Er zijn verschillende manieren om uw DNS-query's af te schermen, maar elke benadering heeft zijn eigen sterke en zwakke punten.
Het Domain Name System (DNS) wordt algemeen beschouwd als het telefoonboek van internet, waarbij domeinnamen worden omgezet in informatie die door computers kan worden gelezen, zoals IP-adressen.
Telkens wanneer u een domeinnaam in de adresbalk schrijft, converteert de DNS deze automatisch naar het bijbehorende IP-adres. Uw browser gebruikt deze informatie om de gegevens van de oorspronkelijke server op te halen en de site te laden.
Maar cybercriminelen kunnen vaak DNS-verkeer bespioneren, waardoor codering nodig is om uw internetgebruik privé en veilig te houden.
Wat zijn DNS-coderingsprotocollen?
DNS-coderingsprotocollen zijn ontworpen om de privacy en veiligheid van uw netwerk of website te vergroten door DNS-query's en -antwoorden te coderen. DNS-query's en -antwoorden worden regelmatig in platte tekst verzonden, waardoor het voor cybercriminelen gemakkelijker wordt om de communicatie te onderscheppen en te manipuleren.
DNS-coderingsprotocollen maken het voor deze hackers steeds moeilijker om uw gevoelige gegevens in te zien en aan te passen of uw netwerk te verstoren. Er zijn verschillende gecodeerde DNS-providers die uw zoekopdrachten kunnen beschermen tegen nieuwsgierige blikken.
De meest voorkomende DNS-coderingsprotocollen
Er zijn tegenwoordig verschillende DNS-coderingsprotocollen in gebruik. Deze versleutelingsprotocollen kunnen worden gebruikt om snuffelen op een netwerk te voorkomen door verkeer binnen het HTTPS-protocol te versleutelen via een TLS-verbinding (Transport Layer Security).
1. DNSCrypt
DNSCrypt is een netwerkprotocol dat al het DNS-verkeer tussen de computer van de gebruiker en algemene naamservers versleutelt. Het protocol maakt gebruik van Public Key Infrastructure (PKI) om de authenticiteit van de DNS-server en uw clients te verifiëren.
Het gebruikt twee sleutels, een openbare sleutel en een privésleutel om de communicatie tussen de client en de server te verifiëren. Wanneer een DNS-query wordt gestart, versleutelt de client deze met behulp van de openbare sleutel van de server.
De gecodeerde query wordt vervolgens naar de server gestuurd, die de query decodeert met zijn persoonlijke sleutel. Zo zorgt DNSCrypt ervoor dat de communicatie tussen de client en de server altijd geauthenticeerd en versleuteld is.
DNSCrypt is een relatief ouder netwerkprotocol. Het is grotendeels vervangen door DNS-over-TLS (DoT) en DNS-over-HTTPS (DoH) vanwege de bredere ondersteuning en sterkere veiligheidsgaranties die deze nieuwere protocollen bieden.
2. DNS-over-TLS
DNS-over-TLS versleutelt uw DNS-query met behulp van Transport Layer Security (TLS). TLS zorgt ervoor dat uw DNS-query end-to-end wordt versleuteld, het voorkomen van man-in-the-middle-aanvallen (MITM)..
Wanneer u DNS-over-TLS (DoT) gebruikt, wordt uw DNS-query naar een DNS-over-TLS-resolver gestuurd in plaats van naar een niet-versleutelde resolver. De DNS-over-TLS-resolver ontsleutelt uw DNS-query en stuurt deze namens u naar de gezaghebbende DNS-server.
De standaardpoort voor DoT is TCP-poort 853. Wanneer u verbinding maakt via DoT, voeren zowel de client als de resolver een digitale handshake uit. Vervolgens stuurt de client zijn DNS-query via het versleutelde TLS-kanaal naar de resolver.
De DNS-resolver verwerkt de query, vindt het bijbehorende IP-adres en stuurt het antwoord terug naar de client via het versleutelde kanaal. Het gecodeerde antwoord wordt ontvangen door de client, waar het wordt gedecodeerd, en de client gebruikt het IP-adres om verbinding te maken met de gewenste website of dienst.
3. DNS-over-HTTPS
HTTPS is de beveiligde versie van HTTP die nu wordt gebruikt voor toegang tot websites. Net als DNS-over-TLS versleutelt DNS-over-HTTPS (DoH) ook alle informatie voordat deze over het netwerk wordt verzonden.
Hoewel het doel hetzelfde is, zijn er enkele fundamentele verschillen tussen DoH en DoT. Om te beginnen stuurt DoH alle versleutelde zoekopdrachten via HTTPS in plaats van rechtstreeks een TLS-verbinding tot stand te brengen voor het versleutelen van uw verkeer.
Ten tweede gebruikt het poort 403 voor algemene communicatie, waardoor het moeilijk te onderscheiden is van algemeen webverkeer. DoT gebruikt poort 853, waardoor het veel gemakkelijker wordt om verkeer van die poort te identificeren en te blokkeren.
DoH heeft een bredere acceptatie gezien in webbrowsers zoals Mozilla Firefox en Google Chrome, omdat het gebruikmaakt van de bestaande HTTPS-infrastructuur. DoT wordt vaker gebruikt door besturingssystemen en speciale DNS-resolvers, in plaats van rechtstreeks te worden geïntegreerd in webbrowsers.
Twee belangrijke redenen waarom DoH op grotere schaal wordt toegepast, zijn omdat het veel gemakkelijker te integreren is in bestaand internet browsers, en wat nog belangrijker is, het gaat naadloos samen met regulier webverkeer, waardoor het veel moeilijker wordt blok.
4. DNS-over-QUIC
Vergeleken met de andere DNS-coderingsprotocollen op deze lijst, is DNS-over-QUIC (DoQ) vrij nieuw. Het is een opkomend beveiligingsprotocol dat DNS-query's en -antwoorden verzendt via het QUIC-transportprotocol (Quick UDP Internet Connections).
Het meeste internetverkeer is tegenwoordig afhankelijk van het Transmission Control Protocol (TCP) of het User Datagram Protocol (UDP), waarbij DNS-query's meestal via UDP worden verzonden. Het QUIC-protocol is echter geïntroduceerd om enkele nadelen van TCP/UDP te verhelpen en helpt om latentie te verminderen en de beveiliging te verbeteren.
QUIC is een relatief nieuw transportprotocol ontwikkeld door Google, ontworpen om betere prestaties, beveiliging en betrouwbaarheid te bieden in vergelijking met traditionele protocollen zoals TCP en TLS. SNEL combineert functies van zowel TCP als UDP, terwijl ook ingebouwde codering is geïntegreerd, vergelijkbaar met TLS.
Omdat het nieuwer is, biedt DoQ verschillende voordelen ten opzichte van de bovengenoemde protocollen. Om te beginnen biedt DoQ snellere prestaties, waardoor de algehele latentie wordt verminderd en de connectiviteitstijden worden verbeterd. Dit resulteert in een snellere DNS-omzetting (de tijd die de DNS nodig heeft om het IP-adres op te lossen). Uiteindelijk betekent dit dat websites sneller aan je worden geserveerd.
Wat nog belangrijker is, is dat DoQ beter bestand is tegen pakketverlies in vergelijking met TCP en UDP, omdat het verloren pakketten kan herstellen zonder dat een volledige hertransmissie nodig is, in tegenstelling tot op TCP gebaseerde protocollen.
Bovendien is het veel eenvoudiger om verbindingen te migreren met behulp van QUIC. QUIC omvat meerdere streams binnen een enkele verbinding, waardoor het aantal retourvluchten dat nodig is voor een verbinding wordt verminderd en de prestaties worden verbeterd. Dit kan ook handig zijn bij het schakelen tussen wifi en mobiele netwerken.
QUIC moet nog algemeen worden toegepast in vergelijking met andere protocollen. Maar bedrijven als Apple, Google en Meta gebruiken QUIC al en maken vaak hun eigen versie (Microsoft gebruikt MsQUIC voor al zijn MKB-verkeer), wat een goed voorteken is voor de toekomst.
Verwacht in de toekomst meer wijzigingen in DNS
Verwacht wordt dat opkomende technologieën de manier waarop we toegang krijgen tot internet fundamenteel zullen veranderen. Veel bedrijven maken nu bijvoorbeeld gebruik van blockchain-technologieën om veiligere protocollen voor domeinnaamgeving te bedenken, zoals HNS en Unstoppable Domains.