Postoje različiti načini za zaštitu vaših DNS upita, ali svaki pristup dolazi sa svojim snagama i slabostima.
Sustav naziva domena (DNS) naširoko se smatra telefonskim imenikom interneta, koji nazive domena pretvara u informacije koje računala mogu čitati, poput IP adresa.
Kad god napišete naziv domene u adresnu traku, DNS ga automatski pretvara u odgovarajuću IP adresu. Vaš preglednik koristi ove informacije za dohvaćanje podataka s izvornog poslužitelja i učitavanje stranice.
No cyber kriminalci često mogu špijunirati DNS promet, zbog čega je enkripcija neophodna kako bi vaše pregledavanje interneta bilo privatno i sigurno.
Što su DNS protokoli šifriranja?
DNS protokoli enkripcije dizajnirani su za povećanje privatnosti i sigurnosti vaše mreže ili web stranice šifriranjem DNS upita i odgovora. DNS upiti i odgovori redovito se šalju u običnom tekstu, što internetskim kriminalcima olakšava presretanje i neovlašteno mijenjanje komunikacije.
Protokoli za enkripciju DNS-a ovim hakerima sve više otežavaju pregled i izmjenu vaših osjetljivih podataka ili ometanje vaše mreže. Ima raznih
šifrirani DNS pružatelji koji mogu zaštititi vaše upite od znatiželjnih očiju.Najčešći protokoli za šifriranje DNS-a
Danas se koristi nekoliko DNS protokola za enkripciju. Ovi protokoli šifriranja mogu se koristiti za sprječavanje njuškanja po mreži šifriranjem prometa bilo unutar HTTPS protokola preko sigurnosne veze prijenosnog sloja (TLS).
1. DNSCrypt
DNSCrypt je mrežni protokol koji šifrira sav DNS promet između korisničkog računala i općih poslužitelja naziva. Protokol koristi infrastrukturu javnih ključeva (PKI) za provjeru autentičnosti DNS poslužitelja i vaših klijenata.
Koristi dva ključa, javni ključ i privatni ključ za autentifikaciju komunikacije između klijenta i poslužitelja. Kada se pokrene DNS upit, klijent ga šifrira pomoću javnog ključa poslužitelja.
Šifrirani upit zatim se šalje poslužitelju, koji dekriptira upit koristeći svoj privatni ključ. Na taj način DNSCrypt osigurava da je komunikacija između klijenta i poslužitelja uvijek autentificirana i šifrirana.
DNSCrypt je relativno stariji mrežni protokol. Uvelike su ga zamijenili DNS-over-TLS (DoT) i DNS-over-HTTPS (DoH) zbog šire podrške i jačih sigurnosnih jamstava koje pružaju ovi noviji protokoli.
2. DNS-over-TLS
DNS-over-TLS šifrira vaš DNS upit pomoću Transport Layer Security (TLS). TLS osigurava da je vaš DNS upit šifriran s kraja na kraj, sprječavanje napada čovjeka u sredini (MITM)..
Kada koristite DNS-over-TLS (DoT), vaš DNS upit šalje se DNS-over-TLS razrješavaču umjesto nešifriranom razrješavaču. DNS-over-TLS rezolver dešifrira vaš DNS upit i šalje ga autoritativnom DNS poslužitelju u vaše ime.
Zadani port za DoT je TCP port 853. Kada se povežete pomoću DoT-a, i klijent i razrješivač izvode digitalno rukovanje. Zatim, klijent šalje svoj DNS upit putem šifriranog TLS kanala na rezolver.
DNS razrješivač obrađuje upit, pronalazi odgovarajuću IP adresu i šalje odgovor nazad klijentu putem šifriranog kanala. Šifrirani odgovor prima klijent, gdje se dekriptira, a klijent koristi IP adresu za povezivanje na željenu web stranicu ili uslugu.
3. DNS-over-HTTPS
HTTPS je sigurna verzija HTTP-a koja se sada koristi za pristup web stranicama. Kao i DNS-over-TLS, DNS-over-HTTPS (DoH) također šifrira sve informacije prije nego što se pošalju mrežom.
Iako je cilj isti, postoje neke temeljne razlike između DoH i DoT. Za početak, DoH šalje sve šifrirane upite preko HTTPS-a umjesto da izravno stvara TLS vezu za šifriranje vašeg prometa.
Drugo, koristi priključak 403 za opću komunikaciju, što otežava razlikovanje od općeg web prometa. DoT koristi priključak 853, što olakšava prepoznavanje prometa s tog priključka i njegovo blokiranje.
DoH je doživio širu primjenu u web preglednicima kao što su Mozilla Firefox i Google Chrome, budući da iskorištava postojeću HTTPS infrastrukturu. DoT češće koriste operativni sustavi i namjenski DNS rezolveri, umjesto da se izravno integrira u web preglednike.
Dva su glavna razloga zašto je DoH doživio širu primjenu jer ga je puno lakše integrirati u postojeći web preglednicima, i što je još važnije, besprijekorno se stapa s uobičajenim web prometom, što otežava blok.
4. DNS-over-QUIC
U usporedbi s drugim protokolima za enkripciju DNS-a na ovom popisu, DNS-over-QUIC (DoQ) prilično je nov. To je novi sigurnosni protokol koji šalje DNS upite i odgovore preko transportnog protokola QUIC (Quick UDP Internet Connections).
Većina internetskog prometa danas se oslanja na Transmission Control Protocol (TCP) ili User Datagram Protocol (UDP), s DNS upiti koji se obično šalju preko UDP-a. Međutim, QUIC protokol uveden je kako bi se prevladalo nekoliko nedostataka TCP/UDP-a i pomogao smanjiti kašnjenje i poboljšati sigurnost.
QUIC je relativno novi transportni protokol koji je razvio Google, dizajniran da pruži bolje performanse, sigurnost i pouzdanost u usporedbi s tradicionalnim protokolima kao što su TCP i TLS. QUIC kombinira značajke TCP-a i UDP-a, dok također integrira ugrađenu enkripciju sličnu TLS-u.
Budući da je noviji, DoQ nudi nekoliko prednosti u odnosu na gore navedene protokole. Za početak, DoQ nudi brže performanse, smanjujući ukupnu latenciju i poboljšavajući vrijeme povezivanja. To rezultira bržim razrješenjem DNS-a (vrijeme koje je potrebno da DNS razriješi IP adresu). U konačnici, to znači da vam se web stranice brže prikazuju.
Što je još važnije, DoQ je otporniji na gubitak paketa u usporedbi s TCP-om i UDP-om, budući da se može oporaviti od izgubljenih paketa bez potrebe za punim ponovnim prijenosom, za razliku od protokola temeljenih na TCP-u.
Nadalje, puno je lakše migrirati veze i pomoću QUIC-a. QUIC enkapsulira više tokova unutar jedne veze, smanjujući broj povratnih putovanja potrebnih za vezu i time poboljšavajući performanse. Ovo također može biti korisno prilikom prebacivanja između Wi-Fi i mobilnih mreža.
QUIC tek treba biti široko prihvaćen u usporedbi s drugim protokolima. Ali tvrtke poput Applea, Googlea i Meta već koriste QUIC, često stvarajući vlastitu verziju (Microsoft koristi MsQUIC za sav svoj promet malih i srednjih poduzeća), što je dobar slutnja za budućnost.
Očekujte još promjena DNS-a u budućnosti
Očekuje se da će nove tehnologije iz temelja promijeniti način na koji pristupamo webu. Na primjer, mnoge tvrtke sada koriste blockchain tehnologije kako bi osmislile sigurnije protokole za imenovanje domena, kao što su HNS i Unstoppable Domains.
