτίωση της ασφάλειας.
Το QUIC είναι ένα σχετικά νέο πρωτόκολλο μεταφοράς που αναπτύχθηκε από την Google, σχεδιασμένο για να παρέχει καλύτερη απόδοση, ασφάλεια και αξιοπιστία σε σύγκριση με τα παραδοσιακά πρωτόκολλα όπως το TCP και το TLS. QUIC συνδυάζει χαρακτηριστικά τόσο του TCP όσο και του UDP, ενώ ενσωματώνει επίσης ενσωματωμένη κρυπτογράφηση παρόμοια με το TLS.
Δεδομένου ότι είναι νεότερο, το DoQ προσφέρει πολλά πλεονεκτήματα σε σχέση με τα πρωτόκολλα που αναφέρονται παραπάνω. Για αρχή, το DoQ προσφέρει ταχύτερη απόδοση, μειώνοντας τη συνολική καθυστέρηση και βελτιώνοντας τους χρόνους συνδεσιμότητας. Αυτό έχει ως αποτέλεσμα ταχύτερη ανάλυση DNS (ο χρόνος που χρειάζεται για να επιλύσει το DNS τη διεύθυνση IP). Σε τελική ανάλυση, αυτό σημαίνει ότι οι ιστότοποι σας εξυπηρετούνται πιο γρήγορα.
Το πιο σημαντικό, το DoQ είναι πιο ανθεκτικό στην απώλεια πακέτων σε σύγκριση με το TCP και το UDP, καθώς μπορεί να ανακτήσει από χαμένα πακέτα χωρίς να απαιτείται πλήρης αναμετάδοση, σε αντίθεση με τα πρωτόκολλα που βασίζονται στο TCP.
Επιπλέον, είναι πολύ πιο εύκολο να μετεγκαταστήσετε συνδέσεις χρησιμοποιώντας και το QUIC. Το QUIC ενσωματώνει πολλαπλές ροές σε μία μόνο σύνδεση, μειώνοντας τον αριθμό των δρομολογίων μετ' επιστροφής που απαιτούνται για μια σύνδεση και, ως εκ τούτου, βελτιώνοντας την απόδοση. Αυτό μπορεί επίσης να είναι χρήσιμο κατά την εναλλαγή μεταξύ Wi-Fi και δικτύων κινητής τηλεφωνίας.
Το QUIC δεν έχει ακόμη υιοθετηθεί ευρέως σε σύγκριση με άλλα πρωτόκολλα. Ωστόσο, εταιρείες όπως η Apple, η Google και η Meta χρησιμοποιούν ήδη το QUIC, δημιουργώντας συχνά τη δική τους έκδοση (η Microsoft χρησιμοποιεί το MsQUIC για όλη την επισκεψιμότητα SMB), κάτι που προμηνύεται καλά για το μέλλον.
Αναμένετε περισσότερες αλλαγές στο DNS στο μέλλον
Οι αναδυόμενες τεχνολογίες αναμένεται να αλλάξουν ριζικά τον τρόπο πρόσβασης στον Ιστό. Για παράδειγμα, πολλές εταιρείες χρησιμοποιούν τώρα τεχνολογίες blockchain για να καταλήξουν σε ασφαλέστερα πρωτόκολλα ονοματοδοσίας τομέα, όπως HNS και Unstoppable Domains.
