Što je DNS preko TLS-a?
Već znate da se zadnjih godina pojavilo puno zujanja oko šifriranja internetskog prometa. Čak i ako niste obraćali puno pažnje, morate primijetiti priljev zelenih brava u blizini URL-ova i HTTPS koji iskaču posvuda. To je zato što više web mjesta nego ikad kriptira promet.
Šifriranje internetskog prometa štiti web mjesto i ljude koji ga posjećuju. Napadači ne mogu lako špijunirati šifrirani promet dok prolazi između vašeg računala i web stranice, čuvajući svoje podatke za prijavu i sve ostalo što pošaljete na sigurno.
Postoji jedan komad koji se ne šifrira pomoću HTTPS-a, DNS upita. Ako niste upoznati, web stranice zapravo postoje na IP adresi. Kad probijete URL web mjesta, upućujete drugi zahtjev DNS poslužitelju i pitajte kojoj IP adresi pripada taj URL. Češće nego ne, taj DNS poslužitelj pripada vašem davatelju internetskih usluga. Dakle, oni i svi drugi koji možda slušaju mogu vidjeti na koje web stranice idete i evidentirati ih. Budući da DNS prema zadanim postavkama nije šifriran, bilo koja treća strana prilično je lako nadzirati DNS upite.
DNS Over TLS donosi istu vrstu šifriranja kakvu očekujete s HTTPS-om za DNS upite. Dakle, jedina osoba koja primi vaš upit i podatke o web lokaciji koju posjećujete je DNS poslužitelj koji ste odabrali i koji možete odabrati. Ne morate koristiti DNS svog davatelja internetskih usluga, a također i ne biste trebali.
Što možeš učiniti?
Podrška za DNS preko TLS-a još nije tako zrela kao HTTPS, ali i dalje je dovoljno jednostavna za postavljanje i upotrebu. Postoji nekoliko mogućnosti koje možete koristiti da biste zaštitili svoj DNS promet. Prvo, vrijedno je napomenuti da vas upotreba ispravno konfiguriranog VPN-a već štiti. Vaš DNS promet bit će tuneliziran preko VPN-a na DNS poslužitelje davatelja usluga. Ako već koristite VPN, ne brinite, iako možete postaviti dodatnu zaštitu ako želite.
Ako ne koristite VPN, i dalje možete kriptirati svoj DNS promet pomoću DNS-a preko TLS-a. Postoji izvrstan projekt otvorenog koda, nazvan Stubby, koji automatski šifrira vaše DNS upite i usmjerava ih na DNS poslužitelj koji može obraditi DNS preko TLS-a. Budući da je projekt otvorenog koda, slobodno je dostupan za Windows, Mac i Linux.
Postavite Stubby
Windows
Stubby ima prikladan instalacijski program za Windows .msi koji će instalirati Stubby zajedno sa zadanom konfiguracijskom datotekom. Prijeđite na stranicu za instalaciju i preuzmite instalacijski program Windows .msi.
Nakon što je nabavite, pokrenite instalacijski program. Ne postoji čarobnjak za grafičko postavljanje ili nešto slično. Morate samo potvrditi da instalateru dajete pristup. Pobrinut će se za ostalo.
Sve za Stubby u sustavu Windows nalazi se na:
C: Program FilesStubby
To uključuje YAML konfiguracijsku datoteku.
Otvorite naredbeni redak. Možete koristiti Run i upisati cmd. Promijenite u direktoriju Stubby. Zatim pokrenite .exe i proslijedite mu konfiguraciju da biste započeli Stubby.
C: UsersUserNamecd C: Program FilesStubby
C: Program FilesStubbystubby.exe -C stubby.yml
Stubby će se sada izvoditi na vašem sustavu. Ako želite testirati, pokrenite sljedeću naredbu i provjerite radi li ispravno.
C: Programske datotekeStubbygetdns_query -s @ 127.0.0.1 www.google.com
Ako to uspije, Stubby je pravilno postavljen. Sada, ako želite promijeniti DNS poslužitelje koje Stubby koristi, otvorite stubby.yml i izmijenite unose DNS poslužitelja kako bi odgovarali poslužiteljima po vašem izboru. Pazite da poslužitelji koje odaberete podržavaju DNS preko TLS-a.
Prije nego što možete upotrebljavati Stubby sustav širom, morat ćete izmijeniti Windowsove uzlazne rezolucije (DNS poslužitelje). Da biste to učinili, morat ćete izvršiti naredbu s administratorskim povlasticama. Zatvorite postojeći prozor naredbenog retka. Zatim se vratite na svoj početni izbornik i potražite "cmd." Kliknite desnom tipkom miša na nju i odaberite "Pokreni kao administrator." U rezultirajućem prozoru pokrenite sljedeće:
PowerShell -ExecutionPolicy bypass -file "C: Programske datotekeStubbystubby_setdns_windows.ps1"
Ništa od ovoga nije jako dobro ako promjene ne možete učiniti trajnim. Da biste to učinili, morat ćete stvoriti zakazani zadatak koji se pokreće pri pokretanju. Srećom, Stubby programeri pružili su predložak za to. U pokretanjem prozora naredbenog retka koje učinite učinite promjene trajnim.
schtasks / create / tn Stubby / XML "C: programske datotekeStubbystubby.xml" / RU To je sve! Vaše je Windows računalo konfigurirano za korištenje Stubby-a za slanje svog DNS-a preko TLS-a. U Linuxu je ovaj postupak vrlo jednostavan. I Ubuntu i Debian distribucije imaju Stubby već su dostupne u svojim spremištima. Samo ga morate instalirati i promijeniti svoj DNS za korištenje Stubby. Započnite instaliranjem Stubby-a $ sudo apt instalacija tvrdoglava
Zatim uredite konfiguracijsku datoteku Stubby, ako želite. Dostupno je na /etc/stubby/stubby.yml. Otvorite ga u svom omiljenom uređivaču teksta s sudom. Ako ste unijeli bilo kakve promjene na DNS poslužiteljima, ponovno pokrenite Stubby. $ sudo systemctl ponovo pokrenuti tvrdoglavo
Trebat ćete također promijeniti unose poslužitelja imena u /etc/resolv.conf. Otvorite to zajedno s uređivačem teksta i sudo. Izradite jedan unos poput onog u nastavku. nameserver 127.0.0.1
Sad, provjerite radi li Stubby. Idite na dnsleaktest.com i pokrenite test. Ako se pojave poslužitelji koje ste konfigurirali za Stubby, vaše računalo uspješno radi Stubby. Postavljanje Stubbyja na OSX je također prilično jednostavno. Ako imate Homebrew, postupak je mrtav jednostavan, ali inače je prilično jednostavno. S Hombrewom možete instalirati paket Stubby. $ brew instalirati tvrdoglavo
Prije nego što pokrenete Stubby up kao uslugu, možete izmijeniti YAML konfiguraciju na /usr/local/etc/stubby/stubby.yml. Jednom kad budete zadovoljni stvarima, možete početi Stubbyja kao uslugu. $ sudo piva usluge počinju tvrdoglavo
Ako nemate Homebrew, možete instalirati Stubby GUI. Dostupno je ovdje. DNS preko TLS-a počinje dobivati privlačnost. Uskoro će to biti uobičajeno. Do tada su potrebne postavke i programi poput Stubby. Jasno je, međutim, da nije postavljanje previše teško. U skoroj budućnosti podrška za DNS preko TLS-a dovest će do velikog napretka kada Google uključi zadanu podršku s Androidom. Kao rezultat, trebalo bi biti samo pitanje vremena prije nego što Apple slijedi s podrškom za iOS. Platforme radne površine vjerojatno neće previše zaostajati. Onda opet imaju podršku, a vi ste to samo omogućili.Linux
OSX
Završne misli