Hoe Cloudflare DNS 4 grote DNS-privacyrisico's helpt oplossen
In april 2018 heeft Cloudflare een nieuwe beveiligingshulpprogramma uitgebracht. Genaamd 1.1.1.1, het is een consumenten-DNS-adres dat iedereen gratis kan gebruiken. Het kan helpen de DNS-beveiliging te verhogen, de privacy van gebruikers te verbeteren en mogelijk zelfs uw netwerkverbinding te versnellen.
Maar hoe werkt het? Hoe gebruik je het? En welke DNS-privacyrisico's kan het helpen verbeteren? Laten we dat van dichterbij bekijken.
Het probleem met DNS en privacy
Het Domain Name System (DNS) wordt vaak genoemd “het telefoonboek van het internet.” Het is de technologie die verantwoordelijk is voor het koppelen van de domeinen die we allemaal dagelijks gebruiken (bijv. makeuseof.com) met het IP-adres van de webserver van die site.
Natuurlijk zou u het IP-adres van een site kunnen invoeren en zou u toch op de startpagina terechtkomen, maar op tekst gebaseerde URL's zijn veel gemakkelijker te onthouden, vandaar dat we ze gebruiken.
Helaas komt DNS-technologie met veel privacyproblemen. De problemen kunnen uw online veiligheid ondermijnen, zelfs als u alle gebruikelijke voorzorgsmaatregelen elders op uw systeem neemt. Hier zijn enkele van de ergste privacyproblemen die verband houden met DNS.
1. Uw internetprovider is aan het kijken
Vanwege de manier waarop DNS werkt, fungeert het als een logboek van de websites die u bezoekt. Het maakt niet uit of de site die u bezoekt HTTPS gebruikt, uw ISP, mobiele provider en openbare Wi-Fi-providers weten allemaal precies welke domeinen u hebt bezocht.
Het is verontrustend dat ISP's in de Verenigde Staten sinds medio 2017 de browsegegevens van hun klanten voor financieel gewin mogen verkopen. Inderdaad, de praktijk is gebruikelijk over de hele wereld.
Uiteindelijk helpt uw browsegeschiedenis enorme bedrijven om geld te verdienen. Daarom moet u altijd een externe DNS-provider gebruiken 4 Redenen waarom het gebruik van externe DNS-servers veiliger is 4 Redenen waarom het gebruik van externe DNS-servers veiliger is Waarom is het wijzigen van uw DNS een goed idee? Welke beveiligingsvoordelen brengt het? Kan het uw online activiteiten echt veiliger maken? Lees verder .
2. De regering kijkt toe
Net als ISP's kunnen autoriteiten uw DNS-log gebruiken om te zien welke sites u heeft bezocht.
Als je in een land woont dat een minder-dan-tolerante benadering van politieke tegenstanders, LGBTQ-activisten, alternatieve religies, enzovoort, in aanmerking neemt, zou het bezoeken van sites van die aard je in de problemen kunnen brengen.
Helaas kan uw DNS-zoekgeschiedenis uw privéopvattingen onthullen aan entiteiten die u mogelijk als gevolg daarvan kunnen aanpakken.
3. Snooping en Tamping
Je loopt ook het risico van DNS's gebrek aan “laatste mijl” encryptie. Laten we het uitleggen.
DNS kent twee kanten: gezaghebbende (aan de inhoudelijke kant) en een recursieve resolver (aan de kant van uw ISP). In algemene termen kunt u denken aan DNS-resolvers die de vragen stellen (d.w.z.., “waar kan ik deze site vinden?”) en gezaghebbende DNS-naamservers die de antwoorden bieden.
Gegevens die worden verplaatst tussen de resolver en de gezaghebbende server worden (theoretisch) beveiligd door DNSSEC. echter, de “laatste mijl” -het gedeelte tussen uw machine (de stub-resolver genoemd) en de recursieve resolver - is niet beveiligd.
Helaas biedt de last mile veel mogelijkheden voor snoopers en sabotage.
4. Man-in-the-Middle-aanvallen
Wanneer u op internet surft, gebruikt uw computer vaak DNS-gegevens die ergens in het netwerk in de cache zijn opgeslagen. Als u dit wel doet, kunt u de laadtijd van pagina's verminderen.
De caches zelf kunnen hier echter het slachtoffer van worden “cache vergiftiging.” Het is een vorm van man-in-the-middle-aanval. Wat is een aanval van de mens in het midden? Beveiliging Jargon verklaarde wat een man-in-het-middenaanval is? Beveiliging Jargon uitgelegd Als je hebt gehoord van "man-in-the-middle" -aanvallen, maar niet helemaal zeker bent wat dat betekent, is dit het artikel voor jou. Lees verder .
In eenvoudige bewoordingen kunnen hackers profiteren van kwetsbaarheden en slechte configuraties om frauduleuze gegevens aan de cache toe te voegen. Dan, de volgende keer dat u probeert om de “vergiftigd” site, wordt u naar een server gestuurd die door de crimineel wordt beheerd.
De verantwoordelijke partijen kunnen zelfs uw doelsite repliceren; u zult misschien nooit weten dat u bent omgeleid en dat u per ongeluk gebruikersnamen, wachtwoorden en andere gevoelige informatie hebt ingevoerd.
Dit proces is het aantal phishingaanvallen.
Hoe helpt 1.1.1.1?
De nieuwe 1.1.1.1-service van Cloudflare kan veel van de privacyproblemen in verband met DNS-technologie verhelpen.
Het bedrijf praatte lang met ontwikkelaars van de browser voordat de service openbaar werd en ontwikkelde zijn tool in overeenstemming met hun aanbevelingen.
1. Geen tracking, geen gegevensopslag
Ten eerste heeft Cloudflare een toezegging gedaan om zijn DNS-gebruikers nooit te volgen of advertenties te verkopen op basis van hun kijkgedrag. Om het vertrouwen van de consument in zijn verklaring te versterken, heeft het bedrijf gezworen om nooit IP-adresquery's op schijf op te slaan en beloofd alle DNS-logboeken binnen 24 uur te verwijderen.
In de praktijk betekent dit dat uw DNS-geschiedenis bij ISP's en overheden uit handen blijft. Er is zelfs geen record met Cloudflare om toegang tot te vragen.
2. Geavanceerde technologie
Wanneer u een URL typt en op Enter drukt, verzenden bijna alle DNS-resolvers de volledige domeinnaam (de “www,” de “gebruikmaken van,” en de “com”) naar de basisservers, de .com-servers en eventuele intermediaire services.
Al die informatie is niet nodig. De root-servers hoeven de resolver alleen naar .com te leiden. Verdere opzoekvragen kunnen op dat moment worden gestart.
Om dit probleem te bestrijden heeft Cloudflare een breed scala van zowel overeengekomen als voorgestelde DNS-privacybeschermingsmechanismen geïmplementeerd voor het verbinden van de stub-resolver en de recursieve resolver. Het resultaat is dat 1.1.1.1 alleen de ontbrekende hoeveelheid informatie zal verzenden die nodig is.
3. Anti-snooping
Ik haat het als de DNS nep is, bezig met het rondsnuffelen
- Enig in zijn soort ? (@BlameDaAriesNme) 26 september 2017
De 1.1.1.1-service biedt een functie die snooping in de last mile helpt bestrijden: DNS over TLS.
DNS over TLS versleutelt de laatste mijl. Het werkt door de stub-resolver een TCP-verbinding te laten maken met Cloudflare op poort 853. De stub start vervolgens een TCP-handshake en Cloudflare biedt het TLS-certificaat.
Zodra de verbinding tot stand is gebracht, worden alle communicatie tussen de stub-resolver en de recursieve oplosser gecodeerd. Het resultaat is dat afluisteren en knoeien onmogelijk wordt.
4. Bestrijding van man-in-the-middle-aanvallen
Volgens de cijfers van Cloudflare gebruikt minder dan 10 procent van de domeinen DNSSEC om de verbinding tussen een recursieve resolver en een gezaghebbende server te beveiligen.
DNS via HTTPS is een opkomende technologie die helpt bij het beveiligen van HTTPS-domeinen die geen DNSSEC gebruiken.
Zonder encryptie kunnen hackers naar uw datapakketten luisteren en weten welke site u bezoekt. Het gebrek aan encryptie laat je ook kwetsbaar voor man-in-the-middle-aanvallen zoals die we eerder hebben beschreven.
Hoe kunt u beginnen met gebruiken 1.1.1.1?
Het gebruik van de nieuwe 1.1.1.1-service is eenvoudig. We zullen het proces voor zowel Windows- als Mac-machines uitleggen.
Hoe DNS op Windows te veranderen
Volg de onderstaande stappen om uw DNS-provider in Windows te wijzigen:
- Open de Controlepaneel
- Ga naar Netwerkcentrum> Adapterinstellingen wijzigen
- Klik met de rechtermuisknop op uw verbinding en selecteer eigenschappen
- Scroll naar beneden, markeer internet Protocol versie 4 (TCP / IPv4), en klik op eigenschappen
- Klik op Gebruik de volgende DNS-serveradressen
- invoeren 1.1.1.1 in de eerste rij en 1.0.0.1 in de tweede rij
- Raken OK
Hoe DNS op Mac te veranderen
Als je een Mac hebt, volg je deze instructies om je DNS te wijzigen:
- Ga naar Apple> Systeemvoorkeuren> Netwerk
- Klik op uw verbinding in het paneel aan de linkerkant van het venster
- Klik op gevorderd
- highlight DNS en druk op +
- invoeren 1.1.1.1 en 1.0.0.1 in de daarvoor bestemde ruimte
- Klik OK
En vergeet niet om altijd een VPN te gebruiken
Belangrijker dan een goede DNS, moet u altijd een sterke VPN gebruiken in de strijd om online privacy.
Alle gerenommeerde VPN-providers zullen ook hun eigen DNS-adressen leveren. Soms moet u uw DNS echter handmatig bijwerken met de methoden die we hierboven hebben beschreven. Als u dit niet doet, resulteert dit in een DNS-lek.
Maar alleen omdat uw VPN-provider zijn eigen DNS-adressen levert, kunt u in plaats daarvan nog steeds Cloudflare-adressen gebruiken. In feite is het aanbevolen; het is zeer onwaarschijnlijk dat de DNS van uw VPN net zo geavanceerd of zo robuust is als de nieuwe 1.1.1.1-service.
Als u op zoek bent naar een solide en gerenommeerde VPN-provider, raden we u aan ExpressVPN, CyberGhost of Private Internet Access te gebruiken.
Meer informatie over: DNS, online privacy, online beveiliging, bewaking.