Dnes je šifrované spojenie na internete cez HTTPS štandardom (veríme, že rozumní administrátori toto považujú za skutočný základ) – toto šifrovanie totiž pomáha chrániť citlivé informácie prenášané cez internet, ako sú heslá, čísla kreditných kariet, ale aj bežnú komunikáciu. Avšak, volania DNS (preklad webovej adresy na IP adresu) sa zatiaľ odohráva v nešifrovanom svete, ide v praxi o obyčajný text! Ak zadáte teraz do webového prehliadača adresu blog.synology.com, váš prehliadač sa spýta viacerých DNS serverov a čaká na odpoveď od prvého, aby mu prezradil, za akou IP adresou sa „schovávajú“ dáta, ktoré chce načítať. Webový prehliadač ich potom načíta a zobrazí.
Takže, všetky kontaktované DNS servery vrátane smerovačov, cez ktoré dáta prechádzajú, si môžu ľahko prečítať informáciu, ktoré stránky navštevujete. Na prvý pohľad možno bezcenný kus dát, ak si však šikovný algoritmus dokáže zanalyzovať vaše správanie na webe (vďaka tomu, ktoré stránky čítate, kde nakupujete a pod), môžu byť tieto dáta použité napr. na lepšiu cielenú reklamu. Čo je však horšie, ak útočník vidí vašu požiadavku, môže vám podhodiť inú odpoveď, ako očakávate – ide o typický scam, tzn. DNS hijacking. A práve tu prichádza do hry DNS cez HTTPS – technológia šifrovania, ktorá vaše DNS požiadavky (preklady adries) zašifruje a umožní iba vášmu prehliadaču a vybraným DNS serverom odkľúčovať preklad. Takže „spoofing“ útoky sa stanú minulosťou. DoH služby už dnes podporujú aj giganti ako Google či Cloudfare.
Na prvý pohľad to vyzerá všetko výborne, kde je však háčik? Paradoxne v samotnej ochrane súkromia. Ak napr. využívate rodičovskú kontrolu a neumožňujete svojim deťom navštevovať niektoré kategórie stránok, tie sa dejú práve na úrovni kontroly DNS požiadaviek. Šifrovaním DoH táto služba nebude správne fungovať. Ochrana pred malvérom šíriaca sa po internete – váš antivírus a antimalvér vás chráni pred pochybnými IP adresami – lenže ako má antivírus vedieť, akú IP adresu dovoliť a akú zastaviť, ak je táto informácia šifrovaná? Problém nastáva v momente, keď zistíme, že mnoho aplikácií (či už mobilných, Windows, macOS či linuxových) natívne DoH nepodporuje, takže DoH je správna cesta, vyžaduje si však zmenu implementácie dnešných technologických riešení. Už len všetky tie nové IoT zariadenia v domácnosti s DoH v zásade nepočítali.
Riešenie? Nechajte všetku prácu za vás spraviť váš domáci smerovač (router). Vďaka Synology Router Manageru (SRM verzia 1.2.3) je nasadenie DoH otázkou 3 klikov. Synology smerovač tak všetky DNS požiadavky zašifruje až v momente, keď sa má kontaktovať s vonkajším svetom, v rámci domácnosti funguje DNS ako ste boli zvyknutí doteraz. Takže aj rodičovský zámok, antimalvér, antivírus – všetko, čo je v rámci domácnosti (čo je typicky pár počítačov, mobilov a tabletov) funguje normálne, zároveň DoH chráni pred zlomyseľnými útočníkmi celú vašu rodinu z vonkajšej strany. A nemusíte byť žiaden IT guru, aby ste niečo takéto sami doma nasadili. Netreba nijak meniť ani zaužívanú architektúru, ani aplikácie, ani zariadenia. Avšak s pár klikmi môže byť váš svet bezpečnejší.
Autor: Synology
