Existujú rôzne spôsoby ochrany vašich DNS dotazov, ale každý prístup má svoje silné a slabé stránky.
Systém názvov domén (DNS) je všeobecne považovaný za telefónny zoznam internetu, ktorý konvertuje názvy domén na informácie, ktoré môžu čítať počítače, napríklad adresy IP.
Kedykoľvek napíšete názov domény do panela s adresou, DNS ho automaticky skonvertuje na zodpovedajúcu IP adresu. Váš prehliadač používa tieto informácie na získanie údajov z pôvodného servera a načítanie stránky.
Počítačoví zločinci však môžu často špehovať prenos DNS, takže je potrebné šifrovanie, aby bolo vaše prehliadanie webu súkromné a bezpečné.
Čo sú šifrovacie protokoly DNS?
Protokoly šifrovania DNS sú navrhnuté tak, aby zvýšili súkromie a bezpečnosť vašej siete alebo webovej lokality šifrovaním dotazov a odpovedí DNS. Dotazy a odpovede DNS sa pravidelne odosielajú ako obyčajný text, čo kyberzločincom uľahčuje komunikáciu a manipuláciu s ňou.
Šifrovacie protokoly DNS týmto hackerom stále viac sťažujú zobrazenie a úpravu vašich citlivých údajov alebo narušenie vašej siete. Existujú rôzne
šifrovaných poskytovateľov DNS, ktorí dokážu ochrániť vaše dopyty pred zvedavými očami.Najbežnejšie šifrovacie protokoly DNS
V súčasnosti sa používa niekoľko šifrovacích protokolov DNS. Tieto šifrovacie protokoly možno použiť na zabránenie snoopingu v sieti šifrovaním prenosu buď v rámci protokolu HTTPS cez spojenie so zabezpečením transportnej vrstvy (TLS).
1. DNSCrypt
DNSCrypt je sieťový protokol, ktorý šifruje všetku komunikáciu DNS medzi počítačom používateľa a všeobecnými mennými servermi. Protokol používa infraštruktúru verejného kľúča (PKI) na overenie pravosti servera DNS a vašich klientov.
Na autentifikáciu komunikácie medzi klientom a serverom využíva dva kľúče, verejný kľúč a súkromný kľúč. Keď sa spustí dotaz DNS, klient ho zašifruje pomocou verejného kľúča servera.
Zašifrovaný dotaz sa potom odošle na server, ktorý ho dešifruje pomocou svojho súkromného kľúča. DNSCrypt tak zaisťuje, že komunikácia medzi klientom a serverom je vždy overená a šifrovaná.
DNSCrypt je relatívne starší sieťový protokol. Z veľkej časti bol nahradený DNS-over-TLS (DoT) a DNS-over-HTTPS (DoH) kvôli širšej podpore a silnejším bezpečnostným zárukám, ktoré tieto novšie protokoly poskytujú.
2. DNS-over-TLS
DNS-over-TLS šifruje váš DNS dotaz pomocou Transport Layer Security (TLS). TLS zaisťuje, že váš dopyt DNS je šifrovaný end-to-end, predchádzanie útokom typu man-in-the-middle (MITM)..
Keď používate DNS-over-TLS (DoT), váš dotaz DNS sa odošle do prekladača DNS-over-TLS namiesto nešifrovaného prekladača. Prekladač DNS-over-TLS dešifruje váš dotaz DNS a odošle ho vo vašom mene na autoritatívny server DNS.
Predvolený port pre DoT je TCP port 853. Keď sa pripájate pomocou DoT, klient aj prekladač vykonajú digitálny handshake. Potom klient odošle svoj dopyt DNS cez šifrovaný kanál TLS do prekladača.
DNS resolver spracuje dotaz, nájde zodpovedajúcu IP adresu a odošle odpoveď späť klientovi cez šifrovaný kanál. Zašifrovanú odpoveď dostane klient, kde ju dešifruje a klient použije IP adresu na pripojenie k požadovanej webovej lokalite alebo službe.
3. DNS-over-HTTPS
HTTPS je zabezpečená verzia HTTP, ktorá sa teraz používa na prístup na webové stránky. Podobne ako DNS-over-TLS, DNS-over-HTTPS (DoH) tiež šifruje všetky informácie pred ich odoslaním cez sieť.
Aj keď je cieľ rovnaký, existujú určité zásadné rozdiely medzi DoH a DoT. Na začiatok, DoH odosiela všetky šifrované dotazy cez HTTPS namiesto priameho vytvárania pripojenia TLS na šifrovanie vašej prevádzky.
Po druhé, používa port 403 na všeobecnú komunikáciu, čo sťažuje odlíšenie od bežnej webovej prevádzky. DoT používa port 853, vďaka čomu je oveľa jednoduchšie identifikovať prenos z tohto portu a zablokovať ho.
DoH zaznamenalo širšie uplatnenie vo webových prehliadačoch, ako sú Mozilla Firefox a Google Chrome, pretože využíva existujúcu infraštruktúru HTTPS. DoT je bežnejšie využívaný operačnými systémami a špecializovanými DNS resolvermi, namiesto toho, aby bol priamo integrovaný do webových prehliadačov.
Dva hlavné dôvody, prečo DoH zaznamenalo širšie prijatie, je ten, že je oveľa jednoduchšie integrovať sa do existujúceho webu prehliadačov, a čo je dôležitejšie, hladko sa spája s bežnou webovou návštevnosťou, čo sťažuje blokovať.
4. DNS-over-QUIC
V porovnaní s ostatnými šifrovacími protokolmi DNS v tomto zozname je DNS-over-QUIC (DoQ) pomerne nový. Ide o vznikajúci bezpečnostný protokol, ktorý odosiela DNS dotazy a odpovede cez transportný protokol QUIC (Quick UDP Internet Connections).
Väčšina internetovej prevádzky sa dnes spolieha na protokol TCP (Transmission Control Protocol) alebo User Datagram Protocol (UDP), pričom dotazy DNS sa zvyčajne odosielajú cez UDP. Protokol QUIC bol zavedený na prekonanie niekoľkých nedostatkov TCP/UDP a pomáha znižovať latenciu a zlepšovať bezpečnosť.
QUIC je relatívne nový transportný protokol vyvinutý spoločnosťou Google, ktorý je navrhnutý tak, aby poskytoval lepší výkon, bezpečnosť a spoľahlivosť v porovnaní s tradičnými protokolmi, ako sú TCP a TLS. QUIC kombinuje vlastnosti TCP a UDPa zároveň integruje vstavané šifrovanie podobné TLS.
Keďže je novší, DoQ ponúka niekoľko výhod oproti protokolom uvedeným vyššie. Pre začiatočníkov ponúka DoQ rýchlejší výkon, znižuje celkovú latenciu a zlepšuje časy pripojenia. Výsledkom je rýchlejšie rozlíšenie DNS (čas, ktorý DNS potrebuje na rozpoznanie IP adresy). V konečnom dôsledku to znamená, že webové stránky sa vám zobrazujú rýchlejšie.
Ešte dôležitejšie je, že DoQ je odolnejší voči strate paketov v porovnaní s TCP a UDP, pretože sa dokáže zotaviť zo stratených paketov bez potreby úplného opätovného prenosu, na rozdiel od protokolov založených na TCP.
Okrem toho je oveľa jednoduchšie migrovať pripojenia pomocou QUIC. QUIC zapuzdruje viacero tokov v rámci jedného pripojenia, čím znižuje počet spiatočných ciest potrebných na pripojenie, a tým zlepšuje výkon. To môže byť užitočné aj pri prepínaní medzi Wi-Fi a celulárnymi sieťami.
QUIC sa v porovnaní s inými protokolmi ešte musí široko prijať. Spoločnosti ako Apple, Google a Meta však už QUIC používajú a často vytvárajú svoju vlastnú verziu (Microsoft používa MsQUIC pre všetku svoju návštevnosť SMB), čo je dobrým znamením do budúcnosti.
V budúcnosti očakávajte ďalšie zmeny DNS
Očakáva sa, že nové technológie od základov zmenia spôsob, akým pristupujeme na web. Mnoho spoločností teraz napríklad využíva technológie blockchainu, aby prišli s bezpečnejšími protokolmi pre pomenovanie domén, ako sú HNS a Unstoppable Domains.