Co je to šifrovaný provoz DNS?

Vysvětlovač

PodleJeff Butts

Publikováno24. srpna 2023

V rozsáhlé, propojené oblasti internetu, Domain Name System (DNS) funguje jako stěžejní průvodce, který překládá uživatelsky přívětivá doménová jména jako „example.com“ na IP adresy, kterým stroje rozumí. Pokaždé, když navštívíte webovou stránku nebo odešlete e-mail, provede se dotaz DNS, který slouží jako most mezi lidským záměrem a akcí stroje. Po celá léta však byly tyto DNS dotazy odhalovány a přenášeny v prostém textu, což z nich činilo zlatý důl slídiči, hackeři a dokonce i někteří poskytovatelé internetových služeb (ISP), kteří hledají informace o internetu uživatelů chování. Vstupte do konceptu „šifrovaného provozu DNS“, jehož cílem je chránit tato životně důležitá vyhledávání a zapouzdřit je do vrstev kryptografické ochrany.

Problém s tradiční DNS

Než se ponoříme do popisu šifrovaného provozu DNS, měli bychom pravděpodobně mluvit o provozu DNS obecně. Systém doménových jmen (DNS) je základním pilířem naší digitální říše. Představte si to jako složitý adresář pro Internet; jeho úlohou není jen učinit online navigaci pro uživatele intuitivní, ale také zvýšit odolnost online služeb.

Ve svém jádru DNS překlenuje mezeru mezi nimi internetová adresa vhodná pro lidi i stroje formátů. Pro běžného uživatele místo vyvolání složité adresy IP (Internet Protocol) jako „104.25.98.13“ (představující jeho adresu IPv4) nebo 2400:cb00:2048:1:6819:630d (formát IPv6), lze jednoduše zadat „groovypost.com“ do prohlížeč.

Zatímco pro člověka je přínos jasný, pro aplikace a zařízení má funkce DNS trochu jiný odstín. Jeho hodnota nespočívá nutně v podpoře paměti – koneckonců, software se nepotýká se zapomněním jako my. Místo toho DNS v tomto případě posiluje odolnost.

Jak, ptáte se? Prostřednictvím DNS nejsou organizace omezeny na jeden server. Místo toho mohou svou přítomnost rozptýlit na množství serverů. Tento systém umožňuje DNS nasměrovat uživatele na nejoptimálnější server pro jejich potřeby. To může vést uživatele k serveru v blízkosti, čímž se eliminuje pravděpodobnost pomalého a zpožděného zážitku.

Tento strategický směr je základním kamenem většiny cloudových služeb, kde DNS hraje klíčovou roli při propojování uživatelů s blízkými výpočetními zdroji.

Ochrana osobních údajů v DNS

Bohužel DNS představuje potenciálně velký problém s ochranou soukromí. Bez nějaké formy šifrování, která by poskytla ochranný štít pro komunikaci vašeho zařízení s DNS resolverem, riskujete neoprávněný přístup nebo změny vašich DNS výměn.

To zahrnuje vniknutí jednotlivců do vaší Wi-Fi, vašeho poskytovatele internetových služeb (ISP) a dokonce i zprostředkovatelů. Důsledky? Ohrožení soukromí, protože lidé zvenčí rozeznávají názvy domén, které často používáte.

Ve svém jádru šifrování vždy prosazovalo a bezpečný a soukromý internett zážitek z prohlížení. Rozpoznání, že uživatel přistupoval na stránku „groovypost.com“ se může zdát triviální, v širším kontextu se stává portálem k pochopení chování člověka na internetu, jeho zálib a potenciálně cíle.

Takto nasbíraná data se mohou proměnit v komodity, prodané entitám za účelem finančního zisku nebo vyzbrojené zlovolnými aktéry, aby zorganizovali fiskální podvod.

Zpráva kurátorem Neustar International Security Council v roce 2021 tuto hrozbu osvětlil a odhalil, že ohromujících 72 % podniků čelilo v předchozím roce alespoň jedné invazi DNS.

Navíc 58 % těchto podniků zažilo významné následky invazí. S nárůstem prostupů DNS se šifrovaný provoz DNS objevuje jako hráz proti řadě hrozeb, včetně špionáže, spoofingu a různých sofistikovaných DNS triků.

Šifrovaný provoz DNS: Hluboký ponor

Šifrovaný provoz DNS převádí transparentní data DNS do zabezpečeného formátu, který mohou dešifrovat pouze komunikující entity: klient DNS (jako jsou prohlížeče nebo síťová zařízení) a překladač DNS.

Vývoj šifrování DNS

Původně DNS neměl zabudované bezpečnostní atributy. Zrození DNS přišlo v době, kdy se internet zrodil, postrádal online obchod, bankovnictví nebo digitální obchody. Šifrování DNS se zdálo nadbytečné.

Jak se však obracíme k dnešnímu prostředí – poznamenanému rozkvětem e-businessu a vzestupem kybernetických hrozeb –, potřeba většího zabezpečení soukromí DNS se jasně ukázala.

Pro řešení této potřeby se objevily dva prominentní šifrovací protokoly: DNS přes TLS (DoT) a DNS přes HTTPS (DoH).

DNS přes TLS (DoT)

DoT zaměstnává Transport Layer Security (TLS) protokol pro ochranu a zapouzdření dialogů DNS. Je zajímavé, že TLS – běžně uznávaný jiným přezdívkou, SSL – zajišťuje šifrování a ověřování webových stránek HTTPS.

Pro interakce DNS využívá DoT protokol uživatelských datagramů (UDP) spojený s ochranou TLS. Jízdní ambice? Zvyšte soukromí uživatelů a zmařte potenciální škodlivé aktéry, kteří chtějí zachytit nebo upravit data DNS.

Port 853 stojí jako převládající port mezi digitálními obyvateli pro DoT. Zastánci standardu DoT často prosazují jeho sílu při řešení problémů v oblasti lidských práv v bouřlivých regionech.

Nicméně v zemích, kde svoboda projevu čelí omezování, může ochranná aura DoT ironicky upozornit na uživatele a učinit z nich cíle potlačujících režimů.

DNS přes HTTPS (DoH)

DoH ve své podstatě využívá HTTPS pro vzdálené interpretace DNS a primárně funguje přes port 443. K úspěšnému fungování potřebují resolvery server DoH hostující koncový bod dotazu.

Přijetí DOH napříč prohlížeči

Od verze Google Chrome 83 na Windows i macOS prohlížeč zahrnuje DoH, přístupný přes jeho nastavení. Při správném nastavení serveru DNS Chrome zvýrazňuje požadavky DNS pomocí šifrování.

Navíc si každý může vybrat svůj preferovaný server DoH. Chrome se dokonce integruje s různými poskytovateli DoH, jako je Google Public DNS a Cloudflare.

Microsoft Edge také poskytuje vestavěná podpora pro DoH, procházet přes jeho nastavení. Po aktivaci a spárování s kompatibilním DNS serverem Edge zajistí, že DNS dotazy zůstanou šifrované.

Ve spolupráci s Cloudflare v roce 2018 Mozilla Firefox integroval DoH, známý jako Trusted Recursive Resolver. Od 25. února 2020 by američtí milovníci Firefoxu mohli využít DoH s Cloudflare fungujícím jako výchozí resolver.

Uživatelé Opery mohou také zapínat nebo vypínat DoH prostřednictvím nastavení prohlížeče a ve výchozím nastavení směrovat požadavky DNS na Cloudflare.

Integrace DOH s operačním systémem

Historicky, operační systémy společnosti Microsoft váhali s přijetím avantgardní techniky. Windows 10 se však otočil směrem k budoucnosti a umožnil uživatelům aktivovat DoH prostřednictvím jeho nastavení.

Apple se odvážil dále a zavedl techniky šifrování zaměřené na aplikace. Tento průlomový krok umožňuje vývojářům aplikací začlenit své odlišné šifrované konfigurace DNS, což někdy činí tradiční ovládací prvky zastaralými.

Rozsáhlý horizont šifrovaného provozu DNS symbolizuje evoluci digitální říše a zdůrazňuje neustálé hledání zesíleného zabezpečení a lepšího soukromí.

Kontroverze doprovázející šifrované DNS

Zatímco šifrování DNS provozu posiluje důvěrnost a zvyšuje soukromí uživatelů pomocí ochranných opatření, jako je ODoH, ne každý tento posun podporuje. Rozpor leží především mezi koncovými uživateli a provozovateli sítí.

Historicky síťoví operátoři přistupovali k dotazům DNS mařit zdroje malwaru a další nežádoucí obsah. Jejich snaha prosazovat tyto postupy pro legitimní potřeby zabezpečení a správy sítě je také ústředním bodem pracovní skupiny IETF ADD (Adaptive DNS Discovery).

Debatu lze v podstatě charakterizovat jako: „univerzální šifrování“ versus „suverenita sítě“. Zde je podrobný průzkum:

Univerzální šifrování provozu DNS

Většina metod šifrování závisí na překladačích DNS, které jsou konfigurovány pro šifrování. Tyto překladače podporující šifrování však tvoří pouze nepatrný zlomek z celkového počtu.

Centralizace nebo konsolidace DNS resolverů je rýsující se problém. S omezenými možnostmi vytváří tato centralizace lákavé cíle pro zlovolné entity nebo rušivé sledování.

Většina konfigurací šifrovaných DNS umožňuje uživatelům vybrat si svůj překladač. Učinit informovanou volbu však může být pro průměrného jednotlivce skličující. Výchozí možnost nemusí být vždy optimální z různých důvodů, jako je jurisdikce hostitele překladače.

Měření spolehlivosti operátorů centralizovaných serverů je složité. Často se člověk musí spolehnout na jejich prohlášení o ochraně soukromí a potenciálně na jejich sebehodnocení nebo hodnocení třetích stran.

Externí recenze nejsou vždy spolehlivé. Své závěry zakládají především na údajích poskytnutých kontrolovanými subjekty, přičemž se zříkají hloubkového a praktického šetření. V průběhu času nemusí tyto audity přesně odrážet postupy operátora, zejména pokud dojde k organizačním změnám.

Šifrované DNS je pouze jedním aspektem procházení internetu. Mnoho dalších zdrojů dat může stále sledovat uživatele, takže šifrované DNS je zmírňující metoda, nikoli všelék. Aspekty jako nezašifrovaná metadata zůstat přístupné a informativní.

Šifrování může chránit provoz DNS, ale konkrétní segmenty připojení HTTPS zůstávají transparentní. Šifrované DNS může navíc obejít seznamy blokovaných serverů založené na DNS, i když přímý přístup na stránky prostřednictvím jejich IP dělá totéž.

Aby bylo možné skutečně čelit sledování a dohledu, měli by uživatelé prozkoumat komplexní řešení, jako jsou virtuální privátní sítě (VPN) a Tor, díky čemuž bude kontrola provozu náročnější.

Postoj „suverenity sítě“

Šifrování by mohlo omezit schopnost operátora kontrolovat a následně regulovat nebo opravovat síťové operace. To je klíčové pro funkce, jako je rodičovská kontrola, viditelnost firemních dotazů DNS a detekce malwaru.

Vzestup protokolů Bring Your Own Device (BYOD), které uživatelům umožňují interakci se zabezpečenými systémy používání osobních zařízení přináší složitosti, zejména v přísných odvětvích, jako jsou finance a zdravotní péče.

Stručně řečeno, i když šifrovaný DNS nabízí vylepšené soukromí a zabezpečení, jeho přijetí vyvolalo temperamentní debatu a zdůraznilo složitou rovnováhu mezi soukromím uživatelů a správou sítě.

Shrnutí: Spolehněte se na šifrovaný provoz DNS nebo jej zobrazte jako jeden nástroj ochrany osobních údajů

Ve věku eskalujících kybernetických hrozeb a rostoucích obav o soukromí nebylo nikdy důležitější chránit vlastní digitální stopu. Jedním ze základních prvků této digitální hranice je Domain Name System (DNS). Tradičně však byly tyto požadavky DNS prováděny v prostém textu, vystaveny všem zvědavým očím, které by se mohly dívat, ať už šlo o kyberzločince nebo přesahující třetí strany. Šifrovaný provoz DNS se ukázal jako řešení k překonání této chyby zabezpečení.

Je na vás, abyste určili nejlepší způsob použití šifrovaného DNS. Můžete se spolehnout na softwarové řešení, jako jsou funkce prohlížeče nabízené Microsoft Edge, Google Chrome a dalšími. Pokud použijete OpenDNS na vašem routeru, ale měli byste také zvážit spárování s DNSCrypt pro všestrannou bezpečnost.