Τι είναι το DNS Over TLS;
Γνωρίζετε ήδη ότι υπήρξαν πολλά buzz τα τελευταία χρόνια γύρω από την κρυπτογράφηση της κυκλοφορίας Ιστού. Ακόμη και αν δεν έχετε δώσει μεγάλη προσοχή, θα πρέπει να έχετε παρατηρήσει την εισροή πράσινων κλειδαριών κοντά σε διευθύνσεις URL και HTTPS που εμφανίζονται παντού. Αυτό οφείλεται στο γεγονός ότι περισσότερες τοποθεσίες από ποτέ έχουν κρυπτογράφηση της κυκλοφορίας.
Η κρυπτογράφηση της κυκλοφορίας Ιστού προστατεύει τόσο την τοποθεσία όσο και τους επισκέπτες που την επισκέπτονται. Οι επιτιθέμενοι δεν μπορούν εύκολα να κατασκοπεύουν την κρυπτογραφημένη κίνηση καθώς περνάει ανάμεσα στον υπολογιστή σας και σε έναν ιστότοπο διατηρώντας τις πληροφορίες σύνδεσης και οτιδήποτε άλλο υποβάλετε.
Υπάρχει ένα κομμάτι που δεν κρυπτογραφείται χρησιμοποιώντας το HTTPS, το ερώτημα DNS. Εάν δεν είστε εξοικειωμένοι, οι ιστότοποι υπάρχουν στην πραγματικότητα σε μια διεύθυνση IP. Όταν κάνετε διάτρηση στη διεύθυνση URL ενός ιστότοπου, κάνετε ένα άλλο αίτημα σε έναν διακομιστή DNS με το ερώτημα σε ποια διεύθυνση IP ανήκει αυτή η διεύθυνση URL. Τις περισσότερες φορές, αυτός ο διακομιστής DNS ανήκει στον ISP σας. Έτσι, αυτοί, και οποιοσδήποτε άλλος που μπορεί να ακούει μέσα, μπορεί να δει ποια sites πρόκειται να κάνετε και να τα καταγράψετε. Επειδή το DNS δεν είναι κρυπτογραφημένο από προεπιλογή, είναι αρκετά εύκολο για οποιοδήποτε τρίτο μέρος να παρακολουθεί τα ερωτήματα DNS.
Το DNS Over TLS φέρνει τον ίδιο τύπο κρυπτογράφησης που περιμένετε με τα HTTPS σε ερωτήματα DNS. Επομένως, το μόνο άτομο που λαμβάνει το ερώτημά σας και τα δεδομένα σχετικά με τον ιστότοπο που επισκέπτεστε είναι ο διακομιστής DNS που επιλέγετε και μπορείτε να επιλέξετε. Δεν χρειάζεται να χρησιμοποιήσετε το DNS του ISP σας και δεν θα έπρεπε.
Τι μπορείς να κάνεις?
Η υποστήριξη για το DNS μέσω TLS δεν είναι τόσο ώριμη όσο το HTTPS, αλλά είναι ακόμα αρκετά εύκολο να το εγκαταστήσετε και να το χρησιμοποιήσετε. Υπάρχουν πολλές επιλογές που μπορείτε να χρησιμοποιήσετε για την προστασία της επισκεψιμότητας DNS. Πρώτον, αξίζει να σημειωθεί ότι η χρήση ενός σωστά ρυθμισμένου VPN θα σας προστατεύσει ήδη. Η επισκεψιμότητα DNS σας θα διοχετευτεί μέσω του VPN στους διακομιστές DNS του παρόχου. Εάν χρησιμοποιείτε ήδη ένα VPN, μην ανησυχείτε, αν και μπορείτε να ρυθμίσετε πρόσθετη προστασία αν θέλετε.
Εάν δεν χρησιμοποιείτε VPN, μπορείτε ακόμα να κρυπτογραφήσετε την κυκλοφορία DNS με το DNS μέσω TLS. Υπάρχει ένα εξαιρετικό έργο ανοιχτού κώδικα, το οποίο ονομάζεται Stubby, το οποίο κρυπτογραφεί αυτόματα τα ερωτήματα DNS και τα δρομολογεί σε έναν διακομιστή DNS που μπορεί να χειριστεί το DNS μέσω TLS. Επειδή το έργο είναι ανοικτού κώδικα, είναι ελεύθερα διαθέσιμο για Windows, Mac και Linux.
Ρύθμιση Stubby
Windows
Το Stubby διαθέτει ένα κατάλληλο πρόγραμμα εγκατάστασης .msi των Windows που θα εγκαταστήσει το Stubby μαζί με ένα προεπιλεγμένο αρχείο ρυθμίσεων. Μεταβείτε στη σελίδα εγκατάστασης και κάντε λήψη του προγράμματος εγκατάστασης των Windows .msi.
Μόλις το έχετε, εκτελέστε το πρόγραμμα εγκατάστασης. Δεν υπάρχει οδηγός γραφικών ρύθμισης ή οτιδήποτε άλλο. Χρειάζεται μόνο να επιβεβαιώσετε ότι δίνετε πρόσβαση στον εγκαταστάτη. Θα φροντίσει τα υπόλοιπα.
Τα πάντα για το Stubby στα Windows βρίσκονται στο:
C: Αρχεία προγραμμάτωνStubby
Αυτό περιλαμβάνει το αρχείο ρυθμίσεων YAML.
Ανοίξτε μια γραμμή εντολών. Μπορείτε να χρησιμοποιήσετε την εντολή Εκτέλεση και πληκτρολογήστε cmd. Αλλάξτε στον κατάλογο Stubby. Στη συνέχεια, εκτελέστε το .exe και να το περάσετε με τη διαμόρφωση για να ξεκινήσετε το Stubby.
C: ΧρήστεςUserNamecd C: Program FilesStubby
C: Πρόγραμμα αρχείωνStubbystubby.exe -C stubby.yml
Το Stubby θα τρέχει τώρα στο σύστημά σας. Αν θέλετε να το δοκιμάσετε, εκτελέστε την ακόλουθη εντολή για να δείτε αν εκτελείται σωστά.
C: Πρόγραμμα αρχείωνStubbygetdns_query -s @ 127.0.0.1 www.google.com
Αν αυτό λειτουργήσει, το Stubby έχει ρυθμιστεί σωστά. Τώρα, αν θέλετε να αλλάξετε τους διακομιστές DNS που χρησιμοποιεί το Stubby, ανοίξτε το stubby.yml και τροποποιήστε τις καταχωρήσεις του διακομιστή DNS ώστε να ταιριάζουν με τους διακομιστές της επιλογής σας. Βεβαιωθείτε ότι οι διακομιστές που επιλέξατε υποστηρίζουν το DNS μέσω TLS.
Προτού μπορέσετε να χρησιμοποιήσετε το σύστημα Stubby σε ευρεία κλίμακα, θα χρειαστεί να τροποποιήσετε τους ανιχνευτές ανάντη των Windows (διακομιστές DNS). Για να το κάνετε αυτό, θα χρειαστεί να εκτελέσετε μια εντολή με δικαιώματα διαχειριστή. Κλείστε το υπάρχον παράθυρο γραμμής εντολών. Στη συνέχεια, επιστρέψτε στο μενού έναρξης και αναζητήστε "cmd". Κάντε δεξί κλικ πάνω του και επιλέξτε "Εκτέλεση ως διαχειριστής". Στο παράθυρο που προκύπτει, εκτελέστε τα εξής:
PowerShell -ExecutionPolicy bypass -αρχείο "C: Program FilesStubbystubby_setdns_windows.ps1"
Κανένα από αυτά δεν είναι πολύ καλό εάν δεν μπορείτε να κάνετε τις αλλαγές μόνιμες. Για να το κάνετε αυτό, θα χρειαστεί να δημιουργήσετε μια προγραμματισμένη εργασία που εκτελείται κατά την εκκίνηση. Ευτυχώς, οι προγραμματιστές Stubby παρείχαν ένα πρότυπο γι 'αυτό. Στο τρέχον παράθυρο γραμμής εντολών που έχετε, κάντε τις αλλαγές σας μόνιμες.
schtasks / δημιουργία / tn Stubby / XML "C: Program FilesStubbystubby.xml" / RU Αυτό είναι όλο! Ο υπολογιστής σας Windows έχει ρυθμιστεί τώρα ώστε να χρησιμοποιεί το Stubby για να στείλει το DNS σας μέσω TLS. Στο Linux, αυτή η διαδικασία είναι πολύ απλή. Και οι δύο διανομές που βασίζονται στο Ubuntu και το Debian έχουν ήδη Stubby διαθέσιμα στα αποθετήρια τους. Απλά πρέπει να το εγκαταστήσετε και να αλλάξετε το DNS σας για να χρησιμοποιήσετε το Stubby. Ξεκινήστε εγκαθιστώντας το Stubby $ sudo apt εγκαταστήστε αργές
Στη συνέχεια, επεξεργαστείτε το αρχείο διαμόρφωσης Stubby, εάν το επιλέξετε. Είναι διαθέσιμο στο /etc/stubby/stubby.yml. Ανοίξτε το στον αγαπημένο σας επεξεργαστή κειμένου με το sudo. Εάν έχετε κάνει οποιεσδήποτε αλλαγές στους διακομιστές DNS, κάντε επανεκκίνηση του Stubby. $ sudo systemctl επανεκκίνηση stubby
Επίσης, θα χρειαστεί να αλλάξετε τις καταχωρήσεις nameserver στο /etc/resolv.conf. Ανοίξτε το με τον επεξεργαστή κειμένου και το sudo επίσης. Δημιουργήστε μια ενιαία καταχώρηση όπως αυτή που ακολουθεί. nameserver 127.0.0.1
Τώρα, δοκιμάστε ότι ο Stubby λειτουργεί. Πηγαίνετε στο dnsleaktest.com και εκτελέστε τη δοκιμή. Εάν εμφανίζονται οι διακομιστές που έχετε ρυθμίσει για να χρησιμοποιήσετε το Stubby, ο υπολογιστής σας εκτελεί με επιτυχία Stubby. Η εγκατάσταση του Stubby σε OSX είναι επίσης αρκετά απλή. Εάν έχετε Homebrew, η διαδικασία είναι νεκρή απλή, αλλά είναι επίσης αρκετά εύκολο διαφορετικά. Με το Hombrew, μπορείτε να εγκαταστήσετε το πακέτο Stubby. $ brew εγκατασταθεί αργά
Πριν ξεκινήσετε τη λειτουργία Stubby ως υπηρεσία, μπορείτε να τροποποιήσετε τη διαμόρφωση YAML στη διεύθυνση /usr/local/etc/stubby/stubby.yml. Μόλις είστε ικανοποιημένοι με τα πράγματα, μπορείτε να ξεκινήσετε το Stubby ως υπηρεσία. Οι υπηρεσίες παραγωγής sudo του sudo ξεκινούν
Αν δεν έχετε Homebrew, μπορείτε να εγκαταστήσετε το Stubby GUI. Είναι διαθέσιμο εδώ. Το DNS πάνω από το TLS αρχίζει να κερδίζει έλξη. Σύντομα, θα είναι συνηθισμένο. Μέχρι τότε, η εγκατάσταση και τα προγράμματα όπως το Stubby είναι απαραίτητα. Είναι σαφές, ωστόσο, ότι δεν είναι πολύ δύσκολο να δημιουργηθεί. Στο εγγύς μέλλον, η υποστήριξη για το DNS μέσω TLS θα αποτελέσει τεράστιο βήμα προς τα εμπρός όταν η Google συμπεριλαμβάνει προεπιλογή υποστήριξη με το Android. Ως αποτέλεσμα, θα πρέπει να είναι μόνο θέμα χρόνου πριν η Apple ακολουθήσει την υποστήριξη iOS. Οι πλατφόρμες επιφάνειας εργασίας πιθανότατα δεν θα μείνουν πολύ πίσω. Στη συνέχεια, έχουν ήδη υποστήριξη και απλά το ενεργοποιήσατε.Linux
OSX
Κλείσιμο Σκέψεις
