Dns criptat. Creștem securitatea pe internet cu DNScrypt. Interogări DNS nesigure

Acest articol a fost scris la cererea unuia dintre cititorii blogului. Și trebuie să spun - subiectul este foarte interesant.

În zilele noastre, problema protecției traficului transmis pe Internet devine din ce în ce mai presantă. Mulți oameni ar putea râvni datele tale - de la atacatori care vor face tot posibilul pentru a-ți obține parolele diverse servicii, către serviciile de informații care vor să știe totul despre fiecare mișcare a voastră. Și mai departe timp dat, există număr mare„autoapărare” pe internet. Cam unul așa simplu, dar foarte mijloace eficiente, va fi discutat în acest articol - criptare DNS.

Există o resursă atât de minunată numită OpenDNS, care oferă serverele sale publice DNS. OpenDNS oferte Soluții DNS pentru utilizatori și companii ca alternativă la utilizarea serverului DNS oferit de ISP-ul lor. Prin plasarea serverelor companiei în zone strategice și folosind un cache mare de nume de domenii, OpenDNS tinde să completeze cererile mult mai rapid, crescând astfel viteza de deschidere a paginii. Rezultatele interogărilor DNS sunt stocate în cache sistem de operareși/sau aplicații, astfel încât această viteză poate să nu fie observată la fiecare solicitare, ci doar la acele solicitări care nu sunt stocate în cache.

Deoarece traficul dintre serverul DNS și computerul dvs nu este criptat, acest lucru creează un risc serios de interceptare a traficului. Criptarea traficului DNS va proteja clientul de atacuri "om la mijloc", în care un atacator intră într-un canal de comunicare și se preface a fi un server DNS. În plus, criptarea previne snoopingul traficului și blochează activitatea rău intenționată asociată cu ID-urile de pachete de forțare brută sau trimiterea de răspunsuri DNS false. Mai simplu spus: criptarea DNS va preveni atacurile de tip phishing atunci când, în loc de pagina dorită, se deschide o copie rău intenționată a acesteia în care vă introduceți datele. Cu toate consecințele. În plus, va fi mult mai dificil pentru furnizor să afle ce site-uri ați vizitat (deoarece jurnalele nu vor conține informații despre solicitările de rezoluție a numelor). Pentru a organiza toate acestea, proiectul OpenDNS a lansat un utilitar minunat cu sursă deschisă cod sursă- DNScrypt.

Acest utilitar va cripta tot traficul transmis între computerul dvs. și serverele OpenDNS. Dacă furnizorul dvs. blochează un site după numele său de domeniu, acum acest site va funcționa! Un alt plus. Acest utilitar Disponibil pe o mare varietate de sisteme. Voi descrie instalarea și configurarea folosind un exemplu DebianŞi Ubuntu/Linux Mint.

ÎN Ubuntu 14.04Şi Debian 8, acest utilitar nu există. Opțiunea 2: creați-l singur sau utilizați depozite terțe. În cazul Ubuntu, acesta va fi un depozit PPA:

sudo add-apt-repository ppa:xuzhen666/dnscrypt
sudo apt-get update
sudo apt-get install dnscrypt-proxy

În cazul Debian, trebuie doar să descărcați pachetul dnscrypt-proxy din depozitul de lansare a testului. Și instalați folosind GDebi, sau pe echipă sudo dpkg -i dnscrypt-proxy_1.6.0-2_amd64.deb.

Pentru auto-asamblare:

wget https://raw.github.com/simonclausen/dnscrypt-autoinstall/master/dnscrypt-autoinstall.sh && chmod +x dnscrypt-autoinstall.sh && ./dnscrypt-autoinstall.sh

În timpul procesului de instalare, vi se va cere să selectați un server DNS. Alegeți OpenDNS.

Setări suplimentare nu este necesar, pachetul contine tot ce ai nevoie. Tot ce aveți nevoie este să vă reconfigurați ușor conexiunea la rețea. Deschideți setările de conexiune la rețea, selectați-le pe ale dvs., accesați fila IPv4, modificați Auto pe Automat (numai adrese) (Automat (doar adresa)și specificați adresa DNS 127.0.2.1

Reporniți, conectați-vă și accesați

Ca

Ca

Tweet

Introducere

Vă voi spune despre un program pe care îl folosesc de mulți ani. Se îmbunătățește puțin securitatea rețelei, protejând împotriva falsării site-ului atunci când lucrați în zone nesigure Rețele Wi-Fi.

Nu voi intra în detalii tehnice. Vă voi spune pe scurt esența problemei, care a început să fie rezolvată abia în ultimii ani 5, dar vă puteți proteja cu DNSCrypt astăzi.

Interogări DNS nesigure

Pentru a comunica între dispozitive, se utilizează metoda de transmitere a datelor TCP/IP. Acesta nu este un protocol sau un set de programe, ci un concept (model) al modului în care ar trebui să aibă loc această comunicare.

TCP/IP are multe deficiențe, dar deoarece modelul este „plastic”, a fost corectat și îmbunătățit de-a lungul a peste 40 de ani de existență. De exemplu, pentru ca nimeni să nu poată vedea ceea ce introduceți pe site-uri și primiți ca răspuns, multe site-uri au trecut masiv la un protocol criptat

Din păcate, există încă o mulțime de vulnerabilități în TCP/IP. Unul dintre punctele dureroase este sistemul de nume de domeniu ( D omain N ame S sistem, DNS).

Când deschizi înăuntru bara de adrese pe site, computerul trebuie să știe la ce server să trimită o solicitare. Pentru a face acest lucru, contactează serverele DNS care stochează înregistrări despre adresa IP digitală a serverului pe care să o contacteze pentru a obține pagina dorită.

Problema este că computerele au încredere în serverele DNS necondiționat. Dacă te conectezi la Wi-Fi public rețea într-o cafenea, al cărei proprietar a crescut propriul server cu adrese false, există șansa ca în loc de VKontakte să deschideți o momeală care colectează parole.

Există mai multe modalități de a proteja cererile către serverele de nume, dar sistemele de operare nu le folosesc. Trebuie să modificați singur sistemul de operare folosind programe separate.

DNSCrypt simplu

Simplu DNSCrypt face ușoară și simplă modificarea setărilor plăcii de rețea, astfel încât toate solicitările să ajungă la serverele DNS care acceptă DNSSEC. Această tehnologie vă permite să evitați falsificarea adresei IP. Ca bonus, vor fi folosite numai servere de nume care respectă confidențialitatea, de exemplu. nu salvează solicitările utilizatorilor.

Programul este ușor de instalat. Principalul lucru este să alegeți versiunea potrivită pe 32 sau 64 de biți, în funcție de adâncimea de biți a Windows-ului dumneavoastră. Adâncimea de biți poate fi vizualizată în Panoul de control - Sistem (în Windows 10 - Setări - Sistem - Despre).

După instalare și lansare dintr-o comandă rapidă de pe Desktop, nu este nevoie să modificați setările. Doar apăsați butonul "Aplica."

Veți vedea că comutatorul pentru elementul „DNSCrypt Service” este setat în poziția verde „Pornit”. Aceasta înseamnă că în Windows a fost lansat un nou serviciu, a cărui esență este să acționeze ca un server proxy pentru toate solicitările DNS, redirecționându-le către servere securizate(lista lor se află în fila „Rezolvatori”; nu trebuie să atingeți nimic acolo).

Apoi trebuie doar să faceți clic pe toate plăci de rețea, vizibile în partea de jos a ferestrei, astfel încât pe ele să apară o bifă în dreapta sus.

Asta e tot! Solicitarea protecției va funcționa imediat. Programul va rula singur.

Dacă sunteți un utilizator avansat și doriți să verificați dacă DNSCrypt funcționează pe computerul dvs., deschideți proprietățile protocolului TCP/IPv4 conexiune la rețea. Serverul DNS trebuie să fie local - 127.0.0.1.

Dacă, atunci când utilizați serverul de nume 127.0.0.1, site-urile se deschid - utilitarul dnscrypt-proxy funcționează, nimeni nu vă scrie cererile, iar furnizorul nu vă urmărește solicitările.

Șters programul, ca toate celelalte, este prin Panoul de control.

DNSCypt ≠ confidențialitate completă

Nu confundați criptarea DNS cu criptarea întregului trafic dintre dvs. și site-uri web.

DNSCrypt vă va ajuta

  • protejați-vă de falsificarea serverelor DNS de către atacatori,
  • criptați cererile DNS.

Utilitarul nu va ajuta

  • menține confidențialitatea pe internet,
  • să obțină acces la site-uri blocate în țara ta,
  • protejați de falsificare dacă este editat fișierul hosts pe computer.

Dacă sunteți îngrijorat de problemele de confidențialitate, doar DNSCrypt o va face unealtă auxiliară. Pentru navigare anonimă folosit pe Internet tehnologii VPNși/sau Tor, apoi criptarea DNS va oferi protecție suplimentară în cazul în care un program de pe computerul dvs. solicită adresa IP a domeniului ocolind VPN-ul.

Dacă utilizați DNSCypt fără un VPN, furnizorul va vedea în continuare că accesați un server cu așa sau cutare IP și dacă mai multe site-uri sunt găzduite pe un server cu aceeași adresă IP, atunci va putea determina care dintre ele. tu vizitezi se va rezolva folosind analiza interogărilor ( Intrare pe server Indicatorul de nume este transmis în text clar chiar și atunci când utilizați HTTPS).

Alte sisteme de operare

Criptarea DNS ar trebui să funcționeze implicit pe orice sistem de operare. Dar această funcție nu există! Nici Windows, nici Linux, nici Android, nicăieri, nu are suport pentru DNSCrypt sau tehnologie similară din cutie.

DNSCrypt vă va ajuta să criptați traficul DNS și să îl protejați de terți.

    Pentru ce este DNS?
  1. Configurarea unui server DNS este bună, dar este și mai bine să criptezi traficul dintre server și client, adică tu. Am scris deja în alte articole ce este DNS și am trecut în revistă cele mai avansate servicii de server DNS. Diferența dintre DNS simplu și DNSCrypt este că tot traficul transmis de la dispozitivul computerului către serverul DNS nu este criptat. Singurul lucru pe care îl oferă Servicii simple DNS este blocarea site-urilor suspecte. Și traficul, așa cum am scris mai sus, care este transmis înapoi la computerul dvs. și cererea este trimisă de pe computerul dvs. la serverul DNS, trece în clar.
    2. Iată o listă de articole pe care le-am scris mai devreme despre serviciile DNS binecunoscute:
  2. Aceste Servicii DNS protejează-ți perfect computerul și oferă o opțiune de filtrare a site-ului. Dar traficul transmis de la serverul DNS către dispozitivul tău computer nu este criptat, așa cum am scris mai sus. Puteți afla mai multe despre configurarea diferitelor dispozitive de computer de partea dvs. ca client din primul articol pe care l-am enumerat mai sus. Există, de asemenea, o prezentare generală a modului de a alege serverul DNS potrivit. Poate vă va spune mai multe despre DNS. Deoarece în acest articol vorbim despre DNS, dar ne concentrăm doar pe criptarea conexiunii în sine de la serverul DnS și computerul dvs.
    3. Criptarea conexiunii DNS:
  3. Puteți cripta conexiunea DNS în sine instalând-o și configurând-o pe dvs dispozitiv de calculatorși vizitați, de asemenea, site-ul oficial. Descărcați ultima versiune DNSCrypt pentru computerul dvs. care rulează sistemul de operare Windows, voi posta toate linkurile la sfârșitul articolului. După ce a despachetat arhiva la disc de sistem Dosarul C:/ poate fi numit la discreția dvs. sau lăsat ca implicit. Deschideți linia de comandă ca administrator, puteți face acest lucru dacă nu știți citind articolul. Apoi, pe linia de comandă, accesați folderul pe care l-ați despachetat pe unitatea C:/. Numele folderului din cale este diferit așa cum l-ați numit, apăsați Enter și dacă totul este corect, obțineți răspunsul, imaginea de mai jos:
  4. Apoi, mergeți la folderul în care l-ați despachetat, deschizând folderul într-un Explorer obișnuit și găsiți fișierul dnscrypt-resolvers.csv în el, selectați serverul DNS la care ne vom conecta. În primul rând este serverul. Probabil că toată lumea cunoaște un astfel de program. Pe lângă serverele Adguard, există multe altele din care să alegeți, dar din listă acesta este cel mai faimos. Deși prefer Yandex.
  5. Puteți utiliza DNSCrypt și îl puteți configura pentru a vă conecta la Yandex DNS, mai detaliat pe site-ul oficial există un nume și așa mai departe pentru configurarea programului DNSCrypt (Personal, în opinia mea, am configurat Yandex DNS). Parametri DNSYandex: yandex,"Yandex","Server DNS public Yandex","Anycast","",https://www.yandex.com,1,no,no,no,77.88.8.78:15353,2.dnscrypt -cert.browser.yandex.net,D384:C071:C9F7:4662:AF2A:CCD5:7B5D:CC97:14D4:07B6:AD36:01E1:AEDC:06D5:6D49:6327 Preluat din acel fișier cu setările programului- (dnscrypt) resolvers.csv) După cum puteți vedea, configurați o conexiune la serverul DNS selectat anterior și nu numai din fișier, ci din articolele menționate mai sus. Configurați-vă conexiunea folosind această metodă, nu va trebui să instalați programe împotriva publicității și supravegherii.
  6. În acest exemplu voi vorbi despre conectarea serverului ADGuard DNS. Apoi am selectat numele din lista din fisierul dnscrypt-resolvers.csv, numele serverului va fi urmatorul: adguard-dns-family-ns1 si tastam comanda in linia de comanda, am evidentiat-o in poza de mai jos:
  7. Dacă serverul este disponibil, veți vedea următoarele, ca în imaginea de mai sus, în dreptunghiul de atingere. Instalați DNSCrypt pe sistem cu următoarea comandă, evidențiată în imaginea de mai jos și apăsați Enter:
  8. Dacă totul merge bine, răspunsul pe linia de comandă va fi ca în imaginea de mai sus într-un dreptunghi. Dacă doriți să eliminați DnSCrypt, atunci comanda va fi aceeași numai pe loc ultima instalare va fi Dezinstalare. Apoi totul este la fel dacă doriți să schimbați serverul, faceți același lucru cu instalarea Instalare și așa mai departe. Programul a fost configurat și acum trebuie să vă conectați dispozitivul computerului prin DNSCrypt. Mergem la conexiunile conexiunii dvs. și în proprietățile de conectare ale serverelor DNS preferate, formați 127.0.0.1 aceasta este adresa dvs. a mașinii dumneavoastră. Despre schimbare adrese Dns Serverele le puteti afla in legatura din exemplele articolelor despre care am scris mai sus. Puteți afla cum să accesați proprietățile conexiunii pentru a schimba adresa Dns folosind linkurile din partea de sus a articolului.

Corporația de management nume de domenii iar adresele IP (ICANN) se pregătește să fie înlocuite chei criptografice protecția serverelor DNS 11 octombrie. Dacă ceva nu merge bine, milioane de utilizatori vor avea probleme cu Internetul.

Sistem de adresare World wide web este conceput în așa fel încât să nu fie nevoie să ne amintim IP-ul digital al site-urilor - este suficient să cunoaștem adresa URL în limbaj natural (de exemplu, site-ul în loc de 80.93.184.195). Server DNS (din domeniul englezesc Sistemul de nume) va îndeplini sarcina traducătorului pentru noi și va determina ce resursă web căutăm tastând una sau acea adresă sau făcând clic pe linia de returnare a motorului de căutare.

De când Internetul a devenit o platformă pentru afaceri, numărul victimelor fraudelor cibernetice care au interceptat cererea unui utilizator către un server DNS și, în locul site-ului dorit, l-au redirecționat către unul fals, uneori nedistins vizual de original, a crescut în fiecare an. . Prin urmare, în 2010, ICANN a introdus sistemul de chei KSK (Key Signing Key) - extensii de securitate ale sistemului de nume de domeniu (DNS Security, sau DNSSEC), a cărui înlocuire era de mult așteptată.

Root zonele serverului DNS

Sursa: Wikipedia.

Data cheie

KSK sunt folosite pentru protectie suplimentara solicitările utilizatorilor către sistemul DNS. Acestea sunt instalate în configuratorul (ancora de încredere) pe serverele zonelor de domeniu rădăcină (rezolvatoare de validare) și locale (rezolvare recursive) și se asigură că adresa URL specificată în cerere corespunde adresei IP autentice. Conform reglementărilor, KSK-urile trebuie înlocuite la fiecare cinci ani. Dar din moment ce autoritatea guvernului SUA de a gestiona numele de domenii expirase și mulți operatori mari nu erau pregătiți, au decis să nu se grăbească.

Au început să vorbească serios despre actualizarea cheilor în iulie 2016, iar zilele trecute, corporația a anunțat pregătirea numărul unu - pe 11 octombrie, este planificată să dezactiveze versiunea actuală a KSK și să treacă la una nouă. Deoarece operatorii au avut suficient timp să actualizeze configuratoarele de rezoluție, schimbarea cheii ar trebui să fie automată și invizibilă pentru restul lumii. Mai mult, doi din trei utilizatori de internet nu au nicio relație cu DNSSEC.

Siguranța cu prețul riscului

Cu toate acestea, conform ICANN însuși, există posibilitatea ca unii soluționatori, dintr-un anumit motiv, să lase chei vechi în ancora de încredere - în acest caz, serverul DNS pur și simplu nu va putea înțelege ce site este solicitat de la acesta. În același timp, datorită particularităților validării cheii, rădăcina zona de domeniu așa-numitele servere DNS autorizate (responsabile pentru domeniile de ordinul întâi, de exemplu, zone.ru), consecințele pot apărea după două zile.

Ofițerii criptografici ai ICANN avertizează că pentru 750 de milioane de utilizatori obișnuiți acest lucru ar putea duce la erori imprevizibile la accesarea paginii în browser (cum ar fi „eroare server” și SERVFAIL) sau încărcarea unui site fără imagini, eșecuri în schimbul de corespondență, mesaje sparteŞi încetinirea generală viteza rețelei. Consecințele mai grave amenință sisteme automatizateși servicii conectate la DNSSEC - nu doar sincronizarea timpului se va întrerupe, ci întregul flux de documente electronice.

În plus, ICANN se așteaptă la o creștere semnificativă a sarcinii de calcul în întreaga ierarhie DNS, datorită creșterii cererilor de actualizare KSK de la operatorii cu chei mai vechi. Rezultatele monitorizării situației sunt promise a fi publicate pe site-ul corporației.

  • Serghei Savenkov

    un fel de recenzie „scurtă”... de parcă s-ar grăbi undeva