Secure DNS: mi már nem félünk a farkastól!

Secure DNS: mi már nem félünk a farkastól!

Menjünk sorban!

Azt biztosan tudod, hogy a DNS az internet telefonkönyve.

A DNS-feloldók a doménneveket számítógéppel olvasható IP-címekké fordítják. Ennek a célja az egyszerűsítés, egy doménnevet (pl. www.example.com) sokkal könnyebb megjegyezni, mint egy IP-címet, mint például 91.195.240.126 (IPv4) vagy 2001:0db8:85a3:0000:0000:8a2e:0370:7334 (IPv6).

Ha bevezették mindenhol a titkosított HTTPS kapcsolatokat, akkor miért kellene aggódni a DNS miatt?

Azért, mert alapértelmezés szerint a DNS-lekérdezések és válaszok egyszerű szövegben (UDP -n keresztül) kerülnek elküldésre, ami azt jelenti, hogy a hálózatok üzemeltetői, az internetszolgáltatók vagy bárki, aki képes figyelni a hálózati átvitelt, elolvashatja őket.

Még akkor is, ha egy webhely HTTPS -t használ, az adott webhelyre történő navigáláshoz szükséges DNS-lekérdezés látható!

Képzeld el úgy a hagyományos titkosítatlan DNS-lekérdezést, mint egy egyszerű képeslapot: ha valaki megfordítja, látja a hátoldalára írt szöveget.

Senki sem szereti, ha „kémkednek” utána. Mit lehet tenni ez ellen? 

Ma már számos lehetőség kínálkozik ennek a kiküszöbölésére, még olyan egyszerű funkciók is, amikhez nem kell magasfokú szakértelem.

A két legelterjedtebb opció a DoT és a DoH, így már a DNS-lekérdezések TLS-en vagy HTTPS-en keresztül védettek lesznek a támadókkal szemben.

DNS over TLS (Transport Layer Security, a TLS-t „SSL-nek" is szokták hívni).
Ugyanazt a biztonsági protokollt, a TLS-t használja, mint a HTTPS-t használó webhelyek és hálózati eszközök a kommunikáció titkosításához és hitelesítéséhez. A DoT TLS-titkosítást ad az UDP mellé, így tudja biztosítani a kívánt védelmet. Dedikált portot használ (ez a 853-as), de bárki, aki felügyeli a hálózatot, láthatja a DoT forgalmat is, annak ellenére, hogy maguk a kérések és válaszok titkosítottak.

DNS a HTTPS-en keresztül.
A DoH segítségével a DNS-lekérdezések és válaszok szintén titkosítva vannak és nem közvetlenül az UDP-n keresztül kerülnek elküldésre. A DoT-hez hasonlóan a DoH biztosítja, hogy a támadók ne hamisíthassák vagy módosíthassák a DNS-forgalmat. A DoH-forgalom a hálózati rendszergazdák szemszögéből úgy néz ki, mint a többi HTTPS-forgalom, mert a 443-as portot használja.

Ezt így nehéz eldönteni, hogy fekete vagy fehér, mérlegelés kérdése. Hálózatbiztonság szempontjából a DoT jobb, adatvédelmi szempontból azonban a DoH előnyösebb.

A DoT lehetővé teszi a hálózati rendszergazdák számára a DNS-lekérdezések figyelését és blokkolását, ami fontos a rosszindulatú forgalom azonosításához és megállításához. Ezzel ellentétben a DoH-lekérdezések el vannak rejtve a normál HTTPS-forgalomban, így nehezebb blokkolni.

Adatvédelmi szempontból azonban a DoH előnyösebb. A DNS-lekérdezések el vannak rejtve, ez kevesebb láthatóságot biztosít a hálózati rendszergazdáknak, de nagyobb adatvédelmet biztosít a felhasználóknak.

Attól függően, hogy mi a cél, több lehetőség is rendelkezésre áll. A mai modern böngészőkben csupán néhány kattintás, és már működik is a DoH, egy legördülő menüből kell kiválasztanod a kívánt DNS-szervert. Operációs rendszerek is támogatják ezt a beállítást, itt már azért több, mert a hálózati beállításokat is módosítani kell. Ha eszközként akarod használni, abban ez esetben ezt közvetlenül a routerben is konfigurálhatod, ilyenre alkalmasak például a Mikrotik routerek.

 Összességében mindenkinek ajánlott a DoH vagy a DoT használata. Cégek, felügyelt hálózatok esetében persze más a helyzet, mert ott a rendszerért felelős személyek, a hálózat üzemeltetői döntik el ezeknek a biztonsági lehetőségeknek a bevezetését, és a rendszer konfigurálását is ők végzik el.