L'utente medio dovrebbe preoccuparsi della sicurezza DNS?

L'utente medio , a mio parere, non dovrebbe perdere tempo a pensare agli attacchi DNS.

In primo luogo, non accade su una scala che meriti tale attenzione. Quando gli attacchi di phishing, ransomware e indovinelli di password sono dilaganti, gli utenti sono infinitamente più bravi a spendere quel poco di motivazione per la sicurezza che hanno per prevenirli.

In secondo luogo, un attacco che coinvolge un server DNS malevolo significa realisticamente che ti stai connettendo a un access point canaglia. Se stai utilizzando TLS per quante più cose possibili, puoi comunque ridurre notevolmente la quantità di danni che possono essere fatti in tale scenario. Per tutto ciò che non va oltre TLS, il problema è risolto meglio dallo sviluppatore dell'applicazione che si concentra e difficilmente può essere risolto incoraggiando gli utenti a passare a qualcos'altro.

Quindi in pratica direi che si riduce a "usare TLS per tutto", che isola gli utenti da così tanto superficie di attacco che è francamente assurdo che ci siano ancora punti fermi su questo fronte. Anche se non è perfetto, aumenta almeno la difficoltà della maggior parte degli scenari di attacco e ostacola seriamente la maggior parte degli attacchi non mirati.

Come utente finale, non puoi preoccuparti di DNSSEC nella pratica. DNSSEC richiede che il proprietario del dominio configuri il proprio server dei nomi autorevole per firmare le proprie risposte. Non è possibile utilizzare DNSSEC per proteggere domini che non supportano DNSSEC.

DNSCurve, d'altra parte, è progettato per proteggere la query DNS tra la macchina e un server dei nomi ricorsivo affidabile. Il modello di minaccia DNSCurve in realtà non affronta la possibilità del server dei nomi ricorsivo che ti stai collegando a diventare canaglia.

Quindi cosa dovresti fare come utente medio?

1. Devi indirizzare i tuoi computer / router a un server dei nomi ricorsivo di convalida DNSSEC gestito da un operatore di cui ti fidi,
2. Devi connetterti a questo server dei nomi di fiducia con DNSCurve,
3. Dovresti tenere a mente che se il server dei nomi ricorsivo dimostra di essere indegno di fiducia, a causa della malizia o dell'incompetenza, può rovinare la risoluzione del tuo nome

La prima regola di ingaggio è di non utilizzare mai il DNS pubblico senza utilizzare una VPN. Qualcos'altro, ti dà solo un falso senso di sicurezza.

TLS può attenuare questo, ed è molto meglio di un semplice HTTP, tuttavia, c'è un sacco di attività non crittografate in giro.

Vorrei usare VPN + dnscrypt su di esso per evitare perdite DNS.

A casa, farei un ulteriore passo avanti e userei dnscrypt per:
1) evitare che l'ISP vada per il basso appeso frutto della registrazione di tutte le mie richieste DNS come "metadati"; 2) evitarli intercettando e modificando le mie richieste DNS.

(In realtà sto facendo questo).

Vorrei fare un passo avanti e direi che dovresti usare le regole di provisioning VPN sia in Mac in Windows che definiscono VPN su richiesta, in modo tale che la tua connessione VPN non sia distrutta, e improvvisamente (parte) delle tue attuali connessioni perdite sulla connessione normale.

Per ulteriori commenti sulle richieste DNS. L'uso del DNS in chiaro richiede problemi. Ad esempio, nelle nostre VPN aziendali, intercetto le richieste DNS per qualsiasi server DNS (per le persone con configurazioni DNS fisse) e le reindirizziamo ai nostri DNS per ridurre i ticket di problemi che impediscono loro di risolvere i siti interni. Qualsiasi wifi pubblico può / canaglia WiFi può e farà lo stesso.