¿Debería preocuparse al usuario promedio por la seguridad del DNS?

El usuario promedio , en mi opinión, no debería dedicar tiempo a pensar en los ataques de DNS.

Primero, simplemente no sucede en una escala que justifique tal atención. Cuando los ataques de suplantación de identidad (phishing), el ransomware y la adivinación de contraseñas son desenfrenados, los usuarios están infinitamente mejor gastando la poca motivación de seguridad que tienen para prevenirlos.

En segundo lugar, un ataque que involucre a un servidor DNS malicioso significa de manera realista que te estás conectando a un punto de acceso no autorizado. Si está utilizando TLS para tantas cosas como sea posible, mitiga en gran medida la cantidad de daño que se puede hacer en ese escenario de todos modos. Para cualquier cosa que no pase por TLS, el problema se resuelve mejor si el desarrollador de la aplicación se pone de acuerdo y es poco probable que se resuelva al alentar a los usuarios a cambiar a otra cosa.

Entonces, en la práctica, realmente diría que se reduce a "usar TLS para todo", lo que aísla a los usuarios de tanta superficie de ataque que es francamente absurdo que todavía haya holdouts en este frente. Si bien no es perfecto, al menos aumenta en gran medida la dificultad de la mayoría de los escenarios de ataque y dificulta seriamente la mayoría de los ataques no dirigidos.

Como usuario final, no puede preocuparse por DNSSEC en la práctica. DNSSEC requiere que el propietario del dominio configure su servidor de nombres autorizado para firmar sus respuestas. No puede usar DNSSEC para proteger dominios que no son compatibles con DNSSEC.

DNSCurve, por otro lado, está diseñado para asegurar la consulta de DNS entre su máquina y un servidor de nombres recursivo de confianza. El modelo de amenaza DNSCurve no aborda realmente la posibilidad de que el servidor de nombres recursivo al que te estás conectando se convierta en un pícaro.

Entonces, ¿qué debería hacer usted como usuario promedio?

1. Debe dirigir sus máquinas / enrutadores a un servidor de nombres recursivo con validación de DNSSEC operado por un operador de confianza,
2. Debes conectarte a este servidor de nombres de confianza con DNSCurve,
3. Debe tener en cuenta que si el servidor de nombres recursivo no es digno de confianza, ya sea por malicia o por incompetencia, pueden arruinar la resolución de su nombre

La primera regla de compromiso es nunca usar DNS público sin usar una VPN. Cualquier otra cosa, solo te da una falsa sensación de seguridad.

TLS puede mitigar esto, y es mucho mejor que HTTP simple, sin embargo, existe una gran cantidad de actividades no cifradas.

Yo usaría VPN + dnscrypt encima para evitar fugas de DNS.

En casa, iría un paso más allá y usaría dnscrypt para:
1) evitar que el ISP se decante por el hecho de registrar todas mis solicitudes de DNS como "metadatos"; 2) evitar que intercepten y modifiquen mis solicitudes de DNS.

(En realidad estoy haciendo esto).

Incluso iría un paso más allá y diría que debería usar las reglas de aprovisionamiento de VPN tanto en Mac en Windows que definen VPN a pedido, de modo que su conexión VPN no se interrumpa, y de repente (parte de) sus conexiones actuales gotear en la conexión normal.

Para más comentarios sobre las solicitudes de DNS. Usar el DNS en el claro es pedir problemas. Como ejemplo, en nuestras VPN corporativas, intercepto las solicitudes de DNS para cualquier servidor DNS (para personas con configuraciones de DNS fijas), y las redirijo a nuestros DNS para reducir los tickets de problemas acerca de que no puedan resolver los sitios internos. Cualquier wifi público puede / hará un spot de wifi deshonesto y hará lo mismo.