Krypterad DNS

Bakgrund
DNS tekniken som alla enheter använder sig av vid surf och annan kommunikation på internet har 35 år på nacken. Denna teknik är fundamental för internets design eftersom sk namnuppslagning som DNS är involverad i behövs när man surfar till en sida eller när en applikation ansluter till sin server. Syftet med tekniken är att slå upp IP adress(er) som servern eller sidan har eftersom det är IP adressen enheten kommer ansluta mot.

Låt oss ta ett exempel där du surfar till www.nordea.se från en dator:
Det som händer då är att datorn kontaktar sin tilldelade DNS resolver (såvida du inte alltid använder tillförlitliga DNS resolvers, vilket du automatiskt gör om du har MIRU W3 eller högre) för att får reda på IP till webbservern följt av anslutning mot denna. I detta exempel pekar www.nordea.se mot 184.30.213.235 som datorn ansluter mot.

Risk
Även om du använder tillförlitliga DNS resolvers så är den traditionella DNS trafiken okrypterad. Om du exempelvis ansluter till ett okänt nätverk så vet du inte vem som kontrollerar och avlyssnar trafiken. Den som gör det kommer utan problem se till vilka sidor du surfar (även om du ansluter mot sida som har https) eller vilka dina applikationer ansluter mot. Genom denna avlyssning kan du kartläggas, du kan också råka ut för man-in-the-middle attack där någon lägger sig i trafiken och skickar andra svar till din dator vilket får din webbläsare eller applikation att ansluta till annan server.

Se exempel på avlyssnad trafik nedan.

Lösning
Lösningen på detta är att kryptera även DNS trafiken. Detta är möjligt att utföra på två olika nivåer, antingen på den lägsta nivån som är på operativsystemnivå där tekniken DNS-over-TLS ofta används eller på en högre nivå, på applikationsnivå där tekniken DNS-over-HTTPS (DoH) oftast används.

I fallet applikationsnivå låter man applikationen utföra krypteringen. Nackdelen med detta är att det blir upp till applikationen att stödja tekniken vilket få gör samt att det är komplext att sköta denna hantering centralt på många olika typer av applikationer.

Google med flera är förespråkare för applikationslagret och erbjuder tjänster för detta, i dessa fall handlar det om att erbjuda användaren privacy och på detta sätt även kunna gömma sig för IT- och nätadministratörer.

I den lägsta nivån krypteras DNS trafiken redan i operativsystemet (exempelvis Windows) vilket innebär att samtliga DNS förfrågningar är krypterade, detta medför att oavsett om applikationen har stöd för tekniken så kommer trafiken krypteras.

Det är på denna nivå våra kunder med MIRU W3 eller högra redan nu har kryptering aktiverat.

Läs gärna det relaterade inlägget ”Internet goes dark”

Exempel på avlyssnad trafik vid surf mot www.teamfront.se där DNS är okrypterad

Exempel på avlyssnad trafik vid surf mot www.teamfront.se där DNS är krypterad