Ochrona rozwiązywania nazw DNS

W poprzednim artykule przedstawiliśmy sposób na podniesienie bezpieczeństwa i anonimowości podczas przeglądania Internetu za pomocą przeglądarki Tor Browser Bundle. Tutaj napiszemy kilka słów o rozwiązywaniu nazw DNS i sposobie ochrony tej usługi.

Podstawy

DNS (ang. Domain Name System), czyli system nazewnictwa domen, jest codziennie i w sumie co chwilę wykorzystywany przez każdego z nas. Nazwa domenowa to potoczna nazwa np. serwisu internetowego. Przykładowo www.wp.pl to pełna nazwa domenowa serwisu Wirtualnej Polski. Kiedy chcemy przeglądać strony danego serwisu, wpisujemy jego adres do paska adresu przeglądarki. Tak naprawdę nie jest to adres, ale nazwa domenowa. Przy okazji zwróciliście uwagę, że w zależności od przeglądarki po wpisaniu www.wp.pl wygląd paska adresu jest różny? Poniżej przykłady.

Internet Explorer

Mozilla Firefox

Google Chrome

Aby przeglądarka mogła wejść na stronę wybranego serwisu internetowego, musi poznać jego adres IP, bo tylko tak może uzyskać połączenie z serwerem docelowym. W tym momencie musi odbyć się tłumaczenie adresu WWW czytelnego dla użytkownika na adres IP czytelny dla systemów sieciowych. Taką funkcję pełni właśnie system DNS. System DNS pracuje na prawie każdym komputerze w postaci klienta. Klient ten nasłuchuje zapytań od oprogramowania typu: przeglądarka internetowa, komunikatory, czaty oraz wiele innego oprogramowania korzystającego z Internetu. Kiedy otrzyma takie zapytanie, klient DNS sam wysyła zapytanie do wcześniej skonfigurowanego serwera DNS, a od niego otrzymuje odpowiedź w postaci adresu IP. Adres ten przekazuje do oprogramowania pytającego i dopiero wtedy możliwa jest komunikacja, np. pobranie stron WWW. Jeśli system DNS nie działa lub działa nieprawidłowo, zdecydowana większość oprogramowania nie będzie funkcjonować. Przykładowo przeglądarka internetowa wyświetli błąd, i znowu każda w inny sposób, co przedstawiono poniżej.

Internet Explorer

Mozilla Firefox

Google Chrome

Generalna zasada działania DNS wygląda następująco (przykład z wp.pl):
– program użytkowy zadaje pytanie klientowi DNS: Podaj mi numeryczny adres IP takiego oto adresu domenowego: www.wp.pl,
– klient zadaje identyczne pytanie skonfigurowanemu serwerowi DNS,
– po otrzymaniu odpowiedzi przekazuje otrzymany numer IP do programu, który go wcześniej zażądał,
– program użytkowy może teraz rozpocząć komunikację, np. pobieranie stron WWW.

Szyfrowanie DNS

W większości przypadków komunikacja klient DNS – serwer DNS odbywa się w sposób nieszyfrowany, nawet jeśli korzystamy ze stron i serwisów obsługujących szyfrowanie (czyli adresów zaczynających się https://). To jeden z wielu aspektów słabości oprogramowania sieciowego. Możemy pracować na programie, który prowadzi całkowicie zaszyfrowaną komunikację, jednak z pewnością korzysta on z DNS-u, który nie jest szyfrowany. Po pierwsze, przekazuje to osobom mającym dostęp do sieci lokalnej oraz łącz internetowych, które wykorzystujemy, informację z jakich serwerów, czy nawet zasobów korzystamy. Po drugie, istnieje potencjalna możliwość dokonania ataku polegającego na podmianie adresów IP w odpowiedziach, co może skutkować zalogowaniem się na fałszywe strony i serwisy internetowe. Nie wchodząc w szczegóły takich ataków, mamy całkiem ciekawe możliwości zabezpieczenia naszego komputera i ruchu DNS. Jedną z ciekawych możliwości jest system DNSCrypt. Jest to darmowe i bardzo łatwe w instalacji oraz obsłudze oprogramowanie szyfrujące w 100% ruch DNS, jaki wychodzi i wchodzi do naszego komputera.

Pamiętajmy jednak, że nie ma systemu czy oprogramowania w 100% zabezpieczającego, czy zapewniającego anonimowość w Internecie. W przypadku DNSCrypt chociaż trasa od naszego komputera do serwera DNS jest szyfrowana i można ją uznać za bezpieczną to tak naprawdę nie wiemy, kto jest po drugiej stronie, czyli kto jest operatorem serwera DNS. Tam może odbywać się przechwytywanie i analiza ruchu DNS z naszego komputera całkowicie bez naszej wiedzy. Tak więc korzystajmy z Internetu z rozsądkiem!

Instalacja

Dla systemu Windows oprogramowanie można pobrać z serwisu http://opendns.github.io/dnscrypt-win-client/.

Pobrany plik opendns-dnscrypt-win-client.zip należy rozpakować, przejść do folderu DNSCryptUpgrade i uruchomić plik DNSCrypt-c0.0.6.msi (lub nowszy, jeśli będzie). Pojawi się prosty instalator, który w kliku krokach przeprowadzi proces instalacji:

Jedyne co musimy zrobić to kilkukrotne kliknięcie w klawisz Next – resztę wykona za nas instalator. Po chwili mamy zainstalowany program DNSCrypt, a jego ikona pojawi się w zasobniku systemowym koło zegarka w pasku zadań:

Po dwukrotnym kliknięciu ikony DNSCrypt pojawi się okno konfiguracyjne:

Zielony kolor tarczy oznacza, że program pracuje prawidłowo i chroni naszą komunikację DNS. Kolor czerwony oznacza, że ruch DNS odbywa się za pomocą standardowego nieszyfrowanego łącza.

W celu zapewnienia szyfrowania połączenia powinny być zaznaczone opcje Enable OpenDNS oraz Enable DNSCrypt. W przypadku problemów z połączeniem (np. kolor tarczy cyklicznie się zmienia na czerwony – zielony) można zaznaczyć opcję trzecią DNSCrypt over TCP/443. Program DNSCrypt uruchamia się automatycznie podczas startu systemu, tak więc pracuje cały czas i zabezpiecza nasz ruch DNS.

Jeśli zajdzie potrzeba odinstalowania programu, to robimy to przez Panel Sterowania, gdzie odinstalujemy / usuniemy program DNSCrypt:

Podsumowanie

Ochrona naszej prywatności jest w dużym stopni zależna od nas samych. Mamy do dyspozycji wiele dobrych i darmowych programów do szyfrowania danych czy transmisji w Internecie. Jednym z nich jest DNSCrypt szyfrujący ruch DNS, czyli jeden z newralgicznych elementów systemu sieciowego.

Przedstawione oprogramowanie i sposób konfiguracji to tylko jedne z wielu możliwości, jakie mamy jako użytkownicy komputerów. Więcej ciekawych informacji znajduje się na stronie projektu DNSCrypt: https://dnscrypt.org.

Opracowano:
Igor Brzeżek
NETStudio