Rủi ro bảo mật lớn mà Cloudflare DNS có thể giải quyết

Cloudflare DNS là gì?

DNS là công nghệ chịu trách nhiệm liên kết các domain mà chúng ta sử dụng hàng ngày (ví dụ, viettelco.vn) với địa chỉ IP máy chủ web của trang đó. Thật không may, công nghệ DNS đi kèm với nhiều vấn đề liên quan đến riêng tư. Các vấn đề có thể làm ảnh hưởng đến sự an toàn trực tuyến, ngay cả khi bạn thực hiện tất cả các biện pháp phòng ngừa thông thường ở những nơi khác trên hệ thống của mình. Dưới đây là một số vấn đề về quyền riêng tư tồi tệ nhất liên quan đến DNS.

Cloudflare DNS là dịch vụ cung cấp công cụ bảo mật mới. Đây là một địa chỉ DNS tiêu dùng mà bất kỳ ai cũng có thể sử dụng miễn phí. Nó có thể giúp tăng bảo mật DNS, cải thiện quyền riêng tư của người dùng và thậm chí có thể tăng tốc kết nối mạng.

  • Các dịch vụ Cloudflare DNS giúp các website của các doanh nghiệp phòng tránh được các rủi ro nguy hại như:

ISP đang theo dõi bạn

Do cách thức hoạt động của DNS, nó đóng vai trò như một nhật ký ghi lại những trang web bạn truy cập. Không quan trọng liệu trang web mà bạn truy cập có sử dụng HTTPS hay không, ISP, nhà cung cấp dịch vụ di động và nhà cung cấp WiFi công cộng vẫn sẽ biết chính xác những domain bạn đã truy cập.

Hơn nữa, lịch sử duyệt web của bạn đang giúp các tập đoàn lớn kiếm tiền. Đó là lý do tại sao bạn phải luôn sử dụng nhà cung cấp DNS của bên thứ ba

Rình mò giả mạo

Khách hàng cũng có nguy cơ gặp rủi ro, do việc DNS thiếu tính năng mã hóa last mile (mã hóa DNS giữa thiết bị và ISP). Nguyên nhân là:

  • Có hai phía tác động đến DNS: Tính thẩm quyền (về phía nội dung) và recursive resolver – trình phân giải recursive (về phía ISP). Theo nghĩa rộng, bạn có thể nghĩ đến các trình phân giải DNS bằng cách đặt câu hỏi (ví dụ, tôi có thể tìm thấy trang web này ở đâu?) và các DNS nameserver sẽ cung cấp câu trả lời.
  • Dữ liệu di chuyển giữa trình phân giải và máy chủ có thẩm quyền (về mặt lý thuyết) được bảo vệ bởi DNSSEC. Tuy nhiên, phần nằm giữa các máy (được gọi là stub resolver – trình phân giải sơ khai) và recursive resolver không bảo mật.

Đáng buồn thay, phần này tạo ra nhiều cơ hội để những kẻ xấu rình mò và giả mạo dữ liệu.

Cuộc tấn công Man-in-the-Middle

Khi khách hàng duyệt web, máy tính sẽ thường xuyên sử dụng dữ liệu DNS được lưu trong bộ nhớ cache ở đâu đó trên mạng. Làm như vậy có thể giúp giảm thời gian load trang.Tuy nhiên, chính bộ nhớ cache này có thể trở thành nạn nhân của cache poisoning. Đây là một dạng tấn công Man-in-the-middle.

Nói một cách đơn giản, tin tặc có thể lợi dụng các lỗ hổng và việc cấu hình kém để thêm dữ liệu giả mạo vào cache. Sau đó, trong lần tiếp theo bạn truy cập trang web bị “nhiễm độc”, bạn sẽ được gửi đến một máy chủ do tin tặc kiểm soát.

Tin tặc thậm chí có thể sao chép trang web mục tiêu của bạn. Bạn có thể không bao giờ biết bạn đã được chuyển hướng và vô tình nhập tên người dùng, mật khẩu và thông tin nhạy cảm khác.

Quá trình này tạo điều kiện cho cuộc tấn công phishing diễn ra.

Cloudflare DNS bảo vệ khách hàng như thế nào?

  • Cloudflare DNS không có theo dõi và lưu trữ dữ liệu. Cloudflare đã cam kết không bao giờ theo dõi người dùng DNS hoặc bán quảng cáo dựa trên thói quen xem mọi thứ trên Internet của người dùng. Để củng cố niềm tin cho người tiêu dùng vào tuyên bố của mình, công ty này đã tuyên bố sẽ không bao giờ lưu các truy vấn địa chỉ IP vào ổ đĩa và hứa sẽ xóa tất cả các bản ghi DNS trong vòng 24 giờ. Trong thực tế, điều đó có nghĩa là lịch sử DNS của bạn sẽ không rơi vào tay của các ISP hay bất cứ bên nào khác.
  • Chống Snooping: Nếu bạn tự hỏi liệu Cloudflare DNS có bảo mật không, câu trả lời là nó cực kỳ an toàn. Dịch vụ 1.1.1.1 cung cấp một tính năng giúp chống lại hiện tượng Snooping (rình mò dữ liệu): DNS over TLS. DNS over TLS hoạt động bằng cách cho phép trình stub resolver thiết lập kết nối TCP với Cloudflare trên cổng 853. Stub resolver sau đó khởi tạo một TCP handshake và Cloudflare cung cấp chứng chỉ TLS của nó. Ngay sau khi kết nối được thiết lập, tất cả các giao tiếp giữa stub resolver và recursive resolver sẽ được mã hóa. Kết quả là việc nghe lén và giả mạo trở nên bất khả thi.

  • Chiến đấu với những cuộc tấn công Man-in-the-Middle: Theo số liệu của Cloudflare, có ít hơn 10% domain sử dụng DNSSEC để bảo mật kết nối giữa recursive resolver và máy chủ có thẩm quyền.DNS over HTTPS là một công nghệ mới nổi, giúp bảo mật các domain HTTPS không sử dụng DNSSEC.Nếu không có mã hóa, tin tặc có thể “lắng nghe” các gói dữ liệu của bạn và biết bạn đang truy cập trang web nào. Việc thiếu mã hóa cũng khiến bạn dễ gặp phải những cuộc tấn công Man-in-the-middle như những gì bài viết đã nêu chi tiết trước đó.