DNS přes HTTPS - budoucnost soukromí na webu

10. 12. 2019

Sdílet

 Autor: Adobe Stock
Šifrované spojení na internetu přes HTTPS je už standardem. Pomáhá chránit citlivé informace přenášené přes internet, jako jsou hesla, čísla kreditních karet, ale i běžnou komunikaci. Nicméně, volání DNS (překlad webové adresy na IP adresu) se zatím odehrává v nešifrovaném světě, v praxi jde o prostý text!

Když nyní zadáte do webového prohlížeče adresu blog.synology.com, váš prohlížeč se zeptá několika DNS serverů a čeká na odpověď od prvního, aby mu prozradil, za jakou IP adresou se "schovávají" data, která chce načíst. Webový prohlížeč je pak načte a zobrazí.

Takže, všechny kontaktované DNS servery včetně směrovačů, přes které data procházejí, si mohou snadno přečíst informaci, které stránky navštěvujete. Na první pohled možná bezcenný kus dat, pokud si však šikovný algoritmus dokáže zanalyzovat vaše chování na webu (díky tomu, které stránky čtete, kde nakupujete apod.), mohou být tato data použita např. na lepší cílenou reklamu. Co je však horší, pokud útočník vidí váš požadavek, může vám předhodit jinou odpověď, než očekáváte - jde o typický scam, tzn. DNS Hijacking.

A právě zde přichází do hry DNS přes HTTPS - technologie šifrování, která vaše DNS požadavky (překlady adres) zašifruje a umožní pouze vašemu prohlížeči a vybraným DNS serverům rozklíčovat překlad. Takže „spoofing“ útoky se stanou minulostí. DoH služby již dnes podporují i giganti jako Google či Cloudfare.

Na první pohled to vypadá všechno výborně, kde je však háček? Paradoxně v samotné ochraně soukromí. Pokud např. využíváte rodičovskou kontrolu a neumožňujete svým dětem navštěvovat některé kategorie stránek, ty se dějí právě na úrovni kontroly DNS požadavků. Šifrováním DoH tato služba nebude správně fungovat. Ochrana před malwarem šířící se po internetu - váš antivirus a antimalvér vás chrání před pochybnými IP adresami - jenže jak má antivirus vědět, jakou IP adresu povolit a jakou zakázat, pokud je tato informace šifrována?

Problém nastává v momentě, kdy zjistíme, že mnoho aplikací (ať už mobilních, Windows, MacOS či linuxových) nativní DoH nepodporuje, takže DoH je správná cesta, vyžaduje však změnu implementace dnešních technologických řešení. Už jen všechny ty nové IoT zařízení v domácnosti, které s DoH v zásadě nepočítali.

bitcoin školení listopad 24

Řešení? Nechte, ať veškerou práci za vás udělá váš domácí směrovač (router). Díky Synology Router Manageru (SRM verze 1.2.3) je nasazení DoH otázkou 3 kliků. Synology směrovač tak všechny DNS požadavky zašifruje až v momentě, kdy se má kontaktovat s vnějším světem, v rámci domácnosti funguje DNS jak jste byli zvyklí doposud. Takže i rodičovský zámek, antimalvér, antivirus - vše, co je v rámci domácnosti (což je typicky pár počítačů, mobilů a tabletů) funguje normálně, zároveň DoH chrání před zlomyslnými útočníky celou vaši rodinu z vnější strany.

A nemusíte být žádný IT guru, abyste něco takového sami doma nastavili. Netřeba nijak měnit ani osvědčenou architekturu, ani aplikace, ani zařízení. Avšak s pár kliknutími může být váš svět bezpečnější.