Perusahaan Internet untuk Nama dan Nomor (ICANN) sedang bersiap untuk mengganti kunci kriptografi yang melindungi server DNS pada 11 Oktober. Jika terjadi kesalahan, jutaan pengguna akan mengalami masalah dengan Internet.

Sistem pengalamatan World Wide Web dirancang sedemikian rupa sehingga kita tidak perlu mengingat IP digital situs - cukup mengetahui URL dalam bahasa alami (misalnya, situs, bukan 80.93.184.195). Server DNS (dari Sistem Nama Domain Bahasa Inggris) akan melakukan tugas penerjemah untuk kita dan menentukan sumber daya web apa yang kita cari dengan mengetikkan alamat ini atau itu atau mengklik baris kembali mesin pencari.

Sejak Internet menjadi platform untuk bisnis, jumlah korban penipu dunia maya yang menyadap permintaan pengguna ke server DNS dan, alih-alih ke situs yang diinginkan, mengalihkannya ke situs palsu, terkadang secara visual tidak dapat dibedakan dari aslinya, bertambah setiap tahun. . Oleh karena itu, pada tahun 2010, ICANN memperkenalkan sistem kunci KSK (Key Signing Key) - ekstensi keamanan sistem nama domain (DNS Security, atau DNSSEC), yang penggantiannya sudah lama tertunda.

Zona Server DNS Root

Sumber: Wikipedia.

Tanggal penting

KSK digunakan untuk lebih melindungi permintaan pengguna ke sistem DNS. Mereka dipasang di konfigurator (jangkar kepercayaan) di server zona domain root (resolver validasi) dan lokal (resolver rekursif) dan memastikan bahwa URL yang ditentukan dalam permintaan sesuai dengan alamat IP asli. Sesuai aturan, KSK wajib diganti setiap lima tahun sekali. Namun karena kewenangan pemerintah AS untuk mengelola nama domain telah habis, dan banyak operator besar yang belum siap, mereka memutuskan untuk tidak terburu-buru.

Mereka mulai berbicara serius tentang pembaruan kunci pada Juli 2016, dan beberapa hari yang lalu perusahaan mengumumkan kesiapan nomor satu - pada 11 Oktober, direncanakan untuk menonaktifkan versi KSK saat ini dan beralih ke yang baru. Karena operator memiliki cukup waktu untuk memperbarui konfigurator penyelesai, perubahan kunci harus dilakukan secara otomatis dan tidak terlihat oleh seluruh dunia. Terlebih lagi, dua dari setiap tiga pengguna Internet tidak memiliki hubungan sama sekali dengan DNSSEC.

Keamanan dengan mengorbankan risiko

Namun, menurut ICANN sendiri, ada kemungkinan bahwa karena alasan tertentu, beberapa penyelesai akan meninggalkan kunci lama di jangkar kepercayaan - dalam hal ini, server DNS tidak akan dapat memahami situs mana yang diminta darinya. Selain itu, karena kekhasan memvalidasi kunci zona domain root oleh apa yang disebut server DNS otoritatif (bertanggung jawab atas domain orde pertama, misalnya, zone.ru), konsekuensinya mungkin muncul setelah dua hari.

Petugas kriptografi ICANN memperingatkan bahwa bagi 750 juta pengguna biasa, hal ini dapat mengakibatkan kesalahan tak terduga saat mengakses halaman di browser (seperti “kegagalan server” dan SERVFAIL) atau memuat situs tanpa gambar, kegagalan dalam pertukaran email, pesan rusak, dan perlambatan umum dalam kecepatan Jaringan. Konsekuensi yang lebih serius mengancam sistem dan layanan otomatis yang terhubung ke DNSSEC - tidak hanya sinkronisasi waktu yang akan terganggu, tetapi seluruh aliran dokumen elektronik.

Selain itu, ICANN mengharapkan peningkatan beban komputasi yang signifikan di seluruh hierarki DNS karena peningkatan permintaan pembaruan KSK dari operator dengan kunci yang lebih lama. Hasil pemantauan situasi dijanjikan akan dipublikasikan di website korporasi.

Siapa pun yang memikirkan anonimitas di Internet tahu cara terbaik untuk menyembunyikan alamat IP mereka di Internet - layanan VPN. Namun, bahkan dengan koneksi VPN, kueri ke server DNS sering kali tetap tidak terlindungi, dan Anda dapat dengan mudah melacak ke mana perginya kueri DNS Anda. Ini juga disebut “DNSleaks” atau “kebocoran DNS”.

Mari kita lihat lebih dekat apa itu DNS dan masalah apa saja yang ada.

Seperti yang Anda ketahui, setiap komputer di Internet memiliki alamat IP masing-masing, tanpa mengetahui alamat IP komputer tersebut, tidak mungkin untuk mengirimkan informasi atau permintaan. Alamat IP adalah angka 4-byte yang dipisahkan oleh titik (misalnya, 162.234.12.110 atau 78.31.54.226).

Tidak mudah bagi orang awam untuk mengingat alamat IP dalam jumlah besar, sehingga pada awal perkembangan Internet, muncul kebutuhan akan suatu alat yang dapat memudahkan hidup pengguna Internet. DNS, Sistem Nama Domain, menjadi alat tersebut. Server DNS adalah alat yang memungkinkan Anda menentukan alamat IP dari nama domain.

Misalnya, Anda memasukkan alamat situs web di baris browser, browser mengirimkan permintaan ke server DNS, yang ditentukan dalam pengaturan koneksi Internet Anda. Server mengirimkan kembali paket respons yang berisi alamat IP situs yang diinginkan.

Di satu sisi, semuanya dilakukan dengan mudah - Anda cukup mencolokkan kabel ke kartu jaringan, Anda secara otomatis diberi server DNS penyedia dengan respons cepat, dan semuanya berfungsi. Namun di sisi lain, ada dua permasalahan dalam skema ini:

1) Tidak ada enkripsi koneksi. Ini berarti penyerang mana pun dapat mencegat lalu lintas Anda dan memalsukan alamat IP Anda. Misalnya, menunjukkan kepada Anda halaman perbankan online palsu. Dianjurkan juga untuk menyembunyikan lalu lintas ini dari penyedia atau dari lembaga penegak hukum (Anda tidak pernah tahu J).

2) Server DNS ISP diwajibkan oleh hukum untuk menyimpan log(dari IP apa, situs apa yang dikunjungi, dan waktu koneksi), serta atas permintaan lembaga penegak hukum, berikan log ini (saya harap semua orang mengetahuinya? J). Saya akan mengatakan lebih jauh lagi, 99% server DNS di dunia menulis log dan tidak menyembunyikannya.

Jika tiba-tiba Anda tidak ingin orang lain mencegat data Anda atau membaca log kunjungan Anda, ada opsi yang dapat diandalkan. Apa yang harus dilakukan:

1) Anda perlu mengenkripsi koneksi. Ada program DNSproxy untuk ini. Ini terhubung ke server DNS tidak secara langsung, tetapi dienkripsi melalui pemecah masalah DNS (itu hanya mengalihkan permintaan ke server DNS). Pada gilirannya, penyelesai mengirimkan data ke server DNS, juga melalui koneksi terenkripsi. Artinya, dengan cara ini, dengan menggunakan sniffer (misalnya WIreshark), Anda hanya dapat mengetahui alamat IP dari solver tersebut. Namun karena paket dienkripsi menggunakan “Kriptografi kurva elips”, tidak mungkin menentukan server DNS spesifik mana yang kita gunakan untuk bertukar data.

2) Anda perlu menggunakan server DNS yang tidak menyimpan log. Seperti yang Anda pahami sendiri, server penyedia segera menghilang. Selain itu, untuk anonimitas, Anda tidak dapat menggunakan server DNS Google atau Yandex, karena server tersebut dengan jujur ​​​​mengakui menyimpan informasi (baca Perjanjian Kerahasiaan mereka). Tapi ada server DNS yang akan membantu kami. Ini adalah www.opennicproject.org. Situs tersebut mengatakan bahwa server tidak menulis log apa pun (ya, percayalah). Namun sayangnya, server tersebut tidak stabil dan terkadang crash. Untuk mengatasi masalah ini Anda dapat menggunakan program ini "Proksi DNS Akrilik". Ini memungkinkan Anda membuat kueri bukan ke satu server DNS, tetapi ke 10 server sekaligus. Dan paket dari server yang datang paling cepat akan diterima oleh program. Oleh karena itu, kami akan menyelesaikan dua masalah sekaligus - kami akan meminimalkan hilangnya kecepatan permintaan (karena pertukaran data tercepat biasanya terjadi dengan server DNS penyedia), dan kami akan meratakan ketidakstabilan server mana pun.

Jadi, kita perlu mengenkripsi koneksi untuk mengamankan server DNS. Ini akan berguna tidak hanya bagi mereka yang tidak menggunakan VPN (cara mengatasi masalah kebocoran DNS akan ditulis nanti). Mari kita mulai:

2) Dalam pengaturan koneksi jaringan Anda, Anda perlu memasukkan alamat DNS secara manual. Buka “Jaringan dan Pusat Berbagi” -> “Sambungan Area Lokal” -> “Properti” -> “Protokol Internet Versi 4 TCP/IPv4”. Di sana kami menetapkan 127.0.0.1. Baris kedua harus dikosongkan.

3) Untuk meluncurkan AcrylicDNSProxy, buka Mulai dan klik “ Mulai Servis Akrilik". Sebuah pesan yang menunjukkan peluncuran berhasil akan muncul.

4) Sekarang kami memeriksa server DNS kami di situs web www.perfect-privacy.com/dns-leaktest. Seharusnya seperti ini:

Beras. 2

Anda dapat menambahkan file AcrylicController.exe untuk memulai.

5) Sekarang kami mengenkripsi permintaan kami ke server DNS menggunakan program DNScrypt.

6) Buka paket dan jalankan dnscrypt-winclient.exe. Di sana kami memilih kartu jaringan kami dan klik Instal. Koneksi ke server DNS sekarang dienkripsi.

7) Mari kita periksa apa yang sekarang akan ditunjukkan oleh layanan verifikasi kami. Kunjungi www.perfect-privacy.com/dns-leaktest. Tidak ada server kami yang harus memutuskan.

Dan jika Anda membuka http://whoer.net, satu-satunya hal yang dapat ditampilkan adalah alamat pemecah DNS yang dilalui kueri DNS. Servernya sendiri “tidak diketahui”.

Beras. 3

Enkripsi VPN + DNS​

Gambar tersebut menunjukkan diagram khas koneksi Anda saat menghubungkan ke server VPN.

Gambar 4.

Seperti yang Anda lihat, ada kerentanan - permintaan DNS dapat dikirim secara bersamaan melalui server VPN dan langsung ke server DNS yang ditentukan pada koneksi jaringan Anda.

Tampaknya Anda cukup mendaftarkan server DNS secara manual di pengaturan koneksi sebagai 127.0.0.1 sehingga tidak ada permintaan yang tidak perlu ke penyedia DNS. Namun yang jelas, jika Anda memutuskan sambungan dari VPN, Internet tidak akan berfungsi, karena saat menyambung ke VPN, server DNS mereka sendiri digunakan. Jika Anda cukup memasukkan dua server proyek www.opennicproject.org, ini akan mengurangi kecepatan berselancar di Internet saat VPN dinonaktifkan. Dalam hal ini, disarankan juga untuk menginstal program AcrylicDNSProxy, yang tidak akan membuat kecepatan berselancar Anda turun. Tapi karena Anda menginstal AcrylicDNSProxy, mengapa tidak menginstal DNScrypt?

Jika Anda menggunakan layanan VPN 100% sepanjang waktu, Anda cukup memasukkan satu alamat IP di pengaturan DNS: 127.0.0.1. Ini sudah cukup.

Dengan demikian, ditemukan skema menarik yang memungkinkan Anda untuk menganonimkan dan menyembunyikan permintaan DNS, yang akan sedikit membantu jika Anda bertemu dengan "otoritas", dan jika peretas jahat lokal memutuskan untuk mengalihkan permintaan DNS dan menampilkan situs anak-anak Anda alih-alih "Yah, tunggu sebentar” - situs untuk orang dewasa.

Catatan: jika semua ini tidak berguna bagi Anda, cukup instal AcrylicDNSProxy yang menunjukkan server penyedia Anda, Yandex, Google, dll., yang akan memberi Anda percepatan penjelajahan Internet yang nyata.

Terima kasih atas perhatian Anda.

Menyukai

Menyukai

Menciak

Perkenalan

Saya akan bercerita tentang program yang telah saya gunakan selama bertahun-tahun. Ini sedikit meningkatkan keamanan jaringan, melindungi terhadap spoofing situs saat bekerja melalui jaringan Wi-Fi yang tidak aman.

Saya tidak akan membahas detail teknisnya. Saya akan memberi tahu Anda secara singkat inti masalahnya, yang mulai terpecahkan hanya dalam 5 tahun terakhir, namun dengan bantuan DNSCrypt Anda dapat melindungi diri Anda sendiri hari ini.

Kueri DNS tidak aman

Untuk berkomunikasi antar perangkat digunakan metode transmisi data TCP/IP. Ini bukanlah sebuah protokol atau sekumpulan program, tetapi sebuah konsep (model) tentang bagaimana komunikasi ini harus terjadi.

TCP/IP mempunyai banyak kekurangan, namun karena modelnya “plastik”, maka model ini telah diperbaiki dan diperbaiki selama lebih dari 40 tahun keberadaannya. Misalnya, agar tidak ada yang dapat melihat apa yang Anda masukkan di situs dan menerima tanggapannya, banyak situs telah secara besar-besaran beralih ke protokol terenkripsi

Sayangnya, masih banyak kerentanan di TCP/IP. Salah satu kelemahannya adalah sistem nama domain ( D oma N aku S sistem, DNS).

Saat Anda membuka situs web di bilah alamat, komputer perlu mengetahui server mana yang akan dikirimi permintaan. Untuk melakukan ini, dia menghubungi server DNS yang menyimpan catatan tentang alamat IP server digital mana yang harus dihubungi untuk mendapatkan halaman yang diinginkan.

Masalahnya adalah itu komputer mempercayai server DNS tanpa syarat. Jika Anda terhubung ke jaringan Wi-Fi publik di kafe, yang pemiliknya telah menyiapkan servernya sendiri dengan alamat palsu, ada kemungkinan bahwa alih-alih VKontakte Anda akan membuka umpan yang mengumpulkan kata sandi.

Ada beberapa cara untuk melindungi permintaan ke server nama, namun sistem operasi tidak menggunakannya. Anda perlu memodifikasi OS sendiri menggunakan program terpisah.

DNSCrypt sederhana

DNSCrypt sederhana memudahkan dan menyederhanakan perubahan pengaturan kartu jaringan sehingga semua permintaan masuk ke server DNS yang mendukung DNSSEC. Teknologi ini memungkinkan Anda menghindari spoofing alamat IP. Sebagai bonus, hanya server nama yang menghormati privasi yang akan digunakan, mis. tidak menyimpan permintaan pengguna.

Program ini mudah dipasang. Hal utama adalah memilih versi 32 atau 64-bit yang tepat, tergantung pada kedalaman bit Windows Anda. Kedalaman bit dapat dilihat di Panel Kontrol - Sistem (di Windows 10 - Pengaturan - Sistem - Tentang).

Setelah instalasi dan peluncuran dari pintasan di Desktop, tidak perlu mengubah pengaturan. Cukup tekan tombolnya "Menerapkan."

Anda akan melihat bahwa sakelar untuk item "Layanan DNSCrypt" diatur ke posisi hijau "Aktif". Ini berarti bahwa layanan baru telah diluncurkan di Windows, yang intinya adalah bertindak sebagai server proxy untuk semua permintaan DNS, mengarahkannya ke server yang aman (daftarnya ada di tab "Resolver", Anda tidak perlu melakukannya menyentuh apa pun di sana).

Setelah itu, Anda hanya perlu mengklik semua kartu jaringan yang terlihat di bagian bawah jendela sehingga muncul tanda centang di kanan atas.

Itu saja! Permintaan perlindungan akan segera berfungsi. Program ini akan berjalan dengan sendirinya.

Jika Anda adalah pengguna tingkat lanjut dan ingin memeriksa apakah DNSCrypt berfungsi di komputer Anda, buka properti protokol TCP/IPv4 dari koneksi jaringan. Server DNS harus lokal - 127.0.0.1.

Jika situs web terbuka saat menggunakan server nama 127.0.0.1, utilitas dnscrypt-proxy berfungsi, tidak ada yang menulis permintaan Anda dan penyedia tidak melacak permintaan.

Dihapus programnya, seperti program lainnya, melalui Panel Kontrol.

DNSCypt ≠ privasi lengkap

Jangan bingung antara enkripsi DNS dengan mengenkripsi semua lalu lintas antara Anda dan situs web.

DNSCrypt akan membantu

• melindungi terhadap server DNS yang dipalsukan oleh penyerang,
• mengenkripsi permintaan DNS.

Utilitas tidak akan membantu

• menjaga privasi di Internet,
• mendapatkan akses ke situs yang diblokir di negara Anda,
• melindungi dari spoofing jika file host di komputer diedit.

Jika Anda mengkhawatirkan masalah privasi, DNSCrypt hanyalah alat pendukung. Untuk penjelajahan anonim di Internet, teknologi VPN dan/atau Tor digunakan, kemudian enkripsi DNS akan memberikan perlindungan tambahan jika beberapa program di komputer Anda meminta alamat IP domain dengan melewati VPN.

Jika Anda menggunakan DNSCypt tanpa VPN, penyedia akan tetap melihat bahwa Anda mengakses server dengan IP ini dan itu, dan jika beberapa situs dihosting di server dengan alamat IP yang sama, maka akan dapat menentukan yang mana. kamu sedang berkunjung itu akan berhasil menggunakan analisis kueri (catatan Indikator Nama Server dikirimkan dalam bentuk teks yang jelas bahkan saat menggunakan HTTPS).

Sistem operasi lain

Enkripsi DNS seharusnya berfungsi secara default di sistem operasi apa pun. Tapi fungsi ini tidak ada! Baik Windows, Linux, maupun Android, di mana pun tidak memiliki dukungan untuk DNSCrypt atau teknologi serupa.