DNS criptati: pro e contro
I DNS criptati offrono il vantaggio di garantire una maggior privacy per gli utenti Internet e rendere più difficile l’esfiltrazione di dati e il dirottamento verso altri siti durante la risoluzione di una query DNS. Tuttavia, emergono dubbi riguardo la sicurezza che effettivamente garantiscono. In questo post spieghiamo come gli strumenti offerti da FlashStart rendano più sicuro l’utilizzo di DNS criptati.
1. Cos’è il DNS
Il DNS – Domain Name System – è quello che potremmo definire l’elenco telefonico di Internet. Ogni sito web, infatti, è riconducibile a una serie di numeri e punti, il cosiddetto indirizzo IP – Internet Protocol – che lo identifica univocamente. Inoltre, anche i dispositivi elettronici sono dotati di un indirizzo IP univoco. In questo modo, la comunicazione può avvenire come tra due numeri di telefono, con uno che chiama e l’altro che risponde.
Il protocollo DNS è il sistema che permette di tradurre il nome del dominio o sito cercato, facile da ricordare o da identificare in una lista di risultati di ricerca, nella sequenza di numeri e punti riconosciuta dal web. Una volta conclusa questa operazione, che dura un tempo talmente breve che l’utente in media non si rende conto di cosa stia succedendo, il browser reindirizza l’utente al sito desiderato.
Più nello specifico, con ogni nostra richiesta di caricamento di una pagina web noi azioniamo quattro server in un processo che può essere paragonato a quello della richiesta di un libro in biblioteca.
2. DNS Recursor
Si tratta di un resolver ricorsivo che riceve le query (richieste di reindirizzamento a siti web) che generalmente scaturiscono da un browser web. Per ogni richiesta memorizza nella cache le informazioni ricevute dagli altri server implicati nel processo. In questo modo, se un utente richiede a stretto giro di accedere più volte allo stesso sito, il resolver ricorsivo può aggirare il processo dei quattro server e reindirizzare direttamente l’utente al sito desiderato.
Questo è possibile perché il DNS recursor è il server che tiene le fila del processo legato alla query, inviando le richieste agli altri server man mano che ne riceve le risposte.
Paragonando il processo di risoluzione DNS a quello di una richiesta in biblioteca, il DNS Recursor corrisponderebbe al bibliotecario a cui esponiamo la nostra richiesta.
3. Root nameserver
Il Root nameserver è il primo passo nella risoluzione vera e propria e si occupa di indirizzare la richiesta del resolver ricorsivo in base all’estensione del dominio cercato (.net, .org, .it, .com, ecc.). Al mondo esistono 13 root nameserver. Essi sono controllati da un’organizzazione chiamata Internet Corporation for Assigned Names and Numbers (ICANN) che agisce sotto il mantra di “One world, one Internet”. Di questi 13 server esistono svariate copie nel mondo che, grazie alla rete Anycast su cui si basa anche FlashStart, permettono di rispondere in modo rapido alle richieste degli utenti.
Nel paragone con i servizi bibliotecari, il root nameserver corrisponde al catalogo della biblioteca nel quale è riportata l’ubicazione precisa di un determinato libro.
4. Server TLD nameserver
Si tratta del server TLD – Top Level Domain – quindi il server di dominio di primo livello, ossia quello corrispondente a ciò che si trova dopo l’ultimo punto nell’URL. Ad esempio, il server TLD nameserver .com include tutti i siti web catalogati il cui URL termina in .com.
Questi server sono gestiti dalla IANA – la Internet Assigned Numbers Authority – che è una filiale della sopra citata ICANN. La IANA ha diviso i TLD nameserver in due categorie: quelli generici (come .com, .edu, .gov, .org e .net) e quelli con codice internazionale, che includono tutti i domini riconducibili a specifici Paesi o stati (.de, .es, .it, .uk, ecc.).
Nella nostra metafora bibliotecaria, i server TLD nameserver corrisponde allo specifico scaffale di libri all’interno della biblioteca.
5. Nameserver autoritativo
Il nameserver autoritativo rappresenta l’ultimo passo nella risoluzione del DNS verso l’ottenimento dell’indirizzo IP ed è quindi paragonabile a un dizionario che si trova sullo scaffale identificato in precedenza e che permette di convertire un nome in una specifica definizione.
Se il nameserver autoritativo ha accesso all’informazione richiesta esso restituisce direttamente l’indirizzo IP al resolver ricorsivo.
FlashStart ti protegge da una vasta gamma di minacce e vieta l’accesso a siti malevoli → Attiva subito una prova gratuita
6. DNS criptati
Solitamente le query DNS e le relative risposte avvengono in plaintext, quindi utilizzando testi non formattati e che non hanno alcun tipo di criptaggio. Questo significa che, ad esempio, quando cerchiamo il sito www.flashstart.com i vari server cercano esattamente il dominio .com e poi da qui il nome flashstart. Nel caso invece di DNS criptati la ricerca avviene per un codice criptato, ad esempio 4&s$(“71ha – quindi qualcosa di indecifrabile.
L’utilizzo dei DNS criptati avviene grazie al protocollo DNS over HTTPS – conosciuto in breve come DoH – che permette agli utenti di portare a termine la risoluzione del Domain Name System usando il protocollo HTTPS. In confronto al tradizionale DNS, questo protocollo appare più sicuro e sembra una scelta migliore per proteggere la privacy dell’utente.
Come funziona? Invece di usare la trasmissione in testo semplice il browser inoltra la query e quindi il nome del sito cercato a un server HTTPS tramite una connessione criptata. L’idea è che con una connessione criptata gli esterni non dovrebbero riuscire a intromettersi nella ricerca per capire quali siti si vogliono raggiungere.
Su qualunque Router e Firewall puoi attivare la protezione FlashStart® Cloud per mettere in sicurezza i device desktop e mobile e i dispositivi IoT sulle reti locali
6.1 DNS criptati: sono davvero più sicuri?
Sono molti gli Internet Service Provider che esprimono dubbi riguardo la maggiore sicurezza del protocollo DoH rispetto al tradizionale protocollo DNS. I dubbi riguardano, da un lato, le performance dei DNS criptati, che sono state dimostrate essere inferiori rispetto al DNS tradizionale, e, dall’altro, l’effettiva privacy che questo protocollo può garantire.
Per quel che concerne il primo punto, ulteriori informazioni sul funzionamento del protocollo DNS over HTTPS sono disponibili nel nostro articolo dedicato.
Sul punto della sicurezza, invece, il protocollo DoH riduce la probabilità di attacchi intermedi che risultino nella manipolazione dei dati DNS – i cosiddetti attacchi “man-in-the-middle” che mirano a rubare le nostre informazioni senza che noi ce ne rendiamo conto e magari a dirottare le nostre richieste verso siti fittizi, portatori di malware e di contenuti pericolosi. Con i DNS criptati l’analisi del traffico DNS diventa, in linea teorica, più difficile.
Tuttavia, vista la sua trasmissione in chiaro, il servizio DoH consente agli utenti di superare facilmente i filtri di navigazione rendendo la navigazione più vulnerabile. Questo avviene quando tali filtri non prevedono un’apposita protezione sul DoH, che FlashStart invece fornisce.
Il protocollo DoH impone quindi agli amministratori di rete di ripensare la sicurezza Internet delle reti gestite e rivedere le politiche di filtraggio nell’accesso al web per gli utenti. Per questi motivi il protocollo DoH può rappresentare un punto di allarme molto importante e strategico per la sicurezza dei dati, dell’infrastruttura e degli utenti stessi.
Inoltre, anche gli hacker sono evoluti in questo senso, sviluppando attacchi che mirano in modo specifico alle query basate sul protocollo DoH, come l’attacco avvenuto alla fine di luglio 2020 da parte del gruppo iraniano Oilrig che ha usato il protocollo DoH per maneggiare, esfiltrare e spostare i dati.
>> La CloudBox di FlashStart ti permette di installare risolutori DoH interni, evitando i problemi di sicurezza legati ai DNS criptati → Attiva subito una prova gratuita
7. Gli strumenti FlashStart: filtro Internet e CloudBOX
FlashStart offre una sicurezza Internet a 360° grazie ai suoi due strumenti cardine: il filtro Internet DNS e la CloudBOX.
7.1 Il filtro Internet di FlashStart
Il filtro Internet di FlashStart utilizza algoritmi di Intelligenza Artificiale per proteggere tutti gli utenti connessi alla rete, sia quelli che vi accedono tramite il router aziendale o domestico che quelli collegati da remoto, la cui protezione è garantita dall’applicazione ClientShield.
La protezione FlashStart è basata totalmente sul cloud e quindi non richiede aggiornamenti da parte degli utilizzatori. Lo strumento blocca automaticamente l’accesso a contenuti malevoli come malware, tentativi di phishing e spyware. L’amministratore di rete può poi decidere se bloccare anche i contenuti inappropriati – come ad esempio la pornografia, i contenuti violenti e quelli legati all’uso di droghe – e quelli che creano distrazione e che includono i social network, le piattaforme di streaming audio e video e i siti per lo shopping online.
7.2 La FlashStart CloudBOX
Per garantire sicurezza e velocità FlashStart offre anche un applicativo esclusivo: la FlashStart CloudBOX, una cache che agisce da intermediario tra gli utenti e il cloud FlashStart e che è disponibile sia come hardware fisico che a livello virtuale.
La CloudBOX memorizza le richieste DNS effettuate dagli utenti e le risposte ottenute dal filtro Internet, quindi sia i permessi dati che quelli negati dal cloud. In questo modo è in grado di ottimizzare ulteriormente i tempi di risoluzione per le richieste ripetute, nonostante la latenza già bassissima garantita dal filtro Internet FlashStart la cui rete Anycast è tra le più veloci al mondo secondo www.dnsperf.com.
Inoltre, la CloudBox di FlashStart ti permette di installare risolutori DoH interni, evitando i problemi di sicurezza legati ai DNS criptati e garantendo una navigazione sicura.
Su qualunque Router e Firewall puoi attivare la protezione FlashStart® Cloud per mettere in sicurezza i device desktop e mobile e i dispositivi IoT sulle reti locali.