¿Cuál es mejor para la mayor privacidad y seguridad? He leído ambos y todavía no entiendo las diferencias entre ellos ...
¿Puede alguien explicar qué características son exclusivas de una? Mi mayor preocupación es la privacidad y la seguridad.
Con DNSSEC y DNSCurve , se puede verificar que una respuesta de DNS contiene lo que el propietario de la zona configuró para servir a los servidores autorizados. El registrador y el propietario de la zona principal también pueden producir firmas DNSSEC válidas. Pero nadie más puede.
En un mundo perfecto, todo estaría firmado con DNSSEC o DNSCurve, y todo el mundo ejecutaría un resolvedor de validación en cada dispositivo, proporcionando una seguridad casi de extremo a extremo.
Lamentablemente, este no es el caso.
Un escenario habitual es que el enrutador local tiene un sistema de resolución de caché integrado, y todos los dispositivos conectados a él solo lo usan.
Sin embargo, la red local suele ser el segmento de la red que es más vulnerable a la falsificación de DNS. Por lo tanto, es bueno tener verificación de DNSSEC / DNSCurve en el enrutador, pero no impide la inyección de respuestas de DNS falsas por parte de alguien en la misma red que usted. Aquí es donde DNSCrypt puede ayudar.
Por lo general,DNSCrypt se implementa mediante un par de proxies DNS: un proxy de cliente y un proxy de servidor. El lado del cliente de DNSCrypt es un proxy al que los clientes DNS normales pueden conectarse. Convierte las consultas DNS regulares en consultas DNS autenticadas, las reenvía a un servidor que ejecuta el proxy DNSCrypt del servidor, verifica las respuestas y las reenvía al cliente si parecen ser genuinas. El lado del servidor de DNSCrypt recibe las consultas de DNS enviadas por el proxy del cliente, las reenvía a un servidor de resolución de DNS de confianza y firma las respuestas que recibe antes de reenviarlas al proxy del cliente.
El DNSCrypt server puede ejecutarse en el enrutador, junto con un moderno sistema de resolución de DNS. Los clientes pueden ejecutar el código de cliente de DNSCrypt, aprovechando la resolución de DNS del enrutador.
|----- Most vulnerable to attacks ------| |-- Most vulnerable to censorship --|
dnscrypt client dnscrypt server
Laptop/workstation/phone/tablet --------> home router --------> ISP --------> the Internet
|--------- Secured by DNSCrypt ---------| |------------- Secured by DNSSEC --------------|
Alternativamente, las empresas, organizaciones e individuos ejecutan resolutores de DNS públicos que admiten el protocolo DNSCrypt . Se pueden usar como una alternativa a la ejecución de un servidor DNSCrypt y un sistema de resolución de DNS en el enrutador. Si su ISP está haciendo censura basada en DNS, esta es una manera de evitarlo (pero en ese caso, tenga en cuenta que la resolución de DNS de terceros que utiliza todavía puede registrar todas sus consultas).
Todo lo que necesitas para usarlos es un cliente DNSCrypt como dnscrypt-proxy o Pcap_DNSProxy . Esto asegurará que las respuestas que recibió sean las mismas que las que se enviaron inicialmente con la resolución de DNS de terceros que está utilizando. Sin embargo, estas respuestas pueden no ser las correctas. Es exactamente lo que estos servicios decidieron enviarle, no necesariamente lo que publicó el propietario de la zona que está consultando.
Algunos servicios de VPN ejecutan sus propios resolutores de DNS, accesibles a través de DNSCrypt, para mitigar las "fugas" de DNS. Dado que ya confías en ellos para canalizar todo tu tráfico, no puede hacer daño.
El cliente DNSCrypt se puede ejecutar en cada dispositivo cliente:
|----- Most vulnerable to attacks ------| |-- Most vulnerable to censorship --|
dnscrypt client dnscrypt server
Laptop/workstation/phone/tablet --------> home router --------> ISP ----------> the Internet --------> public DNS resolver
|----------------------------------- Secured by DNSCrypt -------------------------------------------|
|--- Secured by DNSSEC ---|
|--- Most vulnerable to logging ---|
O si confía totalmente en la red local, el cliente DNSCrypt puede ejecutarse en el enrutador:
|----- Most vulnerable to attacks ------| |-- Most vulnerable to censorship --|
dnscrypt client dnscrypt server
Laptop/workstation/phone/tablet --------> home router --------> ISP ----------> the Internet --------> public DNS resolver
|------------------ Secured by DNSCrypt --------------------|
|--- Secured by DNSSEC ---|
|--- Most vulnerable to logging ---|
Finalmente, puede ejecutar su propio servidor DNSCrypt en una red remota y confiable, para obtener la mejor protección posible contra la censura, mientras tiene control total sobre lo que el resolvedor está registrando:
|----- Most vulnerable to attacks ------| |-- Most vulnerable to censorship --|
dnscrypt client dnscrypt server
Laptop/workstation/phone/tablet --------> home router --------> ISP ----------> the Internet --------> private DNS resolver
|----------------------------------- Secured by DNSCrypt -------------------------------------------|
|--- Secured by DNSSEC ---|
Entonces, ¿cuál necesitas?
Son complementarios y abordan diferentes cosas.
Si está ejecutando sus propios solucionadores de almacenamiento en caché, hacer que admitan la validación DNSSEC y DNSCurve es algo excelente. Desafortunadamente, a partir de hoy, el número de dominios firmados con DNSCurve es cercano a cero, y el número de zonas firmadas por DNSSEC está creciendo muy lentamente.
Para todas las zonas que no están firmadas, DNSCrypt no puede proteger todo, pero al menos protegerá los pocos saltos entre sus dispositivos cliente y el sistema de resolución de DNS, lo cual es mejor que nada. También se ejecuta en un puerto diferente al tráfico DNS normal (443 en lugar de 53), lo cual es suficiente para omitir algunos filtros de contenido.
Pero si su principal preocupación es la privacidad, lo que necesita es una VPN.
DNSCrypt se basa en DNSCurve en parte, pero tienen propósitos diferentes.
DNSCrypt encripta el tráfico entre los solucionadores de código auxiliar (su estación de trabajo, su navegador, etc.) y los recurrentes (como las ofertas de su ISP y como OpenDNS). Le brinda confidencialidad e integridad entre su estación de trabajo y el servicio de resolución.
DNSCurve se encuentra en otro lugar, entre los recurrentes (como OpenDNS) y las autoritativas (como ns1.google.com, como el DNS que ejecuta su servidor web). Proporciona confidencialidad e integridad en esa etapa del viaje.
Lea otras preguntas en las etiquetas dns