DNS dotazy na zjištění IP adresy k danému jménu využívají 35 let starou technologii, která nepoužívá šifrování. Nový standard DNS over HTTPS tento postup vylepšuje.
Pro běh internetu se i dnes využívají technologie, které jsou už skutečně letité. Patří k nim i technologie DNS (Domain Name System), která zajišťuje to, že když do prohlížeče napíšete jméno webové stránky, přeloží se na příslušnou IP adresu. Této technologii je už 35 let. Samozřejmě ne všechny staré myšlenky z té doby jsou špatné, ale během vývoje DNS nikdo nepovažoval za problém, že všechny dotazy budou probíhat v prosté textové podobě prostřednictvím portu UDP 853. Dnes už ale víme, že to přináší řadu problémů: Odposlechy: Nezašifrované DNS dotazy lze snadno číst během celé jejich cesty z počítače přes router až po DNS server. Během útoků typu Man-in-the-Middle se útočníci mohou dostat do tohoto vyhledávacího řetězce a zaznamenávat přenos nezašifrovaných dat. Vzhledem k tomu, že dotazy DNS obvykle obsahují úplnou IP adresu uživatelů, sledování DNS dotazů poskytuje špionům dokonalé profily surfování.
Manipulace: Útočníci, kteří se do vyhledávacího řetězce dostanou, mohou využít techniku spoofingu a přesměrovat uživatele na falešné stránky. Jako příklad lze uvést, že pokud uživatel do prohlížeče zadá webovou adresu své banky, obdrží jako výsledek svého dotazu falešnou IP adresu. Falešná IP adresa může vést na repliku internetové stránky banky, do které uživatel napíše své přihlašovací údaje a ty se tak dostanou k útočníkům.
Blokace: Jde o speciální typ manipulace, při kterém mohou být DNS dotazy snadno zablokovány na portovém základě. Jinými slovy hackeři, ale například i vlády, poskytovatelé internetových služeb a další, mohou blokovat některé webové stránky.
Lepší řešení: Šifrované DNS dotazy
Grafika na stránce vpravo ukazuje, jak funguje DNS dotaz. Internetový prohlížeč se nejprve při DNS dorazu obrátí na operační systém. Dotaz se pak dostane do tzv. DNS resolveru, který pro většinu uživatelů zajišťuje poskytovatel internetového připojení. Pokud resolver nemá příslušnou IP adresu ve vyrovnávací paměti, dotaz předá nameserveru na pozadí.
Prvním krokem k zajištění větší bezpečnosti ohledně dotazů na doménové jméno je zavedení šifrované komunikace mezi počítačem a DNS resolverem. Připravovaný standard DNS over HTTPS (DoH) má nový přístup. Namísto odeslání dotazů UDP prostřednictvím portu 853 jsou dotazy předávány prostřednictvím protokolu HTTPS podobně jako klasické šifrované pakety prostřednictvím portu 443. Výhodou v tomto případě je, že DNS nelze po cestě rozpoznat a nehrozí tak jejich blokování.
Novinkou také je, že při přenosu DNS přes protokol HTTPS se dotazy neposílají prostřednictvím systému Windows, ale jsou zašifrovány a spuštěny přímo internetovým prohlížečem nebo aplikací. Firefox to umí již v současné verzi. Aby to fungovalo, potřebuje ale důvěryhodný DNS resolver. Ten obdrží šifrovaný DNS dotaz a předá jej na hierarchický DNS server. V rámci testování zahájila Mozilla partnerství s poskytovatelem Cloudflare.
Pokud máte prohlížeč Firefox, můžete si DNS over HTTPS vyzkoušet. Pro aktivaci postupujte podle následujících kroků: do adresního řádku Firefoxu napište »about:config« a potvrďte, že vstupujete jen na vlastní nebezpečí. Dále vyhledejte v seznamu »network.trr«. RR je zkratka pro Trusted Recursive Resolver. Změňte hodnotu »network.trr.mode« na »2«. Pro »network.trr.uri« musíte zadat DoH server, například »https://mozilla.cloudflare-dns.com/dns-query«.
Další důvěryhodné DNS revolvery naleznete v tabulce vpravo. Při nastavování vyplňte pole »network.trr.bootstrapAddress« IP adresou uvedenou v této tabulce. Důvěryhodný DNS resolver má zásadní roli. Nejen že komunikuje s prohlížečem šifrovaně, ale také poskytuje jeho IP adresu při dotazu na název DNS serveru. Dokonce i kdyby byly ve stále nešifrované páteřní síti DNS trackery nebo spoofery pořád aktivní, nebyly by schopny špehovat uživatele přímo, protože jednotlivé dotazy se ztratí v davu.
DNS over HTTPS je kontroverzní
Technologie DoH je v zásadě skvělá věc a fakt, že trvalo jen něco málo přes rok, než byl tento standard komisí IETF dokončen, ukazuje, že je o jeho výhodnosti spousta lidí přesvědčena. Existují však i jeho kritici, kteří se obávají například další centralizace internetu - například v případě, pokud by Firefox začal všechny uživatele přepínat na DoH a směrovat DNS dotazy pouze prostřednictvím americké společnosti Cloudflare. Mozilla argumentuje, že její ekosystém funguje s různými důvěryhodnými resolvery, ze kterých si uživatel může vybrat.
DNS over HTTPS také není jediná a ani první technologie, která může DNS následně šifrování dodat. Například DNS over TLS je už IETF standardizováno. V tomto případě jsou klasické DNS dotazy šifrovány protokolem TLS (Transport Layer Security), což se však potýká s problémem, že zadané dotazy se musí řešit centrálně na úrovni operačního systému. V současnosti je bohužel jediným systémem, který toho dosáhl bez dodatečných nástrojů, Android 9.0. V případě DoH si každý prohlížeč a každá aplikace může jít pro rozpoznání jména svou vlastní cestou - je to flexibilnější. Jisté je, že pro uživatele by DNS dotazy prostřednictvím DoH byly bezpečnější, ale celý proces je poněkud nepřehlednější. Bude zajímavé sledovat, kdo začne DNS over HTTPS používat jako první.
***
Vyzkoušejte si DNS over HTTPS
Pokud si chcete službu DNS over HTTPS vyzkoušet, potřebujete aktuální verzi prohlížeče Mozilla Firefox a nějakého DNS providera z naší tabulky. Zadejte do prohlížeče správné parametry, které jsou uvedeny v textu a na obrázku vpravo nahoře.
BlahDNS Cloudflare Cloudflare pro Mozillu Google Public DNS SecureDNS
URL https://doh.de.blahdns.com/ dns-query https://cloudflare-dns.com/dns-query https://mozilla.cloudflare-dns.com/ dns-query https://dns.google.com/experimental https://doh.securedns.eu/dns-query
IPv4 adresa pro Bootstrap 217.61.0.97 104.16.112.25 104.16.112.25 172.217.22.14 146.185.167.43
Umístění serveru Německo Německo Německo USA Nizozemí
Blokování obsahu ano, reklama a trackování * * * *
Logování * po dobu 24 hodin, plus trvalé záznamy, po dobu 24 hodin, plus trvalé záznamy, ale méně než u Cloudflare po dobu 24 až 48 hodin, plus trvalé záznamy o umístění *
DNSSEC test/DNS Leak test */* */* */* */* */*
* ano * ne
Foto popis| Šifrované DNS dotazy Řešení DNS dotazů bylo doposud záležitostí operačního systému. Prohlížeče se proto s DNS dotazem obracejí na systém Windows a spol. a systémy předávají zadané adresy nešifrovaným způsobem dál. V případě DNS over HTTPS zajišťují šifrování samotné internetové prohlížeče.
Foto popis| Standardní DNS dotaz Aby bylo možné zjistit správnou IP adresu hostitele, Firefox nejprve kontaktuje systém Windows a dotaz pokračuje přes DNS resolver. V případě potřeby jsou na pozadí dotazovány DNS nameservery a všechny dotazy sem směřují nezašifrované.
Foto popis| Jak funguje DNS over HTTPS V případě DNS over HTTPS se nepoužívají klasické DNS dotazy, ale naopak internetový prohlížeč iniciuje šifrované připojení přes protokol HTTPS na portu 433, aby kontaktoval důvěryhodný DNS resolver. Spojení mezi prohlížečem a resolverem je šifrované.
O autorovi| JÖRG GEIGER, autor@chip.cz