Що таке DNS над TLS?
Ви вже знаєте, що в останні кілька років було багато галасу навколо шифрування веб-трафіку. Навіть якщо ви не приділяли багато уваги, ви повинні помітити приплив зелених замків біля URL-адрес і HTTPS, що спливають скрізь. Це тому, що більше сайтів, ніж будь-коли, шифрують трафік.
Шифрування веб-трафіку захищає як сайт, так і людей, які його відвідують. Зловмисники не можуть легко шпигувати за зашифрованим трафіком, коли він проходить між вашим комп’ютером та веб-сайтом, зберігаючи свою інформацію про вхід та все, що ви подаєте.
Є одна деталь, яка не шифрується за допомогою HTTPS, DNS-запиту. Якщо ви не знайомі, веб-сайти фактично існують за IP-адресою. Коли ви пробиваєте URL-адресу сайту, ви подаєте ще один запит на DNS-сервер із запитом, до якої IP-адреси належить ця URL-адреса. Найчастіше сервер DNS належить до вашого провайдера. Отже, вони та всі, хто може слухати їх, можуть бачити, на яких сайтах ви переходите, і входити в них. Оскільки DNS не шифрується за замовчуванням, будь-яка сторона може контролювати запити DNS.
DNS Over TLS приносить той самий тип шифрування, який ви очікуєте з HTTPS для DNS-запитів. Отже, єдина особа, яка отримує ваш запит та дані про те, який сайт ви відвідуєте, - це вибраний вами DNS-сервер, який ви можете вибрати. Вам не потрібно використовувати DNS вашого провайдера, і ви не повинні.
Що ти можеш зробити?
Підтримка DNS через TLS ще не настільки зріла, як HTTPS, але все одно досить просто налаштувати та використовувати. Існує ряд варіантів, які можна використовувати для захисту трафіку DNS. По-перше, варто зазначити, що використання правильно налаштованої VPN вже захистить вас. Ваш DNS-трафік буде тунельований через VPN на DNS-сервери постачальника. Якщо ви вже використовуєте VPN, не хвилюйтесь, хоча ви можете встановити додатковий захист, якщо вам це подобається.
Якщо ви не використовуєте VPN, ви все ще можете зашифрувати свій DNS-трафік за допомогою DNS через TLS. Існує чудовий проект з відкритим кодом, який називається Stubby, який автоматично шифрує ваші запити DNS і спрямовує їх на DNS-сервер, який може обробляти DNS через TLS. Оскільки проект є відкритим кодом, він вільно доступний для Windows, Mac та Linux.
Налаштуйте Stubby
Windows
Stubby має зручний інсталятор Windows .msi, який встановить Stubby разом із файлом конфігурації за замовчуванням. Перейдіть на сторінку інсталятора та завантажте інсталятор Windows .msi.
Після цього запустіть інсталятор. Немає майстра графічних налаштувань чи іншого. Вам потрібно лише підтвердити, що ви надаєте інсталятору доступ. Це подбає про інше.
Все для Stubby в Windows знаходиться за адресою:
C: Програмні файлиStubby
Це включає файл конфігурації YAML.
Відкрийте командний рядок. Ви можете використовувати Виконати та набрати cmd. Перейдіть у каталог Stubby. Потім запустіть .exe і передайте йому конфігурацію, щоб розпочати роботу Stubby.
C: UsersUserNamecd C: Файли програмиStubby
C: Program FilesStubbystubby.exe -C stubby.yml
Стібкі зараз працюватимуть у вашій системі. Якщо ви хочете перевірити його, запустіть наступну команду, щоб перевірити, чи працює вона правильно.
C: програмні файлиStubbygetdns_query -s @ 127.0.0.1 www.google.com
Якщо це працює, Stubby налаштований правильно. Тепер, якщо ви хочете змінити DNS-сервери, якими користується Stubby, відкрийте stubby.yml та змініть записи DNS-сервера, щоб вони відповідали обраним вами серверам. Переконайтесь, що вибрані вами сервери підтримують DNS через TLS.
Перш ніж ви зможете використовувати систему Stubby у всьому світі, вам знадобиться змінити версії дозволу Windows (DNS-сервери). Для цього вам потрібно буде виконати команду з правами адміністратора. Закрийте наявне вікно командного рядка. Потім поверніться до меню "Пуск" і знайдіть "cmd". Клацніть правою кнопкою миші та виберіть "Запустити як адміністратор". У вікні, що з'явилося, запустіть наступне:
PowerShell -ExecutionPolicy bypass -file "C: Program FilesStubbystubby_setdns_windows.ps1"
Нічого з цього не дуже добре, якщо ви не можете зробити зміни постійними. Для цього вам потрібно буде створити заплановане завдання, яке виконується при запуску. На щастя, розробники Stubby надали шаблон для цього. У наявному вікні запуску командного рядка зробіть зміни постійними.
schtasks / create / tn Stubby / XML "C: Файли програмиStubbystubby.xml" / RU Це все! Тепер ваш ПК з Windows налаштований на використання Stubby для надсилання вашого DNS через TLS. В Linux цей процес дуже простий. Як Ubuntu, так і Debian дистрибутиви Stubby вже доступні у своїх сховищах. Вам просто потрібно встановити його і змінити свій DNS на використання Stubby. Почніть з установки Stubby $ sudo apt встановити стриб
Далі відредагуйте конфігураційний файл Stubby, якщо ви захочете. Доступний за адресою /etc/stubby/stubby.yml. Відкрийте його в улюбленому текстовому редакторі за допомогою sudo. Якщо ви внесли будь-які зміни на сервери DNS, перезапустіть Stubby. $ sudo systemctl перезапустити заглушку
Вам також знадобиться змінити записи сервера імен у /etc/resolv.conf. Відкрийте це разом із текстовим редактором та судо. Створіть один запис, подібний до наведеного нижче. сервер імен 127.0.0.1
Тепер перевірте, що Стюбі працює. Перейдіть на dnsleaktest.com і запустіть тест. Якщо з'являються сервери, які ви налаштували Stubby для використання, ваш комп'ютер успішно працює Stubby. Налаштування Stubby на OSX також досить просто. Якщо у вас є Homebrew, процес є мертвим простим, але в іншому випадку це досить просто. За допомогою Hombrew ви можете встановити пакет Stubby. $ brew встановити стриб
Перш ніж запустити Stubby up як сервіс, ви можете змінити конфігурацію YAML за адресою /usr/local/etc/stubby/stubby.yml. Після того, як ви будете задоволені речами, ви можете запустити Stubby як послугу. Служби заварювання $ sudo починаються впертість
Якщо у вас немає Homebrew, ви можете встановити графічний інтерфейс Stubby. Він доступний тут. DNS над TLS починає набирати тягу. Незабаром це стане звичайним явищем. До цього часу необхідні налаштування та програми типу Stubby. Зрозуміло, що все-таки не так складно налаштуватись. Найближчим часом підтримка DNS через TLS побачить величезний поштовх уперед, коли Google включить підтримку за замовчуванням за допомогою Android. Як наслідок, Apple має стати лише питанням часу, перш ніж Apple вийде з підтримкою iOS. Напевно, платформи настільних не відставатимуть занадто далеко Потім знову у них вже є підтримка, і ви просто ввімкнули її.Linux
OSX
Заключні думки
