DNSCrypt: OpenDNS znalazło sposób na zabezpieczenie „ostatniej mili” w ruchu DNS

Bez systemu nazw domen nie byłoby Internetu – obcujemy z nim praktycznie przy każdej okazji, gdy korzystamy z Sieci. Bezpieczeństwo tego systemu od lat jednak stawiane jest pod znakiem zapytania. Ataki typu man-in-the-middle, pozwalające na podsłuchiwanie ruchu DNS czy luki umożliwiające zatrucie cache resolwerów i przekierowanie niewinnych użytkowników na witryny phishingowe, to problemy dobrze znane ekspertom od bezpieczeństwa IT. Jednym ze sposobów załatania tych luk miały być rozszerzenia bezpieczeństwa DNS, tzw. DNSSEC, ale do ich upowszechnienia wciąż jeszcze daleka droga – ich wdrożenie wiąże się z wieloma kłopotami. Teraz OpenDNS, dostawca darmowej i solidnej usługi systemu nazw domen, przedstawił całkiem ciekawą technologię, która zabezpiecza DNS przed wieloma zagrożeniami, nie wymagając jednocześnie jakichś kłopotliwych zmian po stronie dostawców usług.

Największym problemem z bezpieczeństwem DNS, jest według specjalistów z OpenDNS, jego podatność na ataki przeprowadzane na „ostatniej mili” – czyli połączeniu między internautą a jego ISP. I właśnie zabezpieczenie tego odcinka jest celem narzędzia DNSCrypt, którego wstępne wydanie zostało właśnie zaprezentowane.

DNSCrypt zamienia zwykły ruch DNS w ruch zaszyfrowany, odporny na podsłuchy i ataki man-in-the-middle. Nie wymaga wprowadzania żadnych zmian w konfiguracji domen, po prostu szyfruje łączność między użytkownikami a serwerami OpenDNS-u.

W ten sposób, DNSCrypt staje się naturalnym uzupełnieniem DNSSEC, który choć zapewnia mechanizmy uwierzytelniania domen za pomocą infrastruktury klucza publicznego, to jednak nie zapewnia szyfrowania samego ruchu. Oba projekty nie wchodzą sobie w drogę, inżynierowie OpenDNS twierdzą wręcz, że liczą na dalsze upowszechnienie się DNSSEC, dzięki czemu ludzie nabiorą większego zaufania do systemu DNS. Póki co trzeba jednak pamiętać, że popularność DNSSEC jest bardzo mała, system odpowiada za jedynie niewielki odsetek rekordów DNS dla domen w Internecie.

Choć rozwiązanie od OpenDNS przypomina HTTPS (szyfrujące ruch HTTP), to szyfrowanie ruchu DNS w DNSCrypt odbywa się za pomocą kryptografii krzywych eliptycznych, a nie z wykorzystaniem biblioteki SSL. Więcej na ten temat możecie poczytać tutaj.

Narzędzie zostało wydane na razie w wersji tylko dla OS-a X, ale już niebawem powinny pojawić się wersje dla Linuksa i Windows. Klienta można pobrać z GitHuba, tam też znajduje się kod źródłowy projektu.

źródło: opendns.com

Podoba Ci się ten tekst? Powiedz o tym innym na Fb: lub na G+:

publikuj:

wydrukuj

skomentuj »

Komentarze

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.