Hvordan Cloudflare DNS hjelper løse 4 store DNS-personvernrisikoer
I april 2018 ga Cloudflare ut et nytt sikkerhetsverktøy. Kalt 1.1.1.1, det er en forbruker-DNS-adresse som alle kan bruke gratis. Det kan bidra til å øke DNS-sikkerheten, forbedre brukerens personvern, og muligens til og med øke hastigheten på nettverksforbindelsen din.
Men hvordan fungerer det? Hvordan bruker du det? Og hvilke DNS-personvernsrisiko kan det bidra til å forbedre? La oss ta en nærmere titt.
Problemet med DNS og personvern
Domain Name System (DNS) kalles ofte “Internett-telefonboken.” Det er teknologien som er ansvarlig for å knytte de domenene vi alle bruker hver dag (f.eks. makeuseof.com) med IP-adressen til nettsidens webserver.
Selvfølgelig kan du skrive inn et nettsteds IP-adresse, og du vil fortsatt ende opp på sin hjemmeside, men tekstbaserte nettadresser er mye enklere å huske, derfor hvorfor bruker vi dem.
Dessverre kommer DNS-teknologi med mange personvernproblemer. Problemene kan underminere din online sikkerhet, selv om du tar alle de vanlige forholdsregler andre steder på systemet ditt. Her er noen de verste personvernproblemene knyttet til DNS.
1. Din ISP ser på
På grunn av måten DNS fungerer på, virker det som en logg på nettstedene du besøker. Det spiller ingen rolle om nettstedet du besøker bruker HTTPS-din Internett-leverandør, mobiloperatør og offentlige Wi-Fi-leverandører vil fortsatt vite nøyaktig hvilke domener du har besøkt.
Foruroligende, siden midten av 2017, har ISPer i USA lov til å selge kundenes nettleserdata for økonomisk gevinst. Faktisk er øvelsen vanlig rundt om i verden.
I siste omgang hjelper nettleserloggen store selskaper å tjene penger. Det er derfor du bør alltid bruke en tredjeparts DNS-leverandør 4 Grunner til at bruk av tredjeparts DNS-servere er sikrere 4 Grunner til at tredjeparts DNS-servere er mer sikre Hvorfor endrer DNS-en din en god ide? Hvilke sikkerhetsfordeler gir det? Kan det virkelig gjøre dine online aktiviteter sikrere? Les mer .
2. Regjeringen ser
Som Internett-leverandører kan myndighetene også bruke DNS-loggen din for å se hvilke nettsteder du har besøkt.
Hvis du bor i et land som tar en mindre enn tolerant tilnærming til politiske motstandere, kan LGBTQ-aktivister, alternative religioner og så videre besøke steder av denne arten lande deg i trøbbel.
Dessverre kan DNS-oppslagshistorikken din avsløre dine personlige overbevisninger til enheter som potensielt klemmer deg på deg som et resultat.
3. Snooping og Tampering
Du er også i fare fra DNSs mangel på “siste kilometer” kryptering. La oss forklare.
Det er to sider til DNS: Autoritative (på innholdssiden) og en rekursiv resolver (på din ISP-side). I bredden kan du tenke på DNS-resolvere som stiller spørsmålene (dvs.., “hvor kan jeg finne dette nettstedet?”) og autoritative DNS nameservers som gir svarene.
Data som beveger seg mellom resolveren og den autoritative serveren er (teoretisk) beskyttet av DNSSEC. Imidlertid “siste kilometer” -delen mellom maskinen din (kalt stubbehandleren) og rekursiv resolver-er ikke sikker.
Dessverre gir den siste milen mange muligheter for snoopers og tamperers.
4. Man-in-the-Middle Attacks
Når du surfer på nettet, bruker datamaskinen ofte DNS-data som er cached et sted på nettverket. Å gjøre det kan bidra til å redusere sidetilpasningstider.
Men cachene selv kan bli offer for “cache forgiftning.” Det er en form for mann-i-midten-angrep Hva er en mann-i-midt-angrep? Sikkerhetsjargong Forklart Hva er et menneske-i-midt-angrep? Sikkerhetsjargong Forklaret Hvis du har hørt om "man-i-midten" -angrep, men ikke helt sikker på hva det betyr, er dette artikkelen for deg. Les mer .
Enkelt sagt kan hackere utnytte sårbarheter og dårlige konfigurasjoner for å legge til falske data i hurtigbufferen. Deretter neste gang du prøver å besøke “forgiftet” nettsted, vil du bli sendt til en server kontrollert av kriminelle.
De ansvarlige partene kan til og med kopiere målstedet ditt. Du kan aldri vite at du har blitt omdirigert og tilfeldigvis oppgitt brukernavn, passord og annen sensitiv informasjon.
Denne prosessen er hvor mange phishing-angrep som finner sted.
Hvordan hjelper 1.1.1.1?
Den nye 1.1.1.1-tjenesten fra Cloudflare kan rette opp mange av personvernproblemene knyttet til DNS-teknologi.
Selskapet brukte lang tid å snakke med nettleserutviklere før tjenesten ble offentlig og utviklet verktøyet i samsvar med deres anbefalinger.
1. Ingen sporing, ingen datalagring
For det første har Cloudflare forpliktet seg til aldri å spore sine DNS-brukere eller selge reklame basert på deres vaner. For å styrke forbrukernes tillit til uttalelsen har selskapet lovet å aldri lagre IP-adressespørsmål på disk og lovet å slette alle DNS-logger innen 24 timer.
I praksis betyr det at DNS-historien din vil forbli i hendene på Internett-leverandører og regjeringer. Det vil ikke engang være et rekord med Cloudflare for dem å be om tilgang til.
2. Cutting-Edge Technology
Når du skriver inn en nettadresse og trykker på Enter, vil nesten alle DNS-resolvere sende hele domenenavnet (den “www,” de “benytte seg av,” og “com”) til rotserverene, .com-serverne, og eventuelle mellommannstjenester.
All den informasjonen er unødvendig. Rotserverene trenger bare å lede resolveren til .com. Ytterligere oppslagssøk kan påbegynnes på det tidspunktet.
For å bekjempe problemet har Cloudflare implantert et bredt spekter av både avtalte og foreslåtte DNS-personvernbeskyttelsesmekanismer for å koble stubbehandleren og rekursiv resolveren. Resultatet er at 1.1.1.1 bare vil sende den bare informasjonen som er nødvendig.
3. Anti-Snooping
Jeg hater når DNS er falsk opptatt aka snooping rundt
- En av et slag? (@ BlameDaAriesNme) 26. september 2017
1.1.1.1-tjenesten tilbyr en funksjon som bidrar til å bekjempe snooping på den siste milen: DNS over TLS.
DNS over TLS vil kryptere den siste milen. Det fungerer ved å la stubbehandleren opprette en TCP-tilkobling med Cloudflare på port 853. Stuben starter deretter et TCP-håndtrykk og Cloudflare gir sitt TLS-sertifikat.
Så snart forbindelsen er etablert, blir all kommunikasjon mellom stubbehandleren og den rekursive resolveren kryptert. Resultatet er at avlytting og manipulering blir umulig.
4. Bekjempelse av Man-in-the-Middle Attacks
Ifølge Cloudflares figurer bruker mindre enn 10 prosent av domener DNSSEC for å sikre forbindelsen mellom en rekursiv resolver og en autoritativ server.
DNS over HTTPS er en fremvoksende teknologi som har til hensikt å bidra til å sikre HTTPS-domener som ikke bruker DNSSEC.
Uten kryptering kan hackere lytte til datapakker og vite hvilket nettsted du besøker. Mangelen på kryptering gir deg også sårbar overfor man-i-midten-angrep som de vi tidligere har beskrevet.
Hvordan kan du begynne å bruke 1.1.1.1?
Det er enkelt å bruke den nye 1.1.1.1-tjenesten. Vi forklarer prosessen for både Windows og Mac-maskiner.
Slik endrer du DNS på Windows
For å endre DNS-leverandøren din på Windows, følg trinnene nedenfor:
- Åpne Kontrollpanel
- Gå til Nettverks- og delingssenter> Endre adapterinnstillinger
- Høyreklikk på tilkoblingen din og velg Eiendommer
- Rull ned, marker Internett-protokollversjon 4 (TCP / IPv4), og klikk på Eiendommer
- Klikk på Bruk følgende DNS-serveradresser
- Tast inn 1.1.1.1 i første rad og 1.0.0.1 i den andre raden
- Truffet OK
Slik endrer du DNS på Mac
Hvis du har en Mac, følger du disse instruksjonene for å endre DNS i stedet:
- Gå til Apple> Systemvalg> Nettverk
- Klikk på din tilkobling i panelet på venstre side av vinduet
- Klikk på Avansert
- Fremheve DNS og trykk +
- Tast inn 1.1.1.1 og 1.0.0.1 i det oppgitte rommet
- Klikk OK
Og husk å alltid bruke en VPN
Viktigere enn en god DNS, bør du alltid bruke et sterkt VPN i kampen for online personvern.
Alle anerkjente VPN-leverandører vil også levere sine egne DNS-adresser. Noen ganger må du imidlertid manuelt oppdatere DNS ved hjelp av metodene vi har beskrevet ovenfor. Hvis du ikke gjør det, vil det føre til en DNS-lekkasje.
Men bare fordi VPN-leverandøren din har sine egne DNS-adresser, kan du fortsatt bruke Cloudflare-adresser i stedet. Faktisk anbefales det; Det er svært lite sannsynlig at VPN-DNS-en din vil være så sofistikert eller like robust som den nye 1.1.1.1-tjenesten.
Hvis du leter etter en solid og anerkjent VPN-leverandør, anbefaler vi ExpressVPN, CyberGhost eller Privat Internett-tilgang.
Utforsk mer om: DNS, Online Personvern, Online Security, Overvåkning.