Телевизор 

(DNSCrypt) настройка шифрования трафика DNS. Безопасность ценой риска

Эта статья написана по просьбе одного из читателей блога. И должен сказать - тема весьма интересная.

В наше время, всё более остро встаёт вопрос о защите передаваемого трафика в сети Интернет. Очень многие могут позариться на ваши данные - от злоумышленников, который всеми силами будут хотеть заполучить ваши пароли к различным сервисам, до спецслужб, которые хотят знать всё о каждом вашем шаге. И на данное время, существует большое количество "средств самообороны" в Интернете. Об одном таком простом, но весьма эффективном средстве, пойдёт речь в этой статье - DNScrypt .

Существует такой замечательный ресурс, под названием OpenDNS , который предоставляет свои публичные DNS-сервера . OpenDNS предлагает DNS-решения для пользователей и предприятий, как альтернативу использованию DNS-сервера, предлагаемого их провайдером. Размещение серверов компании в стратегически важных районах и использование большого кэша доменных имен приводит к тому, что OpenDNS, как правило, выполняет запросы гораздо быстрее, тем самым увеличивая скорость открытия страницы. Результаты DNS-запросов некоторое время кэшируются в операционной системе и/или приложениях, так что эта скорость может быть заметна не при каждом запросе, а только при тех запросах, которые не кэшированы.

Так как трафик между DNS-сервером и вашим компьютером не шифруется , это создаёт серьёзную опасность перехвата трафика. Шифрование DNS-трафика позволит защитить клиента от атак "человек посередине" , при которых злоумышленник вклинивается в канал связи и притворяется DNS-сервером. Кроме того, шифрование предотвращает наблюдение за трафиком и блокирует активность злоумышленников, связанную с подбором идентификаторов пакетов или отправкой фиктивных DNS-ответов. Проще говоря: шифрование DNS предотвратит фишинговые атаки, когда вместо желаемой страницы, открывается её вредоносная копия, где вы вводите свои данные. Со всеми вытекающими. Плюс ко всему, провайдеру станет гораздо тяжелее узнать, какие сайты вы посещали (ибо в логах не будет информации о запросах на разрешение имён). Чтобы всё это организовать, проект OpenDNS выпустил замечательную утилиту с открытым исходным кодом - DNScrypt .

Эта утилита будет шифровать весь передаваемый трафик между вашим компьютером и OpenDNS-серверами. Если ваш провайдер блокирует какой-нибудь сайт по его доменному имени - теперь этот сайт заработает! Ещё один плюс. Данная утилита доступна на великом множестве систем. Опишу установку и настройку на примере Debian и Ubuntu/Linux Mint .

В Ubuntu 14.04 и Debian 8 , этой утилиты нет. Варианта 2: собирать самому или использовать сторонние репозитории. В случае Ubuntu, это будет PPA-репозиторий:

sudo add-apt-repository ppa:xuzhen666/dnscrypt
sudo apt-get update
sudo apt-get install dnscrypt-proxy

В случае Дэбиана, достаточно скачать пакет dnscrypt-proxy из репозитория тестового выпуска . И установить с помощью GDebi , либо командой sudo dpkg -i dnscrypt-proxy_1.6.0-2_amd64.deb .

Для самостоятельной сборки:

wget https://raw.github.com/simonclausen/dnscrypt-autoinstall/master/dnscrypt-autoinstall.sh && chmod +x dnscrypt-autoinstall.sh && ./dnscrypt-autoinstall.sh

В процессе установки будет предложено выбрать DNS-сервер. Выбирайте OpenDNS.

Дополнительной настройки не требуется, в пакете есть всё необходимое. Всё что вам нужно - слега перенастроить подключение к сети. Открываем настройку сетевых соединений, выбираем своё, идём на вкладку IPv4, меняем Авто (Auto) на Автоматически (только адреса) (Auto (Address only) и указываем DNS-адрес 127.0.2.1

Перезагружаемся, подключаемся и переходим по

DNSCrypt - это спецификация, реализованная в программном обеспечении unbound, dnsdist, dnscrypt-wrapper и dnscrypt-proxy.

2. Сохраните копию исходного файла конфигурации example-dnscrypt-proxy.toml и настройте согласно вашим требованиям как .

Наш пример настройки файла . Список общедоступных DNS-резольверов доступен по этой ссылке .

3. Убедитесь, что другие приложения и сервисы не прослушивают 53 порт в вашей системе и запустите приложение dnscrypt-proxy в командной строке Windows в режиме администратора устройства. Измените ваши настройки DNS для настроенного IP-адреса.

В нашем случае необходимо настроить DNS на 127.0.0.1 (указанное значение для параметра listen_addresses в конфигурационном файле) в параметрах протокола TCP/IP. Как это сделать для Windows рассказывается в статье настройка DNS на компьютере с ОС Windows . Приведем скриншот настройки для нашего случая:

4. Установите системную службу.

Установка системной службы dnscrypt-proxy (Windows, Linux, MacOS)

В командной строке, запущенной с правами администратора, введите следующую команду dnscrypt-proxy -service install для регистрации dnscrypt-proxy в качестве системной службы, а затем введите команду dnscrypt-proxy -service start для запуска службы.

В Windows данный шаг не требуется. Просто дважды щелкните по файлу server-install.bat для установки службы.

Служба будет автоматически запускаться при каждой перезагрузке.

Процедура установки совместима с операционными системами Windows, Linux (systemd, Upstart, SysV) и macOS (launchd).

Другие полезные команды: stop , restart (полезна при изменении конфигурации) и uninstall .

Установка dnscrypt-proxy в Ubuntu 18.04, 17.10

sudo add-apt-repository ppa:shevchuk/dnscrypt-proxy
sudo apt update
sudo apt install dnscrypt-proxy
sudo nano /etc/dnscrypt-proxy/dnscrypt-proxy.toml

Раскомментируем (убираем значок #) строку server_names (и заменяем имена серверов на нужные нам). Для сохранения изменений нажимаем CTRL+O соглашаемся на изменения и затем CTRL+X для закрытия. Либо от имени Администратора в текстовом редакторе правим файл dnscrypt-proxy.toml расположенный в /etc/dnscrypt-proxy/.

В настройках сети - IPV4 - DNS - отключаем Автоматический и ставим 127.0.0.1

Sudo sed -i "s/127.0.2.1/127.0.0.1/g" /lib/systemd/system/dnscrypt-proxy.socket
sudo systemctl daemon-reload
sudo systemctl stop dnscrypt-proxy.socket
sudo systemctl enable dnscrypt-proxy
sudo systemctl start dnscrypt-proxy

Перезагружаем систему.

Установка системной службы dnscrypt-proxy (Arch Linux)

В AUR репозитории Arch linux поддерживается 2 версия пакета.

1. Выполните установку:

Yaourt -S dnscrypt-proxy-go

2. Активируйте и запустите службу:

Systemctl enable dnscrypt-proxy.service
systemctl start dnscrypt-proxy.service

3. Проверьте, был ли успешен запуск службы:

Systemctl status dnscrypt-proxy.service

4. Посмотрите содержимое журнала:

Dnscrypt-proxy is ready - live servers:

Теперь dnscrypt-proxy будет прослушивать 127.0.0.1:53

Запуск в Linux без root

Следующая команда добавляет необходимые атрибуты для файла dnscrypt-proxy, делая возможным его запуск без root прав:

Sudo setcap cap_net_bind_service=+pe dnscrypt-proxy

Проверка работы

Проверьте, что все работает корректно. DNS-запрос для resolver.dnscrypt.info должен возвращать один из выбранных DNS-серверов вместо серверов вашего провайдера

Вы можете проверить информацию о DNS с помощью сервиса DNSLeak.com . Данные сайты возвращают информацию о вашем IP-адресе и владельце используемого DNS сервера. Если в результатах отображается сервис вашего Интернет-провайдера, то происходит утечка DNS.

Simple DNSCrypt для Windows

Для Windows также можно использовать - инструмент для настройки шифрования DNSCrypt на компьютерах Windows с помощью простого в использовании интерфейса.

Нашли опечатку? Выделите и нажмите Ctrl + Enter

Корпорация по управлению доменными именами и IP-адресами (ICANN) готовится к замене криптографических ключей защиты DNS-серверов 11 октября. Если что-то пойдет не так, у миллионов пользователей возникнут проблемы с интернетом.

Система адресации Всемирной паутины устроена таким образом, чтобы нам не приходилось запоминать цифровые IP сайтов - достаточно знать URL на естественном языке (например, сайт вместо 80.93.184.195). DNS-сервер (от англ. Domain Name System) выполнит задачу переводчика за нас и определит, какой веб-ресурс мы ищем, набирая тот или иной адрес или кликая по строке выдачи поисковика.

С тех пор как Сеть стала площадкой для бизнеса, с каждым годом росло число жертв кибермошенников, которые перехватывали запрос пользователя к DNS-серверу и вместо нужного сайта перенаправляли его на подставной, порой визуально неотличимый от оригинала. Поэтому в 2010 году ICANN ввела систему ключей KSK (от англ. Key Signing Key) - расширений безопасности системы доменных имен (DNS Security, или DNSSEC), срок замены которых давно истек.

Зоны корневых DNS-серверов

Источник: Википедия.

Ключевая дата

KSK используются для дополнительной защиты запросов пользователей к системе DNS. Они устанавливаются в конфигуратор (якорь доверия) на серверы корневых (валидирующие резолверы) и локальных (рекурсивные резолверы) доменных зон и обеспечивают гарантию соответствия указанного в запросе URL подлинному IP-адресу. KSK по регламенту подлежат замене каждые пять лет. Но поскольку срок полномочий правительства США по управлению доменными именами истек, а многие крупные операторы оказались не готовы, решили не спешить.

Всерьез про обновление ключей заговорили в июле 2016 года, а на днях корпорация объявила готовность номер один - 11 октября запланирована деактивация действующей версии KSK и переход к новой. Поскольку у операторов было достаточно времени на обновление конфигураторов резолверов, смена ключей должна пройти автоматически и незаметно для остального мира. Более того, двое из каждых трех пользователей интернета вообще не имеют отношения к DNSSEC.

Безопасность ценой риска

Однако, по оценке самой ICANN, существует вероятность, что некоторые резолверы по каким-то причинам оставят в якоре доверия старые ключи - в таком случае DNS-сервер просто не сможет понять, какой сайт у него запрашивают. При этом в силу особенностей валидации ключей корневой доменной зоны так называемыми авторитетными DNS-серверами (отвечающими за домены первого порядка, например, зону.ru) последствия могут проявиться спустя двое суток.

Криптографические офицеры ICANN предупреждают, что для 750 млн рядовых пользователей это может обернуться непредсказуемыми ошибками доступа к странице в браузере (типа «server failure» и SERVFAIL) или загрузкой сайта без картинок, сбоями при обмене почтой, битыми сообщениями и общим замедлением быстродействия Сети. Более серьезные последствия грозят автоматизированным системам и сервисам, подключенным к DNSSEC - сломается не просто синхронизация времени, а весь электронный документооборот.

Помимо этого, ICANN ожидает существенный рост вычислительной нагрузки на всю иерархию DNS из-за увеличения числа запросов на обновление KSK от операторов со старыми ключами. Результаты мониторинга ситуации обещают публиковать на сайте корпорации.

Вы думаете что ваша анонимность надежно защищена. Но к сожалению это не так. Существует один очень важный канал утечки вашей приватной информации — служба DNS. Но к счастью на это тоже придумано решения. Сегодня я раскажу как зашифровать свой DNS трафик с помощью утилиты DNSCrypt.

При использовании HTTPS или SSL твой HTTP трафик зашифрован, то есть защищен. Когда ты используешь VPN, шифруется уже весь твой трафик (конечно, все зависит от настроек VPN, но, как правило, так оно и есть). Но иногда, даже когда используется VPN, твои DNS-запросы не зашифрованы, они передаются как есть, что открывает огромное пространство для «творчества», включая MITM-атаки, перенаправление трафика и многое другое.

Тут на помощь приходит опенсорсная утилита DNSCrypt, разработанная хорошо известными тебе создателями OpenDNS, - программа, позволяющая шифровать DNS-запросы. После ее установки на компьютер твои соединения также будут защищены и ты сможешь более безопасно бороздить просторы интернета. Конечно, DNSCrypt - это не панацея от всех проблем, а только одно из средств обеспечения безопасности. Для шифрования всего трафика все еще нужно использовать VPN-соединение, но в паре с DNSCrypt будет безопаснее. Если тебя такое краткое объяснение устроило, можешь сразу переходить к разделу, где я буду описывать установку и использование программы.

Попробуем разобраться глубже. Этот раздел предназначен для настоящих параноиков. Если ты ценишь свое время, тогда можешь сразу перей ти к установке программы.
Итак, как говорится, лучше один раз увидеть, чем сто раз услышать. Посмотри на рисунок.

Допустим, клиент (ноутбук на рисунке) пытается обратиться к google.com Первым делом он должен
разрешить символьное имя узла в IP-адрес. Если же конфигурация сети такова, что используется DNS-сервер провайдера (незашифрованное соединение, красная линия на рисунке), то разрешение символьного имени в IP-адрес происходит по незашифрованному соединению.

Да, какие данные ты будешь передавать на dkws.org.ua, никто не узнает. Но есть несколько очень неприятных моментов. Во-первых, провайдер, просмотрев логи DNS, сможет узнать, какие сайты ты посещал. Тебе это нужно? Вовторых, вероятна возможность атак DNS спуфинг и DNS снупинг. Подробно описывать их не буду, об этом уже написано множество статей. В двух словах ситуация может быть следующей: некто между тобой и провайдером может перехватить DNS-запрос (а так как запросы не шифруются, то перехватить запрос и прочитать его содержимое не составит никакого труда) и отправить тебе «поддельный» ответ. В результате вместо того, чтобы посетить google.com, ты перейдешь на сайт злоумышленника, как две капли воды похожий на тот, который тебе нужен, введешь свой пароль от форума, ну а дальше развитие событий, думаю, ясно.

Описанная ситуация называется DNS leaking («утечка DNS»). DNS leaking происходит, когда твоя система даже после соединения с VPN сервером или Tor продолжает запрашивать DNS серверы провайдера для разрешения доменных имен. Каждый раз, когда ты посещаешь новый сайт, соединяешься с новым сервером или запускаешь какое-то сетевое приложение, твоя система обращается к DNS провайдера, чтобы разрешить имя в IP. В итоге твой провайдер или любой желающий, находящийся на «последней миле», то есть между тобой и провайдером, может получить все имена узлов, к которым ты обращаешься. Приведенный выше вариант с подменой IP-адреса совсем жестокий, но в любом случае есть возможность отслеживать посещенные тобой узлы и использовать эту информацию в собственных целях.

Если ты «боишься» своего провайдера или просто не хочешь, чтобы он видел, какие сайты ты посещаешь, можешь (разумеется, кроме использования VPN и других средств защиты) дополнительно настроить свой компьютер на использование DNS серверов проекта OpenDNS (www.opendns.com). На данный момент это следующие серверы:

208.67.222.222
208.67.220.220

При этом тебе не нужно никакое другое дополнительное программное обеспечение. Просто настрой свою систему на использование этих DNS-серверов.

Но все равно остается проблема перехвата DNS-соединений. Да, ты уже обращаешься не к DNS провайдера, а к OpenDNS, но все еще можно перехватить пакеты и посмотреть, что в них. То есть при желании можно узнать, к каким узлам ты обращался.

Вот мы и подошли к DNSCrypt. Эта программулина позволяет зашифровать твое DNS соединение. Теперь твой провайдер (и все, кто между тобой и им) точно не узнает, какие сайты ты посещаешь! Еще раз повторюсь. Эта программа не замена Tor или VPN. По-прежнему остальные передаваемые тобой данные передаются без шифрования, если ты не используешь ни VPN, ни Tor. Программа шифрует только DNS трафик.


В КАЧЕСТВЕ ЗАКЛЮЧЕНИЯ

Статья получилась не очень большая, поскольку сама программа очень проста в использовании. Но она была бы неполной, если бы я не упомянул и о VPN. Если ты прочитал эту статью, тебя она заинтересовала, но ты еще не пользуешься услугами VPN-провайдера для шифрования своих данных, то самое время это сделать.
VPN-провайдер предоставит тебе безопасный туннель для передачи твоих данных, а DNSCrypt обеспечит защиту DNS-соединений. Конечно, услуги VPN провайдеров платны, но ведь за безопасность нужно платить?

Можно использовать, конечно, и Tor, но Tor работает относительно медленно, и это, как ни крути, не VPN - весь трафик «торифицировать» не получится. В любом случае (какой бы вариант ты ни выбрал) теперь твои DNS-соединения защищены. Осталось только определиться со средством шифрования трафика (если ты это еще не сделал).

Last updated by at Октябрь 30, 2016 .