Quale è il migliore per la massima privacy e sicurezza? Ho letto entrambi e ancora non capisco le differenze tra loro ...
Qualcuno può spiegare quali caratteristiche sono esclusive di una? La mia maggiore preoccupazione è la privacy e la sicurezza.
Con DNSSEC e DNSCurve , è possibile verificare che una risposta DNS contiene ciò che il proprietario della zona ha configurato per servire i server autorevoli. Anche il registrar e il proprietario della zona madre possono produrre firme DNSSEC valide. Ma nessun altro può.
In un mondo perfetto, tutto sarebbe firmato con DNSSEC o DNSCurve, e tutti avrebbero eseguito un resolver di convalida su ciascun dispositivo, fornendo una sicurezza quasi end-to-end.
Sfortunatamente, questo non è il caso.
Uno scenario usuale è che il router locale ha un risolutore di cache incorporato e tutti i dispositivi ad esso connessi lo usano.
Tuttavia, la rete locale è solitamente il segmento di rete più vulnerabile allo spoofing del DNS. Quindi, è bello avere la verifica DNSSEC / DNSCurve sul router, ma non impedisce l'iniezione di false risposte DNS da parte di qualcuno sulla stessa rete come te. Qui è dove DNSCrypt può aiutare.
DNSCrypt viene in genere distribuito utilizzando una coppia di proxy DNS: un proxy client e un proxy server. Il lato client di DNSCrypt è un proxy a cui i normali client DNS possono connettersi. Traduce le normali query DNS in query DNS autenticate, le inoltra a un server che esegue il proxy DNSCrypt del server, verifica le risposte e le inoltra al client se sembrano autentiche. Il lato server di DNSCrypt riceve le query DNS inviate dal proxy client, le inoltra a un risolutore DNS trusted e firma le risposte ricevute prima di inoltrarle al proxy client.
Il server DNSCrypt può essere eseguito sul router, insieme a un moderno resolver DNS. I client possono quindi eseguire il codice client di DNSCrypt, sfruttando il risolutore DNS del router.
|----- Most vulnerable to attacks ------| |-- Most vulnerable to censorship --| dnscrypt client dnscrypt server Laptop/workstation/phone/tablet --------> home router --------> ISP --------> the Internet |--------- Secured by DNSCrypt ---------| |------------- Secured by DNSSEC --------------|
In alternativa, aziende, organizzazioni e singoli individui eseguono risolutori DNS pubblici che supportano il protocollo DNSCrypt . Questi possono essere utilizzati come alternativa all'esecuzione di un server DNSCrypt e di un resolver DNS sul router. Se il tuo ISP sta facendo una censura basata su DNS, questo è un modo per aggirarlo (ma in tal caso tieni presente che il resolver DNS di terze parti che usi può ancora registrare tutte le tue query).
Tutto ciò che devi usare è un client DNSCrypt come dnscrypt-proxy
o Pcap_DNSProxy
. Ciò assicurerà che le risposte ricevute siano le stesse di quelle del resolver DNS di terze parti che stai utilizzando inizialmente inviato. Tuttavia, queste risposte potrebbero non essere corrette. È proprio ciò che questi servizi hanno deciso di inviarti, non necessariamente quello che il proprietario della zona che stai interrogando ha pubblicato.
Alcuni servizi VPN eseguono i propri resolver DNS, accessibili tramite DNSCrypt, al fine di mitigare le "perdite" del DNS. Dal momento che già ti fidi di loro per il tunneling di tutto il tuo traffico, non può ferire.
Il client DNSCrypt può essere eseguito su ogni dispositivo client:
|----- Most vulnerable to attacks ------| |-- Most vulnerable to censorship --| dnscrypt client dnscrypt server Laptop/workstation/phone/tablet --------> home router --------> ISP ----------> the Internet --------> public DNS resolver |----------------------------------- Secured by DNSCrypt -------------------------------------------| |--- Secured by DNSSEC ---| |--- Most vulnerable to logging ---|
O se ti fidi totalmente della rete locale, il client DNSCrypt può essere eseguito sul router:
|----- Most vulnerable to attacks ------| |-- Most vulnerable to censorship --| dnscrypt client dnscrypt server Laptop/workstation/phone/tablet --------> home router --------> ISP ----------> the Internet --------> public DNS resolver |------------------ Secured by DNSCrypt --------------------| |--- Secured by DNSSEC ---| |--- Most vulnerable to logging ---|
Infine, puoi eseguire il tuo server DNSCrypt su una rete remota e attendibile, per ottenere la migliore protezione possibile contro la censura, pur avendo il pieno controllo su ciò che il resolver sta registrando:
|----- Most vulnerable to attacks ------| |-- Most vulnerable to censorship --| dnscrypt client dnscrypt server Laptop/workstation/phone/tablet --------> home router --------> ISP ----------> the Internet --------> private DNS resolver |----------------------------------- Secured by DNSCrypt -------------------------------------------| |--- Secured by DNSSEC ---|
Quindi, di quale hai bisogno?
Sono complementari e si rivolgono a cose diverse.
Se stai eseguendo i tuoi risolutori di cache, avere loro supporto DNSSEC e DNSCurve la validazione è una cosa eccellente. Sfortunatamente, ad oggi, il numero di domini firmati con DNSCurve è vicino a zero e il numero di zone firmate DNSSEC sta crescendo molto lentamente.
Per tutte le zone che non sono state firmate, DNSCrypt non può proteggere tutto, ma almeno proteggerà i pochi hop tra i dispositivi client e il resolver DNS, che è meglio di niente. Funziona anche su una porta diversa rispetto al normale traffico DNS (443 anziché 53), il che è sufficiente per aggirare alcuni filtri di contenuto.
Ma se la tua preoccupazione principale è la privacy, ciò di cui hai bisogno è una VPN.
DNSCrypt è basato su DNSCurve in parte, ma servono a scopi diversi.
DNSCrypt crittografa il traffico tra i risolutori di stub (la tua workstation, il tuo browser, ecc.) e i recursori (come le offerte dell'ISP e come OpenDNS). Fornisce riservatezza e integrità tra la workstation e il servizio di risoluzione.
DNSCurve si trova in un altro posto, tra i recursori (come OpenDNS) e le autorevoli (come ns1.google.com, come il DNS che il tuo webhoster esegue per te). Fornisce riservatezza e integrità in quella parte del viaggio.
Leggi altre domande sui tag dns