On olemassa useita tapoja suojata DNS-kyselyjäsi, mutta jokaisella lähestymistavalla on omat vahvuutensa ja heikkoutensa.
DNS-järjestelmää (Domain Name System) pidetään laajalti Internetin puhelinluettelona, joka muuntaa verkkotunnusten nimet tietokoneiden luettavaksi tiedoksi, kuten IP-osoitteiksi.
Aina kun kirjoitat verkkotunnuksen osoiteriville, DNS muuntaa sen automaattisesti vastaavaksi IP-osoitteeksi. Selaimesi käyttää näitä tietoja tietojen hakemiseen alkuperäpalvelimelta ja sivuston lataamiseen.
Mutta verkkorikolliset voivat usein vakoilla DNS-liikennettä, mikä tekee salauksen välttämättömäksi, jotta selain pysyy yksityisenä ja turvassa.
Mitä ovat DNS-salausprotokollat?
DNS-salausprotokollat on suunniteltu lisäämään verkkosi tai verkkosivustosi yksityisyyttä ja turvallisuutta salaamalla DNS-kyselyt ja -vastaukset. DNS-kyselyt ja vastaukset lähetetään säännöllisesti pelkkänä tekstinä, mikä helpottaa verkkorikollisten siepata ja peukaloida viestintää.
DNS-salausprotokollat tekevät näiden hakkereiden entistä vaikeammaksi tarkastella ja muokata arkaluonteisia tietojasi tai häiritä verkkoasi. Niitä on erilaisia
salatut DNS-palveluntarjoajat, jotka voivat suojata kyselysi uteliailta katseilta.Yleisimmät DNS-salausprotokollat
Nykyään käytössä on useita DNS-salausprotokollia. Näitä salausprotokollia voidaan käyttää estämään verkon nuuskiminen salaamalla liikenne joko HTTPS-protokollan sisällä TLS-yhteyden (Transport Layer Security) kautta.
1. DNSCrypt
DNSCrypt on verkkoprotokolla, joka salaa kaiken DNS-liikenteen käyttäjän tietokoneen ja yleisten nimipalvelimien välillä. Protokolla käyttää julkisen avaimen infrastruktuuria (PKI) DNS-palvelimen ja asiakkaidesi aitouden tarkistamiseen.
Se käyttää kahta avainta, julkista avainta ja yksityistä avainta asiakkaan ja palvelimen välisen viestinnän todentamiseen. Kun DNS-kysely käynnistetään, asiakas salaa sen palvelimen julkisella avaimella.
Salattu kysely lähetetään sitten palvelimelle, joka purkaa kyselyn salauksen yksityisellä avaimellaan. Tällä tavalla DNSCrypt varmistaa, että asiakkaan ja palvelimen välinen viestintä on aina todennettu ja salattu.
DNSCrypt on suhteellisen vanhempi verkkoprotokolla. DNS-over-TLS (DoT) ja DNS-over-HTTPS (DoH) ovat korvanneet sen suurelta osin näiden uudempien protokollien tarjoaman laajemman tuen ja vahvempien turvallisuustakuiden ansiosta.
2. DNS-over-TLS
DNS-over-TLS salaa DNS-kyselysi Transport Layer Securityn (TLS) avulla. TLS varmistaa, että DNS-kyselysi on salattu päästä päähän, Man-in-the-middle (MITM) -hyökkäysten estäminen.
Kun käytät DNS-over-TLS: tä (DoT), DNS-kyselysi lähetetään DNS-over-TLS-selvittimeen salaamattoman ratkaisejan sijaan. DNS-over-TLS-selvitin purkaa DNS-kyselysi salauksen ja lähettää sen puolestasi arvovaltaiselle DNS-palvelimelle.
DoT: n oletusportti on TCP-portti 853. Kun muodostat yhteyden DoT: llä, sekä asiakas että ratkaisija suorittavat digitaalisen kättelyn. Sitten asiakas lähettää DNS-kyselynsä salatun TLS-kanavan kautta ratkaisejalle.
DNS-selvijä käsittelee kyselyn, löytää vastaavan IP-osoitteen ja lähettää vastauksen takaisin asiakkaalle salatun kanavan kautta. Asiakas vastaanottaa salatun vastauksen, jossa sen salaus puretaan, ja asiakas käyttää IP-osoitetta yhteyden muodostamiseen haluttuun verkkosivustoon tai palveluun.
3. DNS-yli-HTTPS
HTTPS on HTTP: n suojattu versio, jota käytetään nyt verkkosivustoille pääsyyn. Kuten DNS-over-TLS, DNS-over-HTTPS (DoH) myös salaa kaikki tiedot ennen kuin ne lähetetään verkon kautta.
Vaikka tavoite on sama, DoH: n ja DoT: n välillä on joitain perustavanlaatuisia eroja. Ensinnäkin DoH lähettää kaikki salatut kyselyt HTTPS: n kautta sen sijaan, että se luo suoraan TLS-yhteyden liikenteen salaamista varten.
Toiseksi se käyttää porttia 403 yleiseen viestintään, mikä vaikeuttaa sen erottamista yleisestä verkkoliikenteestä. DoT käyttää porttia 853, mikä helpottaa portin liikenteen tunnistamista ja sen estämistä.
DoH on nähnyt laajemman käyttöönoton verkkoselaimissa, kuten Mozilla Firefox ja Google Chrome, koska se hyödyntää olemassa olevaa HTTPS-infrastruktuuria. DoT: tä käyttävät yleisemmin käyttöjärjestelmät ja omistetut DNS-selvittimet sen sijaan, että se olisi integroitu suoraan verkkoselaimiin.
Kaksi tärkeintä syytä, miksi DoH on saanut laajemman käyttöönoton, on se, että se on paljon helpompi integroida olemassa olevaan verkkoon selaimissa, ja mikä tärkeintä, se sulautuu saumattomasti tavalliseen verkkoliikenteeseen, mikä tekee siitä paljon vaikeampaa lohko.
4. DNS-over-QUIC
Verrattuna muihin tämän luettelon DNS-salausprotokolliin, DNS-over-QUIC (DoQ) on melko uusi. Se on kehittyvä suojausprotokolla, joka lähettää DNS-kyselyitä ja vastauksia QUIC (Quick UDP Internet Connections) -siirtoprotokollan kautta.
Suurin osa Internet-liikenteestä perustuu nykyään Transmission Control Protocol (TCP) tai User Datagram Protocol (UDP) -protokollaan, ja DNS-kyselyt lähetetään yleensä UDP: n kautta. QUIC-protokolla otettiin kuitenkin käyttöön joidenkin TCP/UDP: n haittojen voittamiseksi ja auttaa vähentämään latenssia ja parantamaan turvallisuutta.
QUIC on suhteellisen uusi Googlen kehittämä siirtoprotokolla, joka on suunniteltu tarjoamaan parempi suorituskyky, tietoturva ja luotettavuus verrattuna perinteisiin protokolliin, kuten TCP ja TLS. QUIC yhdistää sekä TCP: n että UDP: n ominaisuudet, mutta integroi myös TLS: n kaltaisen sisäänrakennetun salauksen.
Koska se on uudempi, DoQ tarjoaa useita etuja edellä mainittuihin protokolliin verrattuna. Ensinnäkin DoQ tarjoaa nopeamman suorituskyvyn, vähentää yleistä latenssia ja parantaa yhteysaikoja. Tämä johtaa nopeampaan DNS-selvitykseen (aika, joka DNS: ltä kuluu IP-osoitteen selvittämiseen). Viime kädessä tämä tarkoittaa, että sivustot palvellaan sinulle nopeammin.
Vielä tärkeämpää on, että DoQ on kestävämpi pakettien katoamista vastaan verrattuna TCP: hen ja UDP: hen, koska se voi toipua kadonneista paketeista ilman täyttä uudelleenlähetystä, toisin kuin TCP-pohjaiset protokollat.
Lisäksi on paljon helpompaa siirtää yhteyksiä myös QUIC: n avulla. QUIC kapseloi useita virtoja yhteen yhteyteen, mikä vähentää yhteyden edellyttämien edestakaisten matkojen määrää ja parantaa siten suorituskykyä. Tästä voi olla hyötyä myös vaihdettaessa Wi-Fi- ja matkapuhelinverkkojen välillä.
QUIC ei ole vielä laajalti käytössä muihin protokolliin verrattuna. Mutta yritykset, kuten Apple, Google ja Meta, käyttävät jo QUIC: ia ja luovat usein oman versionsa (Microsoft käyttää MsQUIC: ia kaikessa SMB-liikenteessä), mikä lupaa hyvää tulevaisuudelle.
Odota lisää muutoksia DNS-järjestelmään tulevaisuudessa
Uusien teknologioiden odotetaan muuttavan perusteellisesti tapaa, jolla käytämme Internetiä. Esimerkiksi monet yritykset hyödyntävät nyt blockchain-tekniikoita kehittääkseen turvallisempia verkkotunnuksen nimeämisprotokollia, kuten HNS ja Unstoppable Domains.