Anonim

Co to jest DNS przez TLS?

Wiesz już, że w ostatnich latach wokół szyfrowania ruchu internetowego było dużo szumu. Nawet jeśli nie zwróciłeś uwagi, musisz zauważyć napływ zielonych blokad w pobliżu adresów URL i HTTPS wyskakujących wszędzie. To dlatego, że więcej stron niż kiedykolwiek szyfruje ruch.

Szyfrowanie ruchu internetowego chroni zarówno witrynę, jak i osoby ją odwiedzające. Atakujący nie mogą łatwo szpiegować zaszyfrowanego ruchu, który przechodzi między twoim komputerem a witryną, zachowując twoje dane logowania i wszystko, co podasz.

Jest jeden element, który nie jest szyfrowany przy użyciu HTTPS, zapytania DNS. Jeśli nie znasz, strony internetowe istnieją pod adresem IP. Po wpisaniu adresu URL witryny wysyłane jest kolejne żądanie do serwera DNS z pytaniem, do którego adresu IP należy ten adres URL. Najczęściej ten serwer DNS należy do twojego dostawcy usług internetowych. Tak więc oni i wszyscy inni, którzy mogą nasłuchiwać, mogą zobaczyć, które strony odwiedzasz i je zalogować. Ponieważ DNS nie jest domyślnie szyfrowany, monitorowanie stron z zapytaniami DNS jest dość łatwe dla osób trzecich.

DNS przez TLS zapewnia ten sam typ szyfrowania, jakiego oczekujesz od HTTPS do zapytań DNS. Tak więc jedyną osobą, która otrzymuje zapytanie i dane dotyczące odwiedzanej witryny, jest wybrany serwer DNS, który możesz wybrać. Nie musisz używać DNS swojego usługodawcy internetowego i nie powinieneś.

Co możesz zrobić?

Obsługa DNS przez TLS nie jest jeszcze tak dojrzała jak HTTPS, ale nadal jest wystarczająco łatwa do skonfigurowania i używania. Istnieje wiele opcji, które można wykorzystać do ochrony ruchu DNS. Po pierwsze, warto zauważyć, że korzystanie z odpowiednio skonfigurowanej sieci VPN już cię ochroni. Twój ruch DNS będzie tunelowany przez VPN do serwerów DNS dostawcy. Jeśli już korzystasz z VPN, nie martw się, ale możesz ustawić dodatkową ochronę, jeśli chcesz.

Jeśli nie korzystasz z VPN, nadal możesz szyfrować ruch DNS za pomocą DNS przez TLS. Istnieje doskonały projekt typu open source o nazwie Stubby, który automatycznie szyfruje zapytania DNS i kieruje je do serwera DNS, który obsługuje DNS przez TLS. Ponieważ projekt jest open source, jest dostępny bezpłatnie dla systemów Windows, Mac i Linux.

Skonfiguruj Stubby

Windows

Stubby ma wygodny instalator Windows .msi, który zainstaluje Stubby wraz z domyślnym plikiem konfiguracyjnym. Przejdź na stronę instalatora i pobierz instalator .msi dla systemu Windows.

Gdy to zrobisz, uruchom instalator. Nie ma graficznego kreatora konfiguracji ani nic takiego. Musisz tylko potwierdzić, że dajesz dostęp instalatorowi. Zajmie się resztą.

Wszystko dla Stubby w systemie Windows znajduje się w:

C: Program FilesStubby

Obejmuje to plik konfiguracyjny YAML.

Otwórz wiersz polecenia. Możesz użyć polecenia Uruchom i wpisać cmd. Przejdź do katalogu Stubby. Następnie uruchom plik .exe i przekaż konfigurację, aby uruchomić program Stubby.

C: UsersUserNamecd C: Program FilesStubby

C: Program FilesStubbystubby.exe -C stubby.yml

Stubby będzie teraz działać w twoim systemie. Jeśli chcesz to przetestować, uruchom następujące polecenie, aby sprawdzić, czy działa poprawnie.

C: Program FilesStubbygetdns_query -s @ 127.0.0.1 www.google.com

Jeśli to zadziała, Stubby jest poprawnie skonfigurowane. Teraz, jeśli chcesz zmienić serwery DNS, których używa Stubby, otwórz plik stubby.yml i zmodyfikuj wpisy serwerów DNS, aby pasowały do ​​wybranych serwerów. Upewnij się, że wybrane serwery obsługują DNS przez TLS.

Aby móc korzystać z całego systemu Stubby, musisz zmodyfikować upstream resolvera systemu Windows (serwery DNS). Aby to zrobić, musisz wykonać polecenie z uprawnieniami administratora. Zamknij istniejące okno wiersza polecenia. Następnie wróć do menu Start i wyszukaj „cmd”. Kliknij go prawym przyciskiem myszy i wybierz „Uruchom jako administrator”. W wyświetlonym oknie uruchom następujące polecenie:

PowerShell -ExecutionPolicy bypass -file "C: Program FilesStubbystubby_setdns_windows.ps1"

Nic z tego nie jest zbyt dobre, jeśli nie możesz wprowadzić zmian na stałe. Aby to zrobić, musisz utworzyć zaplanowane zadanie, które będzie uruchamiane podczas uruchamiania. Na szczęście programiści Stubby dostarczyli do tego szablon. W uruchomionym oknie wiersza polecenia wprowadź zmiany na stałe.

schtasks / create / tn Stubby / XML "C: Program FilesStubbystubby.xml" / RU

To wszystko! Twój komputer z systemem Windows jest teraz skonfigurowany do używania Stubby do wysyłania DNS przez TLS.

Linux

W systemie Linux proces ten jest bardzo prosty. Zarówno dystrybucje oparte na Ubuntu, jak i Debianie mają już Stubby w swoich repozytoriach. Musisz tylko zainstalować i zmienić DNS, aby używać Stubby. Zacznij od instalacji Stubby

$ sudo apt install stubby

Następnie edytuj plik konfiguracyjny Stubby, jeśli chcesz. Jest dostępny na stronie /etc/stubby/stubby.yml. Otwórz go w swoim ulubionym edytorze tekstu za pomocą sudo.

Jeśli dokonałeś jakichkolwiek zmian na serwerach DNS, uruchom ponownie Stubby.

$ sudo systemctl restart stubby

Będziesz także musiał zmienić wpisy serwera nazw w /etc/resolv.conf. Otwórz to również za pomocą edytora tekstu i sudo. Utwórz pojedynczy wpis, taki jak poniżej.

serwer nazw 127.0.0.1

Teraz sprawdź, czy Stubby działa. Wejdź na dnsleaktest.com i uruchom test. Jeśli pojawią się serwery, które skonfigurowałeś w Stubby, oznacza to, że komputer pomyślnie uruchomił Stubby.

OSX

Konfiguracja Stubby w OSX jest również dość prosta. Jeśli masz Homebrew, proces jest bardzo prosty, ale w przeciwnym razie jest dość łatwy.

Dzięki Hombrew możesz zainstalować pakiet Stubby.

$ brew install stubby

Przed uruchomieniem programu Stubby jako usługi możesz zmodyfikować konfigurację YAML na stronie /usr/local/etc/stubby/stubby.yml.

Gdy będziesz zadowolony z różnych rzeczy, możesz uruchomić Stubby jako usługę.

Usługi parzenia $ sudo zaczynają się słabo

Jeśli nie masz Homebrew, możesz zainstalować Stubby GUI. Jest dostępny tutaj.

Zamykanie myśli

DNS przez TLS zaczyna zyskiwać na popularności. Wkrótce będzie to powszechne. Do tego czasu konieczna jest konfiguracja i programy takie jak Stubby. Najwyraźniej jednak konfiguracja nie jest zbyt trudna.

W najbliższej przyszłości obsługa DNS przez TLS będzie ogromna, gdy Google domyślnie włączy obsługę Androida. W rezultacie powinno upłynąć tylko trochę czasu, zanim Apple zastosuje obsługę iOS. Platformy stacjonarne prawdopodobnie nie pozostaną zbyt daleko w tyle. Z drugiej strony, oni już mają wsparcie, a ty właśnie je włączyłeś.

Chroń swoje przeglądanie za pomocą dns ​​przez tls