DNS terenkripsi. Kami meningkatkan keamanan Internet dengan DNScrypt. Kueri DNS tidak aman

Artikel ini ditulis atas permintaan salah satu pembaca blog. Dan saya harus mengatakan - topiknya sangat menarik.

Saat ini, masalah perlindungan lalu lintas yang dikirimkan di Internet menjadi semakin mendesak. Banyak orang mungkin menginginkan data Anda - dari penyerang yang akan melakukan yang terbaik untuk mendapatkan kata sandi Anda berbagai layanan, kepada badan intelijen yang ingin mengetahui segala sesuatu tentang setiap gerakan Anda. Dan seterusnya waktu yang diberikan, ada jumlah besar"bela diri" di Internet. Tentang yang sederhana, tapi sangat cara yang efektif, akan dibahas dalam artikel ini - kripto DNS.

Ada sumber daya yang luar biasa yang disebut BukaDNS, yang menyediakan server DNS publiknya. BukaDNS penawaran Solusi DNS untuk pengguna dan bisnis sebagai alternatif untuk menggunakan server DNS yang ditawarkan oleh ISP mereka. Dengan menempatkan server perusahaan di area strategis dan menggunakan cache nama domain yang besar, OpenDNS cenderung menyelesaikan permintaan lebih cepat, sehingga meningkatkan kecepatan pembukaan halaman. Hasil kueri DNS disimpan dalam cache sistem operasi dan/atau aplikasi, sehingga kecepatan ini mungkin tidak terlihat pada setiap permintaan, namun hanya pada permintaan yang tidak di-cache.

Karena lalu lintas antara server DNS dan komputer Anda tidak dienkripsi, hal ini menimbulkan risiko intersepsi lalu lintas yang serius. Mengenkripsi lalu lintas DNS akan melindungi klien dari serangan "pria di tengah", di mana penyerang masuk ke saluran komunikasi dan berpura-pura menjadi server DNS. Selain itu, enkripsi mencegah pengintaian lalu lintas dan memblokir aktivitas jahat yang terkait dengan ID paket yang memaksa atau mengirimkan respons DNS palsu. Sederhananya: Enkripsi DNS akan mencegah serangan phishing ketika, alih-alih halaman yang diinginkan, salinan berbahaya dari halaman tersebut terbuka di tempat Anda memasukkan data. Dengan segala konsekuensinya. Selain itu, akan lebih sulit bagi penyedia untuk mengetahui situs mana yang Anda kunjungi (karena log tidak berisi informasi tentang permintaan resolusi nama). Untuk mengatur semua ini, proyek OpenDNS telah merilis utilitas open source yang luar biasa kode sumber- DNScrypt.

Utilitas ini akan mengenkripsi semua lalu lintas yang dikirimkan antara komputer Anda dan server OpenDNS. Jika penyedia Anda memblokir situs berdasarkan nama domainnya, sekarang situs ini akan berfungsi! Kelebihan lainnya. Utilitas ini Tersedia di berbagai macam sistem. Saya akan menjelaskan instalasi dan konfigurasi menggunakan sebuah contoh Debian Dan Ubuntu/Linux Mint.

DI DALAM Ubuntu 14.04 Dan Debian 8, utilitas ini tidak ada. Opsi 2: buat sendiri atau gunakan repositori pihak ketiga. Dalam kasus Ubuntu, ini akan menjadi repositori PPA:

sudo add-apt-repository ppa:xuzhen666/dnscrypt
sudo pembaruan apt-get
sudo apt-get install dnscrypt-proxy

Dalam kasus Debian, cukup unduh paketnya dnscrypt-proxy dari repositori rilis pengujian. Dan instal menggunakan GDebi, atau berdasarkan tim sudo dpkg -i dnscrypt-proxy_1.6.0-2_amd64.deb.

Untuk perakitan mandiri:

wget https://raw.github.com/simonclausen/dnscrypt-autoinstall/master/dnscrypt-autoinstall.sh && chmod +x dnscrypt-autoinstall.sh && ./dnscrypt-autoinstall.sh

Selama proses instalasi Anda akan diminta untuk memilih server DNS. Pilih OpenDNS.

Pengaturan tambahan tidak diperlukan, paket berisi semua yang Anda butuhkan. Yang Anda perlukan hanyalah sedikit mengkonfigurasi ulang koneksi jaringan Anda. Buka pengaturan koneksi jaringan, pilih milik Anda, buka tab IPv4, ubah Mobil pada Otomatis (hanya alamat) (Otomatis (Hanya alamat) dan tentukan alamat DNS 127.0.2.1

Nyalakan ulang, sambungkan, dan buka

Menyukai

Menyukai

Menciak

Perkenalan

Saya akan bercerita tentang program yang telah saya gunakan selama bertahun-tahun. Ini sedikit membaik keamanan jaringan, melindungi dari spoofing situs saat bekerja melalui cara yang tidak aman Jaringan Wi-Fi.

Saya tidak akan membahas detail teknisnya. Saya akan memberi tahu Anda secara singkat inti masalahnya, yang baru mulai terpecahkan beberapa tahun terakhir 5, tetapi Anda dapat melindungi diri Anda sendiri dengan DNSCrypt hari ini.

Kueri DNS tidak aman

Untuk berkomunikasi antar perangkat digunakan metode transmisi data TCP/IP. Ini bukanlah sebuah protokol atau sekumpulan program, tetapi sebuah konsep (model) tentang bagaimana komunikasi ini harus terjadi.

TCP/IP mempunyai banyak kekurangan, namun karena modelnya “plastik”, maka model ini telah diperbaiki dan diperbaiki selama lebih dari 40 tahun keberadaannya. Misalnya, agar tidak ada yang dapat melihat apa yang Anda masukkan di situs dan menerima tanggapannya, banyak situs telah secara besar-besaran beralih ke protokol terenkripsi

Sayangnya, masih banyak kerentanan di TCP/IP. Salah satu kelemahannya adalah sistem nama domain ( D oma N aku S sistem, DNS).

Saat Anda membukanya bilah alamat situs, komputer perlu mengetahui server mana yang akan mengirim permintaan. Untuk melakukan ini, dia menghubungi server DNS yang menyimpan catatan tentang alamat IP server digital mana yang harus dihubungi untuk mendapatkan halaman yang diinginkan.

Masalahnya adalah itu komputer mempercayai server DNS tanpa syarat. Jika Anda terhubung ke Wi-Fi publik jaringan di sebuah kafe, yang pemiliknya dibesarkan server sendiri dengan alamat palsu, ada kemungkinan alih-alih VKontakte Anda akan membuka umpan yang mengumpulkan kata sandi.

Ada beberapa cara untuk melindungi permintaan ke server nama, namun sistem operasi tidak menggunakannya. Anda perlu memodifikasi OS sendiri menggunakan program terpisah.

DNSCrypt sederhana

DNSCrypt sederhana memudahkan dan menyederhanakan perubahan pengaturan kartu jaringan sehingga semua permintaan masuk ke server DNS yang mendukung DNSSEC. Teknologi ini memungkinkan Anda menghindari spoofing alamat IP. Sebagai bonus, hanya server nama yang menghormati privasi yang akan digunakan, mis. tidak menyimpan permintaan pengguna.

Program ini mudah dipasang. Hal utama adalah memilih versi 32 atau 64-bit yang tepat, tergantung pada kedalaman bit Windows Anda. Kedalaman bit dapat dilihat di Panel Kontrol - Sistem (di Windows 10 - Pengaturan - Sistem - Tentang).

Setelah instalasi dan peluncuran dari pintasan di Desktop, tidak perlu mengubah pengaturan. Cukup tekan tombolnya "Menerapkan."

Anda akan melihat bahwa sakelar untuk item "Layanan DNSCrypt" diatur ke posisi hijau "Aktif". Ini berarti bahwa layanan baru telah diluncurkan di Windows, yang intinya adalah bertindak sebagai server proxy untuk semua permintaan DNS, mengarahkannya ke server yang aman(daftarnya ada di tab “Resolver”; Anda tidak perlu menyentuh apa pun di sana).

Maka Anda hanya perlu mengklik semua kartu jaringan, terlihat di bagian bawah jendela, sehingga tanda centang muncul di kanan atas.

Itu saja! Permintaan perlindungan akan segera berfungsi. Program ini akan berjalan dengan sendirinya.

Jika Anda adalah pengguna tingkat lanjut dan ingin memeriksa apakah DNSCrypt berfungsi di komputer Anda, buka properti protokol TCP/IPv4 koneksi jaringan. Server DNS harus lokal - 127.0.0.1.

Jika, saat menggunakan server nama 127.0.0.1, situs terbuka - utilitas proxy dnscrypt berfungsi, tidak ada yang menulis permintaan Anda dan penyedia tidak melacak permintaan Anda.

Dihapus programnya, seperti program lainnya, melalui Panel Kontrol.

DNSCypt ≠ privasi lengkap

Jangan bingung antara enkripsi DNS dengan mengenkripsi semua lalu lintas antara Anda dan situs web.

DNSCrypt akan membantu

  • melindungi terhadap server DNS yang dipalsukan oleh penyerang,
  • mengenkripsi permintaan DNS.

Utilitas tidak akan membantu

  • menjaga privasi di Internet,
  • mendapatkan akses ke situs yang diblokir di negara Anda,
  • melindungi dari spoofing jika diedit file host di komputer.

Jika Anda mengkhawatirkan masalah privasi, DNSCrypt hanya akan melakukannya alat bantu. Untuk selancar anonim digunakan di Internet Teknologi VPN dan/atau Tor, maka enkripsi DNS akan memberikan perlindungan tambahan jika ada program di komputer Anda yang meminta alamat IP domain dengan melewati VPN.

Jika Anda menggunakan DNSCypt tanpa VPN, penyedia akan tetap melihat bahwa Anda mengakses server dengan IP ini dan itu, dan jika beberapa situs dihosting di server dengan alamat IP yang sama, maka akan dapat menentukan yang mana. kamu sedang berkunjung itu akan berhasil menggunakan analisis kueri ( Entri server Indikator Nama dikirimkan dalam teks yang jelas bahkan saat menggunakan HTTPS).

Sistem operasi lain

Enkripsi DNS seharusnya berfungsi secara default di sistem operasi apa pun. Tapi fungsi ini tidak ada! Baik Windows, Linux, maupun Android, di mana pun tidak memiliki dukungan untuk DNSCrypt atau teknologi serupa.

DNSCrypt akan membantu Anda mengenkripsi lalu lintas DNS dan melindunginya dari pihak ketiga.

    Untuk apa DNS?
  1. Menyiapkan server DNS itu bagus, tetapi lebih baik lagi mengenkripsi lalu lintas antara server dan klien, yaitu Anda. Saya sudah menulis di artikel lain apa itu DNS dan mengulas layanan server DNS tercanggih. Perbedaan antara DNS sederhana dan DNSCrypt adalah semua lalu lintas yang dikirimkan dari perangkat komputer Anda ke server DNS tidak dienkripsi. Satu-satunya hal yang mereka berikan Layanan sederhana DNS adalah pemblokiran situs mencurigakan. Dan lalu lintas, seperti yang saya tulis di atas, yang dikirim kembali ke komputer Anda dan permintaan dikirim dari komputer Anda ke server DNS, lolos dengan jelas.
    2. Berikut daftar artikel yang saya tulis sebelumnya tentang layanan DNS terkenal:
  2. Ini Layanan DNS melindungi perangkat komputer Anda dengan sempurna dan menawarkan pilihan pemfilteran situs. Namun trafik yang dikirimkan dari server DNS ke perangkat komputer Anda tidak dienkripsi, seperti yang saya tulis di atas. Anda dapat mempelajari lebih lanjut tentang menyiapkan berbagai perangkat komputer di pihak Anda sebagai klien dari artikel pertama yang saya cantumkan di atas. Ada juga gambaran umum tentang cara memilih server DNS yang sesuai. Mungkin dia akan bercerita lebih banyak tentang DNS. Karena pada artikel ini kita berbicara tentang DNS, tetapi kami hanya fokus pada mengenkripsi koneksi itu sendiri dari server DnS dan komputer Anda.
    3. Enkripsi koneksi DNS:
  3. Anda dapat mengenkripsi koneksi DNS itu sendiri dengan menginstal dan mengkonfigurasinya di komputer Anda perangkat komputer dan kunjungi juga situs resminya. Unduh versi terbaru DNSCrypt untuk perangkat komputer Anda yang menjalankan Windows, saya akan memposting semua tautan di akhir artikel. Setelah membongkar arsip ke disk sistem Folder C:/ dapat diberi nama sesuai kebijaksanaan Anda atau dibiarkan sebagai default. Buka baris perintah sebagai administrator, Anda dapat melakukan ini jika Anda tidak mengetahuinya dengan membaca artikel. Selanjutnya, pada baris perintah, buka folder yang Anda ekstrak ke drive C:/. Nama folder yang di path berbeda sesuai dengan yang anda beri nama, tekan Enter dan jika semuanya sudah benar anda mendapatkan jawabannya, gambar dibawah ini:
  4. Selanjutnya, buka folder tempat Anda membongkarnya, buka folder di Explorer biasa dan temukan file dnscrypt-resolvers.csv di dalamnya, pilih server DNS yang akan kita sambungkan. Yang pertama adalah server. Mungkin semua orang tahu program seperti itu. Selain server Adguard, masih banyak server lain yang bisa dipilih, tetapi dari daftar ini yang paling terkenal. Meskipun saya lebih suka Yandex.
  5. Anda dapat menggunakan DNSCrypt dan mengkonfigurasinya untuk terhubung ke Yandex DNS, lebih detail di situs resminya ada nama dan sebagainya untuk mengatur program DNSCrypt (Secara pribadi, menurut saya, saya mengkonfigurasi DNS Yandex). Parameter DNSYandex: yandex,"Yandex","Server DNS publik Yandex","Anycast","",https://www.yandex.com,1,no,no,no,77.88.8.78:15353,2.dnscrypt -cert.browser.yandex.net,D384:C071:C9F7:4662:AF2A:CCD5:7B5D:CC97:14D4:07B6:AD36:01E1:AEDC:06D5:6D49:6327 Diambil dari file itu dengan pengaturan program (dnscrypt- Resolvers.csv) Seperti yang Anda lihat, atur koneksi ke server DNS yang dipilih sebelumnya, dan tidak hanya dari file, tetapi dari artikel yang disebutkan di atas. Dengan mengatur koneksi Anda menggunakan metode ini, Anda tidak perlu menginstal program yang menentang periklanan dan pengawasan.
  6. Dalam contoh ini saya akan berbicara tentang menghubungkan server DNS ADGuard. Selanjutnya kita pilih nama dari daftar di file dnscrypt-resolvers.csv, nama servernya adalah sebagai berikut: adguard-dns-family-ns1 dan ketik perintah di baris perintah, saya sorot di gambar di bawah:
  7. Jika server tersedia, Anda akan melihat yang berikut ini seperti pada gambar di atas pada persegi panjang tap. Instal DNSCrypt pada sistem dengan perintah berikut, soroti pada gambar di bawah dan tekan Enter:
  8. Jika semuanya berjalan dengan baik, maka jawaban pada baris perintah akan seperti pada gambar di atas dalam bentuk persegi panjang. Jika Anda ingin menghapus DnSCrypt maka perintahnya akan sama hanya di tempatnya Instal terakhir akan Copot pemasangan. Lalu semuanya sama saja jika ingin ganti server, lakukan hal yang sama pada instalasi Install dan lain sebagainya. Program telah dikonfigurasi dan sekarang Anda perlu menghubungkan perangkat komputer Anda melalui DNSCrypt. Kami pergi ke koneksi koneksi Anda dan di properti koneksi server DNS pilihan, tekan 127.0.0.1 ini adalah alamat mesin Anda. Tentang perubahan itu Alamat DNS Anda dapat mengetahui server yang ada di koneksi dari contoh artikel yang saya tulis di atas. Anda dapat mengetahui cara masuk ke properti koneksi untuk mengubah alamat DNS menggunakan tautan di bagian atas artikel.

Perusahaan Manajemen nama domain dan alamat IP (ICANN) sedang bersiap untuk diganti kunci kriptografi perlindungan server DNS 11 Oktober. Jika terjadi kesalahan, jutaan pengguna akan mengalami masalah dengan Internet.

Sistem pengalamatan Web di Seluruh Dunia dirancang sedemikian rupa sehingga kita tidak perlu mengingat IP digital situs - cukup mengetahui URL dalam bahasa alami (misalnya, situs, bukan 80.93.184.195). Server DNS (dari Domain Bahasa Inggris Sistem Nama) akan melakukan tugas penerjemah untuk kita dan menentukan sumber web apa yang kita cari dengan mengetikkan alamat ini atau itu atau mengklik baris kembali mesin pencari.

Sejak Internet menjadi platform untuk bisnis, jumlah korban penipu dunia maya yang menyadap permintaan pengguna ke server DNS dan, alih-alih ke situs yang diinginkan, mengalihkannya ke situs palsu, terkadang secara visual tidak dapat dibedakan dari aslinya, bertambah setiap tahun. . Oleh karena itu, pada tahun 2010, ICANN memperkenalkan sistem kunci KSK (Key Signing Key) - ekstensi keamanan sistem nama domain (DNS Security, atau DNSSEC), yang penggantiannya sudah lama tertunda.

Zona Server DNS Root

Sumber: Wikipedia.

Tanggal penting

KSK digunakan untuk perlindungan tambahan permintaan pengguna ke sistem DNS. Mereka dipasang di konfigurator (jangkar kepercayaan) di server zona domain root (resolver validasi) dan lokal (resolver rekursif) dan memastikan bahwa URL yang ditentukan dalam permintaan sesuai dengan alamat IP asli. Sesuai aturan, KSK wajib diganti setiap lima tahun sekali. Namun karena kewenangan pemerintah AS untuk mengelola nama domain telah habis, dan banyak operator besar yang belum siap, mereka memutuskan untuk tidak terburu-buru.

Mereka mulai berbicara serius tentang pembaruan kunci pada Juli 2016, dan beberapa hari yang lalu perusahaan mengumumkan kesiapan nomor satu - pada 11 Oktober, direncanakan untuk menonaktifkan versi KSK saat ini dan beralih ke yang baru. Karena operator memiliki cukup waktu untuk memperbarui konfigurator penyelesai, perubahan kunci harus dilakukan secara otomatis dan tidak terlihat oleh seluruh dunia. Terlebih lagi, dua dari setiap tiga pengguna Internet tidak memiliki hubungan sama sekali dengan DNSSEC.

Keamanan dengan mengorbankan risiko

Namun, menurut ICANN sendiri, ada kemungkinan bahwa karena alasan tertentu, beberapa penyelesai akan meninggalkan kunci lama di jangkar kepercayaan - dalam hal ini, server DNS tidak akan dapat memahami situs mana yang diminta darinya. Pada saat yang sama, karena kekhasan validasi kunci, root zona domain yang disebut server DNS otoritatif (bertanggung jawab atas domain tingkat pertama, misalnya zone.ru), konsekuensinya mungkin muncul setelah dua hari.

Petugas kriptografi ICANN memperingatkan bahwa bagi 750 juta pengguna biasa hal ini dapat mengakibatkan kesalahan tak terduga dalam mengakses halaman di browser (seperti “kegagalan server” dan SERVFAIL) atau memuat situs tanpa gambar, kegagalan dalam pertukaran email, pesan rusak Dan perlambatan umum kecepatan jaringan. Konsekuensi yang lebih serius mengancam sistem otomatis dan layanan yang terhubung ke DNSSEC - tidak hanya sinkronisasi waktu yang akan terganggu, tetapi seluruh aliran dokumen elektronik.

Selain itu, ICANN mengharapkan peningkatan beban komputasi yang signifikan di seluruh hierarki DNS karena peningkatan permintaan pembaruan KSK dari operator dengan kunci yang lebih lama. Hasil pemantauan situasi dijanjikan akan dipublikasikan di website korporasi.

  • Sergei Savenkov

    semacam ulasan "pendek"... seolah-olah mereka sedang terburu-buru di suatu tempat