írta DaveIT
2022.11.16.
A DNS az internetnek felhasználói szempontból létfontosságú szolgáltatása, hiszen ez az ami a weboldalak könnyen megjegyezhető címeit lefordítja IP címekre, amik segítségével kommunikálnak valóban az eszközök.
Weboldalaknál viszont észrevehetjük, hogy a böngészőink már egyre érzékenyebben reagálnak arra, ha titkosítatlan (HTTP) protokollal kapcsolódunk egy weboldalhoz, nagyrészt írja is a webcím előtt, hogy a kapcsolat nem biztonságos, ami tagadhatatlanul igaz. Ez különösen akkor lényeges, ha a weboldalon lehetőségünkre áll regisztrálni/bejelentkezni, ugyanis ilyenkor egyszerű szövegként lehallgatható a kommunikáció, a felhasznált e-mail címünk, jelszavunk könnyen kitudódhat. Efféle lehallgatásos támadásnak akár észrevétlenül is áldozatai lehetünk, ilyen például a közbeékelődéses támadás, azaz a Man In The Middle (MITM) féle támadás. Ilyenkor a támadó a felhasználó és a szerver közti kapcsolatban helyezkedik el, "legkönnyebben" a DHCP protokollt, az az azt a protokollt kihasználva, ami az eszközünknek például egy wifi hálózatra való kapcsolódás során kiossza a kommunikációhoz szükséges IP címet. Ez a protokoll alapvetően úgy lett tervezve, hogy egy hálózatban maximum 1 DHCP kiszolgáló lehet, ami kezeli a helyi hálózatban levő IP címeket, viszont, ha mégis több DHCP kiszolgáló van 1 hálózatban, az osztja ki az IP címet az éppen felcsatlakozó eszköznek, aki éppen gyorsabban válaszol neki, azaz versengéses alapon. Ezt használhatja ki a támadó aki a gyanútlan felhasználók forgalmát ennek a protokollnak a segítségével a saját eszközén képes átirányítani az éppen felcsatlakozott eszközöknek a teljes hálózati forgalmát, amennyiben erre nincsen felkészítve a hálózat. Ez csak egy példa a lehallgatásra, viszont ha teljesmértékben csak azt akarjuk, hogy a mi eszközünk és a kiszolgáló közt levő kapcsolatnak a tartalmát, csak ez a 2 eszköz lássa, akkor jön képbe a szóban forgó titkosítás amit a weboldalaknál, és azoknak a címeiknél használunk.
A DNS (angolul: Domain Name System) a mai napig alapbeállításában a helyi hálózatokban, illetve az internet egy bizonyos részén titkosítástalanul közvetíti a névfeloldással kapcsolatos kérelmeket, válaszokat. Otthoni internet esetén javarészt a szolgáltató DNS szervere van alapból beállítva, azaz az internetszolgáltatónk akár láthatja is, hogy milyen webcímeket látogatunk meg.
Az internetnek a kommunikációjában az IP címek mellett jelentős részt vesznek ki a port számok, amik segítségével egy adott IP címen a különböző szolgáltatásokat tudjuk azonosítani. A DNS az 53-as port számot használja, amíg egy titkosítatlan (http://) weboldal a 80-as porton található meg általában, a böngészők alapból ezt a port számot használják kezdetlegesen, amennyiben titkosított a weboldalas kapcsolat (https://), áttér a 443-as portra.
A port számok azért lényegesek most nekünk, mert amellett, hogy a DNS titkosítatlan, könnyen rátudunk szűrni egy hálózatforgalmat elemző szoftver segítségével (pl. wireshark), amivel csak a DNS forgalmat könnyedén megtudjuk jeleníteni, vagy akár a támadó is.
Például a közbeékelődéses támadással a DNS válaszok is módosíthatók, különösen veszélyes ha a DHCP esetében vagyunk áldozatai egy ilyen támadásnak, hiszen a DHCP mondja meg az eszközünknek alapesetben, hogy milyen című DNS szervert használjunk, ami szintén irányítható a támadó címére és könnyen felhasználható adathalászatra. Szerencsére manapság számos megoldás létezik a DNS forgalom titkosítására, módosításának megakadályozására.
Ilyen megoldás lett többekközött a DNS Over HTTPS (DoH). Ugyanúgy kell elképzelni, mint a sima DNS protokollt, csak hogy, ennek a forgalma ugyanazon a porton zajlik, ráadásul titkosítással mint a weboldalaknak.
Tehát nem tudunk rászűrni port alapján a DNS kérésekre, és ha esetleg el is kapunk egy ilyen csomagot, nem tudjuk a titkosítás miatt megnézni a tartalmát, hogy éppen milyen weboldalt látogatunk.
A titkosított DNS protokollokkal az a gond, hogy még a legtöbb eszközt nem lehet egyszerűen a beépített funkciókban beállítani a használatukra, de azért vannak kivételek. A Windows 11 már támogatja a DoH használatát, illetve androidon is betudjuk állítani a 'privát DNS' beállításnál.
Számos nagy szolgáltatónak vannak már ilyen szerverei ilyen például a Cloudflare is.
Otthoni hálózatban egy szerver segítségével például tudunk futtatni egy Adguard Home nevezetű DNS szolgáltatást, aminek az internet felé menő kéréseit betudjuk állítani ezeknek a szolgáltatóknak számos titkosított DNS protokollal ellátott szervereire, és még a teljes helyi hálózatunk élvezheti a legtöbb weboldalon a reklámmentességet. Az Adguard Home interneten elérhető folyamatosan frissülő listák alapján szűri ki a reklámszolgáltatók domain címeit, és amelyik eggyezik a listán található címekkel, akkor egy 0.0.0.0-ás címmel válaszol az eszközünknek. Ezt a metódust DNS sinkhole-nak nevezik, ami által röviden az eszközünk azt érzékeli, hogy az a weboldal elérhetetlen, mivel nem lehet hozzá csatlakozni.
Viszont, ha nem áll módunkban saját szervert üzemeltetni, akkor az adguard DNS szerverét nemes egyszerűséggel betudjuk állítani androidon a Privát DNS beállításnál, dns.adguard.com -ra. Ezáltal akár mobilneten, bármilyen hálózatra csatlakozva reklámmentességet élvezhetünk a legtöbb weboldalon, és azzal, hogy nem a szolgáltatónk DNS szerverét használjuk, növelhetjük is az adatvédelmünket is akár.
Kép forrása: enisa.europa.eu
Regisztrált felhasználók: 15
Bejegyzések száma: 4