Čo je DNS Over TLS?
Už viete, že za posledných niekoľko rokov došlo k šifrovaniu webového prenosu. Aj keď ste nevenovali veľkú pozornosť, musíte si všimnúť príliv zelených zámkov v blízkosti adries URL a HTTPS, ktoré sa objavujú všade. Je to preto, že viac stránok ako kedykoľvek predtým šifruje prenos.
Šifrovanie webového prenosu chráni lokalitu aj ľudí, ktorí ju navštívia. Útočníci nemôžu ľahko špehovať šifrovaný prenos, ktorý prechádza medzi počítačom a webovou stránkou, a preto uchovávajú vaše prihlasovacie údaje a čokoľvek iné, čo odošlete, bezpečné.
Existuje jeden kus, ktorý sa nezašifruje pomocou dotazu DNS typu HTTPS. Ak nie ste oboznámení, webové stránky skutočne existujú na adrese IP. Keď zadáte adresu URL stránky, urobíte ďalšiu požiadavku na server DNS s otázkou, na ktorú adresu IP táto adresa URL patrí. DNS server patrí častejšie ako nie vášmu ISP. Takže oni a všetci ostatní, ktorí by mohli počúvať, môžu vidieť, na ktoré stránky sa chystáte, a prihlásiť ich. Pretože služba DNS nie je v predvolenom nastavení šifrovaná, je veľmi ľahké, aby akákoľvek tretia strana monitorovala dotazy DNS.
DNS Over TLS prináša rovnaký typ šifrovania, aký očakávate pri HTTPS, na dotazy DNS. Jedinou osobou, ktorá dostane váš dotaz, a údajmi o tom, ktoré stránky navštevujete, je DNS server, ktorý si vyberiete a môžete si vybrať. Nemusíte používať DNS vášho ISP a nemali by ste.
Čo môžeš urobiť?
Podpora DNS cez TLS ešte nie je taká vyspelá ako HTTPS, ale stále je dosť jednoduchá na nastavenie a používanie. Existuje niekoľko možností, ktoré môžete použiť na ochranu svojho prenosu DNS. Po prvé, stojí za zmienku, že použitie správne nakonfigurovanej siete VPN vás už ochráni. Vaša prevádzka DNS bude smerovaná cez VPN na servery DNS poskytovateľa. Ak už používate sieť VPN, nemusíte sa obávať, môžete však nastaviť ďalšiu ochranu, ak chcete.
Ak nepoužívate VPN, stále môžete šifrovať prenos DNS pomocou DNS cez TLS. Existuje vynikajúci projekt s otvoreným zdrojovým kódom s názvom Stubby, ktorý automaticky šifruje vaše dotazy DNS a nasmeruje ich na server DNS, ktorý dokáže spracovať DNS cez TLS. Pretože projekt je otvorený zdroj, je voľne k dispozícii pre systémy Windows, Mac a Linux.
Nastaviť stubby
windows
Stubby má praktický inštalátor systému Windows .msi, ktorý nainštaluje program Stubby spolu s predvoleným konfiguračným súborom. Prejdite na stránku inštalátora a stiahnite si inštalačný program MSI systému Windows.
Keď ho máte, spustite inštalátor. Neexistuje žiadny grafický sprievodca nastavením ani nič. Musíte iba potvrdiť, že poskytujete prístup inštalatérovi. Postará sa o zvyšok.
Všetko pre Stubby na Windows je umiestnené na:
C: Program FilesStubby
To zahŕňa konfiguračný súbor YAML.
Otvorte príkazový riadok. Môžete použiť Spustiť a napísať cmd. Prejdite do adresára Stubby. Potom spustite súbor .exe a odovzdajte ho konfigurácii, aby ste spustili program Stubby.
C: UsersUserNamecd C: Program FilesStubby
C: Program FilesStubbystubby.exe -C stubby.yml
Na vašom systéme bude teraz spustený program Stubby. Ak ho chcete otestovať, spustite nasledujúci príkaz, aby ste zistili, či funguje správne.
C: Program FilesStubbygetdns_query -s @ 127.0.0.1 www.google.com
Ak to funguje, Stubby je nastavený správne. Ak teraz chcete zmeniť servery DNS, ktoré používa server Stubby, otvorte súbor stubby.yml a upravte položky servera DNS tak, aby sa zhodovali so servermi podľa vášho výberu. Uistite sa, že vybrané servery podporujú službu DNS cez TLS.
Predtým, ako budete môcť používať systém Stubby v celom systéme, budete musieť upraviť predbežné rozlíšenia systému Windows (servery DNS) systému Windows. Ak to chcete urobiť, musíte vykonať príkaz s oprávneniami správcu. Zatvorte existujúce okno príkazového riadka. Potom sa vráťte do ponuky Štart a vyhľadajte príkaz cmd. Kliknite pravým tlačidlom myši a vyberte príkaz Spustiť ako správca. Vo výslednom okne spustite nasledujúce kroky:
PowerShell - ExecutionPolicy bypass - file "C: Program FilesStubbystubby_setdns_windows.ps1"
Nič z toho nie je veľmi dobré, ak nemôžete urobiť zmeny trvalými. Aby ste to dosiahli, budete musieť vytvoriť naplánovanú úlohu, ktorá sa spustí pri štarte. Našťastie vývojári spoločnosti Stubby za to vytvorili šablónu. V okne bežiaceho príkazového riadka vykonajte zmeny trvalo.
schtasks / create / tn Stubby / XML "C: Program FilesStubbystubby.xml" / RU To je všetko! Váš počítač so systémom Windows je teraz nakonfigurovaný na používanie služby Stubby na odosielanie vašich DNS cez TLS. V systéme Linux je tento proces veľmi jednoduchý. Distribúcie založené na Ubuntu aj Debiane majú už vo svojich úložiskách k dispozícii Stubby. Stačí ho nainštalovať a zmeniť DNS tak, aby používal Stubby. Začnite inštaláciou Stubby $ sudo apt install stubby
Ďalej, ak si vyberiete, upravte konfiguračný súbor Stubby. Je k dispozícii na adrese /etc/stubby/stubby.yml. Otvorte ho v obľúbenom textovom editore pomocou sudo. Ak ste vykonali nejaké zmeny na serveroch DNS, reštartujte službu Stubby. $ sudo systemctl reštart reštartovať
Budete tiež musieť zmeniť položky nameservera v súbore /etc/resolv.conf. Otvorte to aj pomocou textového editora a sudo. Vytvorte jeden záznam, ako je uvedený nižšie. nameserver 127.0.0.1
Teraz vyskúšajte, či Stubby funguje. Prejdite na adresu dnsleaktest.com a spustite test. Ak sa zobrazia servery, ktoré ste nakonfigurovali na používanie služby Stubby, počítač úspešne používa program Stubby. Nastavenie aplikácie Stubby v systéme OSX je tiež pomerne jednoduché. Ak máte homebrew, proces je mŕtvy, ale v opačnom prípade je tiež pomerne jednoduchý. S Hombrew môžete nainštalovať balík Stubby. $ brew install stubby
Predtým, ako začnete službu Stubby up ako službu, môžete upraviť konfiguráciu YAML na stránke /usr/local/etc/stubby/stubby.yml. Keď budete s vecami spokojní, môžete začať službu Stubby ako službu. Pivovarské služby $ sudo začínajú tvrdohlavo
Ak nemáte homebrew, môžete nainštalovať Stubby GUI. Je k dispozícii tu. DNS nad TLS začína získavať trakciu. Čoskoro to bude samozrejmosťou. Dovtedy sú potrebné nastavenia a programy ako Stubby. Je však zrejmé, že nie je príliš ťažké sa pripraviť. V prípade, že spoločnosť Google v predvolenom nastavení so systémom Android predvolene zahrnie podporu, bude podpora DNS cez TLS v blízkej budúcnosti výrazne narastať. V dôsledku toho by malo byť len otázkou času, ako Apple nasleduje s podporou iOS. Plošinové platformy pravdepodobne nebudú príliš pozadu. Potom už majú podporu a vy ste ju práve povolili.linux
OSX
Záverečné myšlienky
