DNS preko HTTPS

Tudi če obiščete spletno stran, ki uporablja varni protokol HTTPS, je vaša DNS poizvedba poslana preko nezaščitene povezave. Če na primer kliknete na https://podjetje.com, lahko spletni napadalci vidijo, katero stran ste obiskali. V nekaterih primerih vas preusmerijo na škodljivo stran z namenom, da zlorabijo vaše podatke, soočite pa se lahko še z drugimi škodljivimi posledicami. V tokratni objavi bomo pogledali, kako s pomočjo protokola HTTPS zavarujete svojo DNS poizvedbo.

Kaj pomenijo kratice HTTP, HTTPS in DNS?

Za lažje razumevanje bomo najprej pogledali, kaj pomenijo osnovni pojmi, ki jih bomo večkrat uporabili v tokratni objavi.

HTTP

HTTP (HyperText Transfer Protocol) je v uporabi že od leta 1989 in velja za glavni protokol za prenos informacij na spletu. Namenjen je predvsem objavljanju in pregledovanju HTML strani.

HTTPS

HTTPS je varna različica HTTP protokola. Zaščito zagotavlja SSL certifikat, ki šifrira podatke med obiskovalcem in spletno stranjo. Na ta način so podatki sicer še vedno vidni spletnim napadalcem, vendar zaradi napredne zaščite zanje niso berljivi.

DNS

DNS (Domain Name System) je poimenovanje za računalnike in različne storitve, ki so povezane z internetom oziroma z osebnim omrežjem (TCP / IP). DNS skrbi za prevod, pretvorbo ali preoblikovanje domene (npr. https://podjetje.com) v IP številko (npr. 214.288.401.21).

Kako brskalnik prikaže spletno stran?

Proces od vpisa spletne strani v brskalnik do dejanskega prikaza poteka v največ šestih korakih:

1. Ko želeno domeno vpišete v brskalnik, jo DNS najprej pretvori v IP obliko. V drugem koraku v operacijskem sistemu preveri, ali je uporabnik že kdaj iskal to spletno stran. Če gre za poznano stran, jo operacijski sistem prikaže uporabniku.

2. V primeru, da gre za stran, ki jo uporabnik še nikoli ni obiskal, se brskalnik obrne na t. i. razreševalca (ang. Resolver), čigar nastavitve upravlja vaš internetni ponudnik (ang. ISP – Internet Service Provider). Razreševalec najprej preveri v svojem predpomnilniku, če je uporabnik že kdaj obiskal iskano spletno stran.

3. Če se IP naslov spletne strani ne nahaja v predpomnilniku, se razreševalec obrne na korenski strežnik (ang. ROOT server). Slednji ve, kje se nahaja posamezna nosilna domena, na primer .COM.

4. Korenski strežnik nato razreševalca usmeri na strežnik nosilne domene. Ta strežnik poišče avtoritativni imenski strežnik, kjer je IP naslov iskane spletne strani.

5. S pomočjo registrarja domene imenski strežnik poišče točen IP naslov domene.

6. Pridobljen IP naslov razreševalec dostavi spletnemu brskalniku, ki uporabniku prikaže iskano spletno stran, ki se nahaja na strežniku prejetega IP naslova.

Nevarnosti nezaščitenega DNS sistema

Zakaj je za spletne uprabnike DNS sistem lahko nevaren? V večini primerov razreševalec DNS strežniku pove, katero domeno iščete. Zahtevek včasih vključuje tudi del ali v nekaterih primerih vaš celoten IP naslov. V kombinaciji z drugimi podatki je na ta način možno ugotoviti vašo identiteto, kar lahko izkoristijo spletni napadalci.

Razkritje IP naslova pomeni, da vsak strežnik, ki sodeluje pri procesu iskanja vaše želene domene, vidi, katero stran iščete. Bolj problematično pri tem je, da vsaka nepooblaščena oseba, ki je na poti med vašim računalnikom in strežnikom, prav tako vidi te podatke. Zloraba podatkov se najpogosteje zgodi na dva načina:

1. Sledenje

Kot smo že napisali, je s tem, ko je viden del ali celoten IP naslov, možno ugotoviti, kdo je poslal poizvedbo za posamezno spletno stran. Nekateri spletni napadalci zbirajo podatke o vseh straneh, ki jih obiskujete. Veliko podjetij je namreč pripravljenih plačati veliko denarja za te podatke. Na ta način vam namreč prikazujejo svoje oglase, z namenom, da boste kupili njihove produkte.

2. Prevara

Med spletno stranjo in DNS strežniki lahko spletni napadalci spremenijo pot do spletne strani. Namesto da brskalnik dobi IP naslov prave spletne strani, se prikaže IP naslov zlonamerne, lažne strani. Če ste na primer preusmerjeni na lažno spletno trgovino in tam opravite nakup, pride do zlorabe vaše kreditne kartice ali kraje osebnih podatkov.

Kako nastaviti DNS preko HTTPS?

Za vse uporabnike brskalnika Mozilla Firefox je na voljo rešitev v dveh korakih. Najprej je potrebno v brskalniku nastaviti Trusted Recursive Resolver (TRR):

1. Odprite brskalnik Mozilla Firefox in v iskalno vrstico vpišite: about:config.
2. Poiščice rubriko network.trr.mode in vrednost (ang. Value) nastavite na 2.

Pred čim pa vas TRR ne more zaščititi?

Z dodatkom TRR se bistveno zmanjša število nepooblaščenih oseb, ki vidijo, katere spletne strani obiskujete. Vendar vseeno dodatek ne ščiti pred odtekanjem nekaterih podatkov (ang. Data leak).

Po tem, ko se zažene DNS strežnik, da poišče IP naslov, se mora vaš računalnik še vedno povezati na spletni strežnik tega IP naslova. S tem dejanjem pošlje zahtevek, ki vključuje podatke o imenu strežnika, iz česar je razvidno, na kateri strežnik se hočete povezati. Ta zahtevek je nezaščiten. Ko pa se dejansko povežete na strežnik, so podatki zaščiteni. Ko namreč enkrat uporabljate zaščiteno povezavo, varno obiskujete vse spletne strani, ki gostujejo na tem strežniku.

Ta sistem je del protokola HTTP/2, ki temelji na ponovni uporabi povezave. Njegova prednost je v tem, da vaš brskalnik ne dela nezavarovanih zahtev s strežnikom, vsakič ko želite obiskati posamezno spletno stran. Na ta način vaš IP naslov ostane zaščiten pred spletnimi napadalci.

Nastavitev DNS sistema

Ker samo uporaba TRR ne zadošča, je potrebno nastaviti tudi ustrezen DNS sistem. Izberete lahko med Cloudflare 1.1.1.1 in Google 8.8.8.8.

Cloudflare 1.1.1.1

DNS 1.1.1.1 omogoča hiter in zaseben način brskanja po internetu. Gre za DNS razreševalec, ki so ga razvili pri podjetju Cloudflare. Na voljo je za vse priljubljene operacijske sisteme in brskalnike.

Kako nastaviti DNS 1.1.1.1?

Nastavitev zasebnih DNS strežnikov 1.1.1.1 lahko opravite v šestih korakih. V tokratni objavi bomo pogledali, kako DNS 1.1.1.1 nastavite v operacijskem sistemu Windows 10.

1. Kliknite na ikono Windows in izberite Nastavitve.

2. Kliknite na Omrežje in internet -> stanje -> Spremeni možnosti omrežne kartice.

3. V novo odprtem oknu z desno miškino tipko kliknite na ikono za dostop do omrežja in izberite Lastnosti.

4. Poiščite Internetni protokol IPv4 ali IPv6 in kliknite na gumb Lastnosti.

5. V novo odprtem oknu izberite »Uporabi te naslove strežnikov DNS«.

6.Vpišite podatke za prednostni in nadomestni DNS strežnik:

• za IPv4 vpišite: 1.1.1.1 (prednostni strežnik DNS) in 1.0.0.1 (nadomestni strežnik DNS);
• za IPv6 vpišite: 2606:4700:4700::1111 (prednostni strežnik DNS) in 2606:4700:4700::1001 (nadomestni strežnik DNS).

7. Kliknite na gumb V redu in ponovno zaženite svoj brskalnik.

S tem ste uspešno nastavili zasebne DNS strežnike.

Google 8.8.8.8

DNS 8.8.8.8 so razvili pri podjetju Google, na voljo pa je že od leta 2009. Deluje na enak način kot DNS razreševalec 1.1.1.1. Edina razlika je v 6. koraku nastavitve, kjer napišete naslednje DNS strežnike:

• za IPv4 vpišite: 8.8.8.8 (prednostni strežnik DNS) in 8.8.4.4 (nadomestni strežnik DNS);
• za Pv6 vpišite: 2001:4860:4860::8888 (prednostni strežnik DNS) in 2001:4860:4860::8844 (nadomestni strežnik DNS).

Zaključek

Ker sta varnost in zasebnost na spletu zelo pomembna dejavnika, vam svetujemo, da čim prej vklopite DNS preko HTTPS, v kolikor uporabljate brskalnik Mozilla Firefox. S tem se boste izognili negativnim posledicam, ki vas lahko doletijo zaradi uporabe nezaščitenega DNS sistema. Seveda pa obstajajo tudi drugi varnostni ukrepi, ki so potrebni za varno brskanje na spletu. Več si preberite v naših objavah, v kategoriji Varnost na spletu.