Da li treba da verujete DoH da zameni VPN za bezbedno i privatno pregledanje?
Hipertekt Transfer Protocol Secure je komunikacioni protokol za premeštanje podataka preko bezbedne internet veze. Reč „bezbedno“ u HTTPS-u implicira da sajt ima sertifikat sloja bezbednih utičnica. Sigurnost transportnog sloja je evoluirala iz SSL-a. TLS je njegov široko prihvaćen naslednik. SSL/TLS sertifikacija i HTTPS adresa u Uniform Resource Locator-u, identifikovana sićušnim simbolom katanca u URL-u, nekada su se reklamirali kao dokaz da će se vaši podaci prenositi u šifrovanim paketima dok prolaze kroz server veb lokacije iz vašeg pretraživača.
Nažalost, domenima se ne može verovati. SSL/TLS sertifikati se mogu dobiti na mnogo načina, uključujući OpenSSL, gde je kreator autoritet za sertifikaciju. Lažni sertifikati su korišćeni godinama, a vladine agencije za borbu protiv sajber-kriminala upozoravaju da se ne oslanjaju na ikonu katanca ili https:// na prednjoj strani naziva domena kao garanciju. Potrebna je dužna pažnja, kažu oni, iako je dato malo uputstava. Možete da proverite da li je sajt koji bi trebalo da bude .gov umesto toga .com i da pazite na greške u pisanju ili dodatne reči u imenu domena. U suštini, kažu da pregledate na sopstveni rizik.
Sistem imena domena je ključni mehanizam za pristup sajtovima i uslugama na internetu. Svi uređaji na mreži (od pametnih telefona do servera) imaju adresu Internet protokola, brojeve koji vam omogućavaju da uspostavite internet veze. Svaki URL na internetu ima jedinstvenu IP adresu koja mu je dodeljena. Zamislite DNS kao telefonski imenik za internet. Mnogi ljudi više vole da imaju telefonski broj koji nije naveden kako bi izbegli neželjene telefonske pozive. Slično tome, vaša IP adresa treba da bude privatna na mreži.
Problemi sa privatnošću pregledanja
DNS upit (poznat i kao DNS rezolver) se koristi za traženje od DNS servera da obrađuju traženje imena. DNS serveri (ili serveri imena) se koriste za rešavanje potpuno kvalifikovanih imena domena. Računari i mobilni uređaji imaju ugrađene DNS klijente koji omogućavaju veb pregledačima da komuniciraju sa DNS serverima.
Internetskim veb stranicama se pristupa pomoću FKDN-a u URL-u—adrese koje unesete u pretraživač. Kada DNS klijent treba da pronađe IP adresu računara, poznatu po njegovom FKDN-u, on šalje zahtev DNS serveru da ga dobije, i na taj način rešava upit.
Problem sa regularnim DNS-om je što je nešifrovan, što znači da su čak i kada posećujete sajtove sa sigurnošću veze, vaši podaci ranjivi kroz DNS otmicu. Ovo ostavlja vaše prisustvo na mreži izloženim, dovodeći vašu privatnost i bezbednost u opasnost.
Sa nešifrovanim DNS-om lako je prisluškivati ili manipulisati upitima i odgovorima između vašeg uređaja i razrešivača. Ovo može uključivati vaše usmeravanje ka „pecanju“, malveru ili sajtovima za nadzor, putem trovanja keš memorije ili DNS lažiranja putem distribuiranog uskraćivanja usluge ili napada „Čovek u sredini“.
Kako rade VPN-ovi
Kako rade VPN-ovi
Virtuelne privatne mreže su dugo bile preovlađujući način dodavanja mere bezbednosti aktivnostima na mreži. VPN-ovi su softverski alati za sakrivanje vaše IP adrese i aktivnosti pretraživanja dok šifruju internet podatke i uklanjaju ograničenja na bilo kojoj Vi-Fi mreži. VPN-ovi su ilegalni u nekim zemljama sa strogim zakonima koji zabranjuju šifrovanje. Nisu svi VPN-ovi jednaki.
Sa više ljudi koji rade od kuće, problemi sa performansama su uobičajeni, što usporava VPN veze. Kao što je slučaj sa većinom besplatnih aplikacija, besplatnom VPN-u se ne može verovati zbog bezbednosti. Iako se VPN-ovi i DNS malo preklapaju, ne morate da koristite VPN da biste pretraživali veb, ali ne možete pristupiti internetu bez DNS-a.
Šta je DoH?
DNS preko HTTPS-a, protokol sa akronimom DoH je relativno novo rešenje. Protokol menja način na koji DNS funkcioniše tako što šifruje upite, skrivajući ih kao normalno kretanje HTTPS-a. Šampioni DoH-a tvrde da sprečava prisluškivanje i sprečava manipulisane DNS napade čoveka u sredini. Poslednjih nekoliko godina dobija pomešane kritike. Neki to vide kao sledeći zlatni standard koji će zameniti VPN. Drugi kažu da izaziva više problema nego što ih rešava.
Zagovornici kažu da DoH sprečava Internet provajdere da pregledaju posete korisnika sigurnim sajtovima. Privatnost je osigurana sa DoH-om jer uspostavlja šifrovanu vezu sa vašim DNS serverom i obrađuje zahtev i odgovor preko te bezbedne veze. Svako između njih neće moći da vidi koju ste lokaciju potražili ili da menja odgovor na vaš upit, pod uslovom da ISP i DNS serveri podržavaju DoH.
Kritičari primećuju da to ne sprečava da ISP-ovi prate saobraćaj na redovnim HTTP sajtovima. Stručnjaci kažu da ne možete sakriti IP adrese od ISP-a. „Poznavanje konačnog IP odredišta otkriva na koju veb lokaciju se korisnik povezuje, čak i ako je sve u vezi sa njegovim saobraćajem šifrovano.
Champions of DoH
Android, Google, CloudFlare i Mozilla su bili na čelu implementacije sa tehnologijom, koja pruža privatna i bezbedna šifrovana rešenja za navigaciju internetom. Pošto su većina javnih resolvera američki giganti, EU želi da sopstvena DNS infrastruktura podržava Opštu uredbu o zaštiti podataka.
Microsoft podržava DoH na Vindovs Server 2022 i Vindovs 11. Microsoft Edge Chromium je imao problema sa performansama nakon pokretanja 2020. godine, što je dovelo do toga da je nakratko onemogućen početkom 2021. godine.
Mozilla je uvela DoH na Firefok u SAD i Kanadi, iako korisnici mogu da uklone DoH u svojim podešavanjima. Svako može preuzeti DoH za Firefok širom sveta.
Firefok navodi prednosti i nedostatke za korisnike na stranici za podršku Mozilla-e tako da mogu da izaberu da li žele da se uključi ili isključi.
Prednosti: „DoH poboljšava privatnost skrivanjem traženja imena domena od nekoga ko vreba na javnom ViFi-u, vašeg ISP-a ili bilo koga drugog na vašoj lokalnoj mreži. DoH, kada je omogućen, osigurava da vaš ISP ne može prikupljati i prodavati lične podatke u vezi sa vašim ponašanjem pri pregledanju.“
Rizici: „Neki pojedinci i organizacije se oslanjaju na DNS da bi blokirali malver, omogućili roditeljski nadzor ili filtrirali pristup veb-sajtovima vašeg pretraživača. Kada je omogućeno, DoH zaobilazi vaš lokalni DNS razrešivač i poništava ove posebne smernice. Kada podrazumevano omogući DoH za korisnike, Firefok dozvoljava korisnicima (preko podešavanja) i organizacijama (preko korporativnih smernica i pretraživanja domena canari) da onemoguće DoH kada ometa željenu politiku.“
Pejzaž koji se menja
Alternativa DoH-u je DNS preko TLS protokola. DoT je sličan standard za šifrovanje DNS upita, sa glavnom razlikom u tome kako se šifrovanje koristi i isporuka. Dok ovi protokoli i dalje doživljavaju sve veće bolove, većina organizacija preduzeća usvaja pristup čekanja i gledanja, dok druge žongliraju kako da planiraju unapred da ugrade DoH u svoju DNS uslugu, dok razvijaju strategije da ga zaustave.
Iako pojedincima danas nisu potrebni VPN-ovi, oni i dalje imaju svoje mesto u mnogim preduzećima i neće uskoro nigde ići.
Koristeći DoH možete poboljšati privatnost i sigurnost za svoj sistem, poboljšavajući filtriranje korišćenjem postojeće infrastrukture vaše organizacije i smanjujući vidljivost.
